La tecnología de la información es un campo lleno de siglas y anglicismos y la seguridad informática no es una excepción. El objetivo de este artículo no es adentrarnos en la taxonomía y la terminología especializada cuyo significado raras veces se explica por sí misma, solo queremos enumerar de forma muy básica algunos conceptos y expresiones relacionados con la seguridad informática.
Hemos recopilado algunos de los más comunes, junto con una breve explicación de lo que significan.
No están por orden alfabético, pero se puede acceder fácilmente a su descripción desplazándose por la página o pulsando sobre cada uno de ellos.
Por supuesto, existen más términos y expresiones: esto solamente es un pequeño glosario.
Si alguien quiere saber más, en internet se pueden encontrar páginas que ofrecen listados más completos.
Robo de credenciales
El robo de credenciales es un acto delictivo consistente en robar la identificación personal de los usuarios para poder obtener acceso a sistemas, cuentas y redes, con el infame objetivo de hacerse con información confidencial o crítica.
Acostumbra a ser el primer paso de un ataque informático cuya finalidad es infiltrarse en la red de una organización, para causar todo tipo de estragos.
Control de acceso de usuario
Sirve para administrar las identidades de varios usuarios de dispositivos informáticos dentro de una red para gestionar sus derechos a la hora de realizar acciones o utilizar recursos específicos.
Restringir el acceso a un determinado perfil de usuario, permite a las organizaciones proteger sus infraestructuras críticas, las aplicaciones instaladas en los dispositivos, trabajar de manera más eficiente y mantener la confidencialidad de los datos sensibles.
Registro de acceso
El archivo de registro de acceso contiene información detallada sobre cada solicitud realizada a un servidor.
Suele estar instalado y habilitado de forma predeterminada y recopila datos casi en tiempo real.
No necesita ninguna configuración de administrador, aunque se puede habilitar o deshabilitar a demanda.
Auditoría de seguridad
Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales en tecnologías de la información.
Su objetivo principal es identificar, enumerar y describir todas las posibles vulnerabilidades que pudieran presentarse en estaciones de trabajo, redes de comunicaciones, servidores y aplicaciones.
Uno de los servicios más comunes es el de pruebas de penetración (pentesting) que ayuda a identificar posibles puntos débiles en sistemas y en la arquitectura de red.
Inteligencia de fuentes abiertas (OSINT)
Este término se refiere específicamente a la recolección de información sobre una persona o empresa utilizando fuentes de acceso público, como las redes sociales, buscadores, periódicos, sitios de noticias, boletines informativos, conferencias etc.
Los datos obtenidos pueden ser utilizados para muchos fines, como la creación de perfiles profesionales, auditorías de seguridad o conocer la reputación de una organización.
Pero también para cosas más infames como ataques de phishing dirigido.
Vulnerabilidad
En términos de seguridad informática, una vulnerabilidad es una debilidad que los ciberdelincuentes pueden aprovechar para obtener acceso no autorizado a un sistema o aplicación.
Básicamente puede comprometer la integridad, la confidencialidad o la disponibilidad.
Los riesgos de seguridad también se clasifican muchas veces como vulnerabilidades, lo que puede generar confusión.
Sin embargo el concepto no es el mismo.
Hay que pensar en riesgo de seguridad como la probabilidad de que pueda producirse la explotación de una vulnerabilidad.
Parche de seguridad
Es el proceso de actualizar una pieza de software o un sistema operativo con un pequeño fragmento de código para solucionar cualquier problema de seguridad.
Generalmente los parches de seguridad son desarrollados por el fabricante del software tras la detección de una vulnerabilidad.
Pueden instalarse de forma automática o manual.
Estándar de cifrado avanzado (AES)
El Estándar de cifrado avanzado (AES), también conocido como Rijndael, es una especificación de cifrado de datos electrónicos definida por el Instituto Nacional de Estándares y Tecnología (NIST).
Todas las implementaciones de AES utilizan normalmente un algoritmo de clave simétrica con un tamaño de bloque de 128 bits, pero los tamaños de clave varían entre 128, 192 o 256 bits.
Técnica de evasión avanzada (Advanced Evasion Techniques o AET)
Una técnica de evasión avanzada es un método para enviar un exploit u otro contenido malicioso a un objetivo vulnerable.
Consigue que el tráfico parezca legítimo para que los dispositivos de seguridad y los diferentes sistemas de detección de intrusos relacionados con el tráfico de red la ignoren.
Acostumbra a dividir las cargas útiles maliciosas en paquetes más pequeños, o trata de esconderse dentro de aplicaciones conocidas.
Puede permitir que un atacante obtenga acceso a una red sin ser detectado.
Amenaza persistente avanzada (Advanced Persistent Threat o APT)
Una amenaza persistente avanzada (APT) es un ciberataque prolongado y dirigido mediante el cual los piratas informáticos obtienen acceso a una red y permanecen en ella sin ser detectados durante un período de tiempo prolongado.
A diferencia de los ataques convencionales que acostumbran a ser indiscriminados, las APT tienen como objetivo una víctima en concreto.
Para poder perpetrar una ATP con garantías de éxito hay que dedicar una gran cantidad de tiempo y recursos.
Por ese motivo los piratas informáticos suelen apuntar a objetivos que almacenan datos de alto valor, como gobiernos, instituciones y grandes corporaciones.
Lista negra (lista de denegación ) de aplicaciones
La creación de listas negras de aplicaciones, es una práctica de administración de red que se utiliza para evitar la ejecución de programas no deseados.
No solo aquellos que se sabe a ciencia cierta que contienen amenazas o vulnerabilidades de seguridad, sino también a los que una organización determinada consideran inapropiados.
La lista negra es el método utilizado por la mayoría de los programas antivirus, los sistemas de prevención y detección de intrusiones y los filtros de correo no deseado.
Criptografía asimétrica (Criptografía de clave pública)
La criptografía asimétrica, también conocida como criptografía de clave pública, es un proceso que utiliza una clave pública y una clave privada para cifrar y descifrar un mensaje y protegerlo de accesos no autorizados.
A través de estas claves se establece un canal de comunicación seguro entre las partes.
Tanto el emisor como el receptor deben usar criptografía asimétrica con un mismo algoritmo definido, que les permitirá crear un juego de claves único e irrepetible para cada uno.
En ese proceso de comunicación, el emisor y el receptor comparten sus claves públicas que cifrarán los mensajes que intercambien entre ellos.
- El emisor redacta un mensaje.
- Lo cifra con la clave pública del receptor.
- Envía el mensaje cifrado al receptor a través de internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio.
- El receptor recibe el mensaje cifrado y lo descifra con su clave privada.
Si alguien consigue interceptar el mensaje mientras se encuentra en tránsito, no podrá leer su contenido.
Certificado digital
Un certificado digital es un fichero informático generado por una entidad denominada Autoridad Certificadora (CA) que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet.
También es utilizado por las páginas web que cuentan con el protocolo SSL.
Un certificado digital contiene información identificable, como el nombre de un usuario, la empresa, el departamento, la dirección de Protocolo de Internet (IP) o el número de serie de un dispositivo.
Los certificados digitales contienen una copia de una clave pública del titular del certificado, que debe coincidir con la clave privada correspondiente para verificar que sea real.
Vector de ataque
Un vector de ataque es una ruta o medio por el cual un pirata informático puede obtener acceso a un sistema para entregar una carga útil de malware.
El término proviene del ámbito militar; donde se suelen referir a un vector de ataque como un agujero o fallo en las defensa del enemigo.
En ciberseguridad explota las debilidades de la red objetivo, de las aplicaciones o del del correo electrónico; así como del factor humano mediante técnicas de ingeniería social.
Ataque de denegación de servicio (DoS y DDoS)
Un ataque de denegación de servicio es un intento malicioso de socavar o interrumpir totalmente el tráfico normal de un servidor, servicio o red, abrumando al objetivo o a su infraestructura circundante con una avalancha de tráfico de Internet.
Los ataques de denegación de servicio que provienen de una sola fuente, excepto los de capa de aplicación, son relativamente fáciles de abortar.
Un ataque de denegación servicio distribuido (DDoS) logra muchísima más efectividad al utilizar el ancho de banda y la potencia de procesamiento de múltiples sistemas informáticos comprometidos.
Las máquinas explotadas pueden ser ordenadores personales y otros recursos en red, como routers, reproductores DVR, electrodomésticos inteligentes, cámaras de vigilancia etc.
En definitiva, cualquier cosa conectada a Internet.
Carga útil (Payload)
En el contexto del malware, la carga útil generalmente se refiere a un código malicioso que causa daños en el dispositivo objetivo.
Las cargas útiles de malware se pueden distribuir a través de correos electrónicos de phishing y otros mecanismos de entrega.
Hoy en día, los autores de malware suelen cifrar la carga útil para ocultar el código malicioso del radar de las soluciones de seguridad.
Puerta trasera (Backdoor)
Una puerta trasera es un método alternativo de acceso a un programa o sistema de hardware que evita los mecanismos de seguridad habituales como el cifrado y los sistemas de autenticación.
Puede ser establecida con fines legítimos o instalada por un pirata informático de forma silenciosa mediante el uso de malware.
Aunque se establezca como una herramienta administrativa, una puerta trasera es un riesgo de seguridad porque siempre hay villanos que buscan cualquier vulnerabilidad para explotar.
Amenaza combinada
Una amenaza combinada es un exploit que combina varios tipos de malware.
A veces, los villanos necesitan varios vectores de ataque, para aumentar la gravedad del daño y la velocidad del contagio.
Dicho de otra forma: se junta a lo peor de cada casa, y se les dota de técnicas de pirateo informático avanzadas.
Puede penetrar en la red de una compañía de muchas formas.
- A través de un archivo adjunto a un mensaje de correo electrónico.
- Dentro de una carpeta de archivos compartidos.
- Mediante un periférico inalámbrico.
- Utilizando una página web.
- Atacando directamente un router o un servidor.
- Incluso puede deslizarse a través de un firewall con relativa facilidad.
Se reproduce con tanta rapidez que puede detener la actividad de una empresa en cuestión de minutos.
Desbordamiento de búfer (Buffer overflow)
Los ataques por desbordamiento de búfer están diseñados para activar la ejecución de un código arbitrario en un programa al enviar un caudal de datos mayor que el que puede recibir.
En otras palabras, se pasa demasiada información a un contenedor que no cuenta con espacio suficiente, y esa información acaba sustituyendo los datos de los contenedores adyacentes.
Algo similar a lo que ocurre cuando llenamos un vaso más allá de su capacidad: éste se desborda y el contenido se derrama sobre la mesa.
Vulnerabilidades y exposiciones comunes (CVE)
Common Vulnerabilities and Exposures (CVE) es una lista de vulnerabilidades y exposiciones de seguridad de la información divulgadas públicamente.
CVE fue lanzado en 1999 por la corporación MITRE para identificar y categorizar vulnerabilidades en software y firmware.
La puntuación CVSS permite intentar calificar la peligrosidad de una vulnerabilidad según un cálculo, teniendo en cuenta ciertos aspectos técnicos.
Nunca es perfecta, tiene muchos sesgos y no debe tomarse por el santo grial, pero la comunidad de seguridad no tiene hasta ahora otra referencia mejor.
Informática forense
Es la disciplina que combina el derecho y la informática para recopilar y analizar datos de distintos sistemas informáticos de una manera que sea admisible como prueba en un tribunal de justicia.
Puede llegar a ser la peor pesadilla de un investigador, ya que existen herramientas dedicadas para hacer difícil o imposible recuperar información durante una investigación.
Secuencias de comandos entre sitios (Cross site scripting o XSS)
Cross site scripting (XSS) es un tipo de ataque en el que un pirata informático inyecta scripts maliciosos en páginas web legítimas.
Los ataques XSS implican la explotación de una vulnerabilidad en un servidor o una aplicación web para enviar scripts maliciosos del lado del cliente al usuario desprevenido.
El navegador de la víctima creerá que la secuencia de comandos es confiable y, por lo tanto, la ejecutará, otorgando al atacante acceso a los tokens de sesión, cookies y otra información confidencial retenida por el navegador para ese sitio en particular.
Fuga de datos
Una fuga de datos se produce cuando la información sensible queda expuesta involuntariamente al público.
Algo parecido a dejarse el coche abierto y con las llaves puestas.
La exposición de datos puede suceder en tránsito, en reposo o en uso.
Los datos expuestos en tránsito pueden incluir aquellos enviados mediante aplicaciones de trabajo colaborativo tipo Slack o Microsoft Teams, mensajería instantánea, o cualquier tipo de canal privado o público de comunicación.
Los datos expuestos en reposo pueden resultar de un servicio de almacenamiento en la nube mal configurado que expone a internet los datos que sus clientes tienen guardados en sus servidores, de una base de datos mal protegida y también de dispositivos perdidos o desatendidos.
Los datos expuestos en uso pueden proceder de capturas de pantalla, impresoras, unidades USB o incluso del portapapeles de Windows.
Violación de datos
Una violación de datos ocurre cuando un ciberdelincuente se infiltra en una base de datos, eludiendo la seguridad del servidor, para extraer información confidencial.
En mayo de 2019, Canva, un sitio web de herramientas de diseño gráfico en línea, sufrió una violación de datos que afectó a 139 millones de usuarios.
Los datos expuestos incluían entre otras cosas nombres de usuario de los clientes, nombres reales, direcciones de correo electrónico, contraseñas e información sobre la ciudad y el país.
Robo de identidad
Acto de asumir deliberadamente la identidad de otra persona (preferiblemente viva) generalmente con el propósito de llevar a cabo acciones criminales o fraudulentas como por ejemplo obtener créditos bancarios a nombre de esa persona y otros beneficios.
Por otro lado, el robo de identidad también es utilizado con el fin de perjudicar a otra persona, desacreditando su vida profesional o provocando conflictos en su entorno familiar.
Ingeniería inversa
Se conoce por ingeniería inversa a la actividad que se ocupa de descubrir cómo funciona un programa cuyo código fuente no está disponible públicamente.
La gran mayoría del software comercial (excepto el libre o de código abierto) incluye en su licencia una prohibición expresa de aplicar ingeniería inversa a sus productos.
El motivo es evitar que se pueda copiar, distribuir, estudiar o modificar para usar el programa sin necesidad de tener que pagar por una licencia.
En la piratería más especializada y compleja se acostumbra a utilizar la ingeniería inversa para romper las protecciones y restricciones de los programas comerciales.
Ataque de fuerza bruta
Un ataque de fuerza bruta es un procedimiento para averiguar una contraseña probando todas las combinaciones posibles hasta encontrar la combinación correcta.
Dado que utilizan el método de prueba y error, los ataques por fuerza bruta, pueden tardar bastante tiempo en encontrar la combinación correcta: por esta razón, acostumbran a combinarse con ataques de diccionario.
Para evitar hacerse viejos en el intento, los villanos utilizan algun tipo de programa, y dispositivos con cierta potencia de procesamiento.
Ataque de diccionario
Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario, en un idioma determinado.
De ahí el nombre del ataque.
Los atacantes también pueden utilizar listas con las contraseñas más comunes, nombres de mascotas, nombres de personajes de ficción etc.
Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable.
Los ataques de diccionario tienen pocas probabilidades de éxito con sistemas que emplean contraseñas fuertes y complejas con letras en mayúsculas, minúsculas, números y caracteres especiales.
MaaS
Malware-as-a-Service, o MaaS, es una versión criminal de SaaS: un modelo de distribución de software en el que un proveedor en la nube aloja aplicaciones y las pone a disposición de los usuarios a través de Internet.
En lugar de ofrecer servicios legítimos, las empresas de MaaS alquilan malware a sus clientes mediante suscripción.
Por lo tanto, cualquier persona, independientemente de sus habilidades puede lanzar un ciberataque.
Incluso cuenta con soporte técnico y se actualiza periódicamente igual que el software legítimo.
Vulnerabilidad de día cero (Zero-day)
Una vulnerabilidad de día cero es un error o agujero de seguridad en una pieza de software, hardware o firmware que todavia no ha sido detectado ni corregido.
Algo similar a un desgarro en el bolsillo trasero de tu pantalón que aún no has notado, pero un villano se ha dado cuenta y está esperando a que tu cartera acabe en el suelo para hacerse con ella.
Exploit
Un exploit es un programa, (o una pieza de código), diseñado para encontrar y aprovechar un fallo de seguridad o una vulnerabilidad en una aplicación o en un sistema informático, generalmente con fines maliciosos.
Por ejemplo, un sistema operativo desactualizado u obsoleto puede verse comprometido mediante un exploit.
