Ciberpedia
Ciberpedia con terminología del mundo virtual
Ciberpedia es una enciclopedia que proporciona las definiciones de los términos de Internet, así como otra información sobre la red, y que cada día son más frecuentes en nuestro día a día. El sitio web puede entenderse como una base de conocimientos de la jerga y la cultura de Internet.
La Ciberpedia es una enciclopedia gratuita y completa sobre la terminología y la cultura de Internet. Nuestro objetivo es presentarle una base de conocimientos completa, pero fácil de leer, sobre Internet. Todos los artículos están escritos en español y se actualiza de forma periódica.
Ciberpedia es un sitio web completamente nuevo al que le queda un largo camino por recorrer antes de que podamos llamarnos legítimamente una enciclopedia. Pero esperamos poder alcanzar nuestro objetivo.
¿QUIERES INCLUIR ALGUNA PALABRA CON SU DEFICIÓN? ¿QUIERES SABER EL SIGNIFICADO DE ALGUNA PALABRA QUE NO ESTÁ? CONTACTA CON NOSOTROS
#
3DES
Algoritmo que hace un triple cifrado del Data Encryption Standard o en Español, Cifrado básico de datos (DES, método para cifrar información). 3DES agranda el largo de la clave sin modificar el algoritmo de cifrado, triplicando el número de operaciones de cifrado. La longitud efectiva de la clave es de 168 bits.
A
A5 – Cifrador de voz GSM
Algoritmo secreto de cifra el flujo empleado por el sistema de telefonía móvil digital GSM (Global System for Mobile Communications), para cifrar el enlace entre el terminal y la estación base, o dicho de otra manera, el enlace entre el teléfono móvil y el satélite del que recibimos la cobertura.
AAA – Autenticacion, autorizacion y registro
Conjunto de herramientas, procedimientos y protocolos que garantizan un tratamiento coherente de las tareas de autenticación, autorización y registro de actividad de las entidades que tienen acceso a un sistema de información
A Prueba de Fallos
Sistema automático de protección de programas y elementos de procesamiento.
Abonado
Cualquier persona física o jurídica que haya celebrado un contrato con un proveedor de servicios de comunicaciones electrónicas disponibles para el público para la prestación de dichos servicios. (Ley 9/2014, de 9 de mayo, General de Telecomunicaciones).
Acceso
La puesta a disposición de otro operador, en condiciones definidas y sobre una base exclusiva o no exclusiva, de recursos o servicios con fines de prestación de servicios de comunicaciones electrónicas, incluyendo cuando se utilicen para el suministro de servicios de la sociedad de información o de servicios de contenidos de radiodifusión. Este término abarca, entre otros aspectos, los siguientes: el acceso a elementos de redes y recursos asociados que pueden requerir la conexión de equipos por medios fijos y no fijos (en particular, esto incluye el acceso al bucle local y a recursos y servicios necesarios para facilitar servicios a través del bucle local); el acceso a infraestructuras físicas, como edificios, conductos y mástiles; el acceso a sistemas informáticos pertinentes, incluidos los sistemas de apoyo operativos; el acceso a sistemas de información o bases de datos para prepedidos, suministros, pedidos, solicitudes de mantenimiento y reparación, y facturación; el acceso a la conversión del número de llamada o a sistemas con una funcionalidad equivalente; el acceso a redes fijas y móviles, en particular con fines de itinerancia; el acceso a sistemas de acceso condicional para servicios de televisión digital; así como el acceso a servicios de red privada virtual. (Ley 9/2014, de 9 de mayo).
Acceso Autorizado
Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. (Real Decreto 1720/2007, de 21 de diciembre).
Acceso Fiable
Mecanismo de seguridad que permite a un usuario establecer una conexión segura con el sistema, para evitar así cualquier intento de suplantación de éste. Además, este mecanismo es imposible de imitar o desactivar por un programa no fiable.
Acceso por Red
Acceso a un sistema de información a través de una red (sea cual sea el tipo de red).
Aceptacion del riesgo
Decisión informada en favor de tomar un riesgo en particular. La aceptación del riesgo puede tener lugar sin que exista tratamiento del riesgo o durante el proceso de tratamiento del riesgo. Además, los riesgos aceptados son objeto de seguimiento y de revisión.
Acreditación
Declaración de conformidad de los laboratorios solicitantes, emitida por el Organismo de Certificación, en base al cumplimiento de los requisitos establecidos en el Capítulo III, y según el procedimiento establecido en el Capítulo IV, del presente Reglamento. (Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información).
Acreditación de competencia técnica
Es aquella acreditación que concede una entidad de acreditación reconocida a un laboratorio, conforme a lo regulado en la Ley 21/1992, de 16 de julio, de Industria y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial, y en base al cumplimiento, por parte del laboratorio, de la norma UNE-EN ISO/IEC 17025. En su alcance se deberán incluir las normas de evaluación de la seguridad de los productos y sistemas de Tecnologías de la Información aprobadas por el Organismo de Certificación. (Orden PRE/2740/2007, de 19 de septiembre).
Actividad de servicio
Cualquier actividad económica por cuenta propia, prestada normalmente a cambio de una remuneración. (Ley 11/2007, de 22 de junio).
Acuerdo de licencia
Es una cesión de derechos entre un titular de derechos de propiedad intelectual (licenciante) y otra persona que recibe la autorización de utilizar dichos derechos (licenciatario) a cambio de un pago convenido de antemano (tasa o regalía) o de unas condiciones determinadas. Existen distintos tipos de acuerdos de licencias que pueden clasificarse en las siguientes categorías: como acuerdos de licencia tecnológica o acuerdos de licencia y acuerdos de franquicia.
Agujero de seguridad
Vulnerabilidad.
Administracion electronica
Actividad consistente en la prestación de servicios a ciudadanos y empresas mediante la utilización de medios telemáticos y definida en la Ley 11/2007 de 22 de junio de acceso electrónico de los ciudadanos a los servicios públicos. Esta actividad compete a las Administraciones Públicas con el objeto de implificar los procedimientos con la Administración, manteniendo al mismo tiempo, los niveles adecuados de seguridad jurídica y procurando la mejora de calidad de los servicios.
Activo
Actividad consistente en la prestación de servicios a ciudadanos y empresas mediante la utilización de medios telemáticos y definida en la Ley 11/2007 de 22 de junio de acceso electrónico de los ciudadanos a los servicios públicos. Esta actividad compete a las Administraciones Públicas con el objeto de implificar los procedimientos con la Administración, manteniendo al mismo tiempo, los niveles adecuados de seguridad jurídica y procurando la mejora de calidad de los servicios.
Activo de Información
Es cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.
Actuación administrativa automatizada
Actuación administrativa producida por un sistema de información adecuadamente programado sin necesidad de intervención de una persona física en cada caso singular. Incluye la producción de actos de trámite o resolutorios de procedimientos, así como de meros actos de comunicación. (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos).
Actuación responsable
Dicho de una persona: Que pone cuidado y atención en lo que hace o decide.
Acuerdo de nivel de servicio
Acuerdo entre un Proveedor de Servicio de TI y un Cliente. El SLA describe el Servicio de TI, documenta los Objetivos de Nivel de Servicio y especifica las responsabilidades del Proveedor de Servicio de TI y del Cliente.
Acuerdo de respaldo mutuo o (SLA)
Convenio entre dos instituciones por el cual se comprometen, bajo ciertas condiciones de uso, a facilitarse mutuamente sus equipos y sistemas de tratamiento de la información caso de que un accidente inutilice o degrade los de una de ellas.
Acuerdo de seguridad de interconexion
Documento que regula los aspectos relevantes para la seguridad de una conexión prevista entre una organización y un sistema externo. Incluye una variedad de información descriptiva, aspectos técnicos, de procedimiento, y la planificación.
Acumulacion de privilegios
Proceso gradual por el que un sujeto va incrementando sus derechos de acceso por encima de los que estrictamente requiere para desempeñar su trabajo.
Administrador
Persona responsable de la instalación y configuración de los componentes de un sistema de información.
Administrador de Seguridad
Persona que es responsable de la definición o aplicación de una o más partes de una política de seguridad.
ADSL
Tecnología que permite la conexión a Internet mediante el uso de la línea telefónica tradicional. Trabaja con tres canales de comunicación en el mismo cable. Un canal permite la descarga de los datos, otro se emplea para el envío de los datos y un tercer canal posibilita el desarrollo de las comunicaciones telefónicas convencionales.
Adware
Tipo de software malicioso cuya instalación hace que la computadora muestre o descargue publicidad de manera automática.
Afectado o interesado
Persona física titular de los datos que sean objeto del tratamiento. (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal).
Agente económico
El fabricante, el representante autorizado, el importador y el distribuidor de equipos y aparatos de telecomunicación. a) Distribuidor: toda persona física o jurídica de la cadena de suministro distinta del fabricante o el importador que comercializa un producto. b) Fabricante: toda persona física o jurídica que fabrica un producto, o que manda diseñar o fabricar un producto y lo comercializa con su nombre o marca comercial. c) Importador: toda persona física o jurídica establecida en la Unión Europea que introduce un producto de un tercer país en el mercado comunitario. d) Representante autorizado: toda persona física o jurídica establecida en la Unión Europea que ha recibido un mandato por escrito de un fabricante para actuar en su nombre en relación con tareas específicas relativas a obligaciones de éste último en virtud de la legislación comunitaria correspondiente. (Ley 9/2014, de 9 de mayo).
Agente externo
Persona que accede al sistema desde el exterior del perímetro de seguridad.
Agotamiento de recursos
Ataque consistente en pedirle tantos recursos a un sistema que este queda a todos los efectos incapacitado de servir a nadie más.
Agregación
Circunstancia en la que un conjunto de elementos de información es objeto de una clasificación más elevada que la de cualquiera de sus componentes vistos individualmente.
Agregación de datos
Recopilación de datos no clasificados de tal forma que el conjunto, correlacionado, debiera estar clasificado por cuanto sería de utilidad para perpetrar un ataque.
AH (Authentication Header)
Cabecera IP que proporciona el servicio de autenticación de un paquete IP que viaje por la red.
Air Gap
Término usado para describir que dos redes están absolutamente separadas.
ALARP (Tan bajo como sea razonablemente práctico)
Un método para correlacionar de la probabilidad de un riesgo y la gravedad de sus consecuencias para determinar si la exposición al riesgo es razonable o si hay que seguir reduciendo el riesgo.
Aleatorio
Término que indica que el resultado de un experimento sólo depende del azar, no teniendo relación con los resultados anteriores o posteriores. El fenómeno o experimento no es reproducible. (v.Pseudoaleatorio)
Alerta
Advertencia de que se ha superado un umbral, de que algo ha cambiado, o de que hubo un Fallo. De forma regular, las Alertas se crean y gestionan con herramientas de Gestión de Sistemas y administradas por el Proceso de Gestión de Eventos.
Algoritmo criptográfico
Función matemática que lleva a cabo un cierto cálculo criptográfico.
Algoritmo criptográfico asimétrico
Algoritmo para ejecutar el cifrado o el descifrado correspondiente, cuyas claves para el cifrado y el descifrado son diferentes.
Algoritmo criptográfico simétrico
Algoritmo para realizar el cifrado o el algoritmo correspondiente para realizar el descifrado en el cual se requiere la misma clave para el cifrado y el descifrado.
Algoritmo de calculo de codigos de autenticacion de mensajes
algoritmo que computa una función la cual, mapea las líneas de bits y la llave secreta para todas las líneas presenten la misma cantidad de bits para ser computadas eficientemente.
Algoritmo de cifra
Conjunto finito de operaciones matemáticas (en ocasiones simplemente reglas o pasos) que permiten obtener un texto cifrado a partir de un texto en claro y de ciertos parámetros iniciales, por ejemplo, la clave criptográfica y el vector de inicialización.
Algoritmos de cifrado
Operación o función matemática utilizada en combinación con una clave que se aplica a un texto en claro (no cifrado) y permite obtener un texto cifrado (o viceversa).
Algoritmos de descifrado
Proceso que transforma texto cifrado en texto en claro.
Algoritmo Diffie-Hellman
Primer algoritmo de clave pública, enunciado por W. Diffie y M. Hellman en 1976, que basa su seguridad en la dificultad de calcular logaritmos discretos en un campo finito. Se emplea para distribución de claves pero no para cifrar y descifrar.
Algoritmo Discreto
Es la base de la criptografía. Se basa en problemas matemáticos computacionalmente complejos.
Algoritmo Irreversible
Algoritmo que emplea o no clave y que se utiliza sólo en un sentido.
Algoritmo público
Algoritmo de cifra cuyo funcionamiento no se considera información a proteger y es de general conocimiento.
Algoritmo secreto
Algoritmo de cifra cuyo funcionamiento interno es considerado por el fabricante o el usuario información a proteger.
Alta disponibilidad
Configuración de los sistemas de forma que garantizan un servicio continuo incluso cuando alguno de sus componentes no se encuentra plenamente disponible.
Ámbito normativo coordinado
Todos los requisitos aplicables a los prestadores de servicios de la sociedad de la información, ya vengan exigidos por la presente Ley u otras normas que regulen el ejercicio de actividades económicas por vía electrónica, o por las leyes generales que les sean de aplicación, y que se refieran a los siguientes aspectos: 1.º Comienzo de la actividad, como las titulaciones profesionales o cualificaciones requeridas, la publicidad registral, las autorizaciones administrativas o colegiales precisas, los regímenes de notificación a cualquier órgano u organismo público o privado, y 2.º Posterior ejercicio de dicha actividad, como los requisitos referentes a la actuación del prestador de servicios, a la calidad, seguridad y contenido del servicio, o los que afectan a la publicidad y a la contratación por vía electrónica y a la responsabilidad del prestador de servicios. No quedan incluidos en este ámbito las condiciones relativas a las mercancías y bienes tangibles, a su entrega ni a los servicios no prestados por medios electrónicos. (Ley 34/2002, de 11 de julio).
Amenaza
Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.
Amenaza activa
Amenaza de un cambio no autorizado y deliberado del estado de un sistema.
Amenaza externa
Entidad no autorizada fuera del dominio de seguridad que tiene el potencial de dañar un sistema de información a través de la destrucción, divulgación, modificación de datos y / o denegación de servicio.
Amenaza interna
Entidad con acceso autorizado (es decir, en el dominio de seguridad) que tiene el potencial de dañar un sistema de información o de la empresa a través de la destrucción, divulgación, modificación de datos y / o denegación de servicio.
Amenaza persistente avanzada (APT)
Ataque cibernético que emplea técnicas avanzadas de ocultación para permanecer desapercibidos durante largos períodos, generalmente gubernamental o comercial, dirigido a penetrar la seguridad informática de una entidad específica.
Ampliación
La adición de uno o más requisitos a un paquete.
Análisis de comportamiento de red
Una solución de seguridad informática que monitorea continuamente los datos de flujo de los routers para detectar un comportamiento anómalo de la red como ataques de denegación de servicio, ciertas formas de malware y violaciones a políticas de red.
Análisis de fallos
Análisis de la respuesta de un dispositivo criptográficos antes diferentes fallos provocados, con el objeto de inferir información acerca de las claves usadas.
Análisis de impacto del negocio
Actividad de la Gestión de la Continuidad del Negocio que identifica las Funciones Vitales del Negocio y sus dependencias.
Análisis de paquetes TCP
Técnica útil para detectar qué sistema operativo se usa en un cierto equipo remoto. Consiste en analizar los paquetes TCP que envía buscando características singulares peculiares de un cierto sistema.
Análisis de riesgos
Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. (Real Decreto 3/2010, de 8 de enero).
Proceso que comprende la identificación de activos de información, sus vulnerabilidades y las amenazas a los que se encuentran expuestos.
Análisis de tiempos
Análisis del tiempo de procesamiento empleado por un dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas.
Análisis de tráfico
Observación del tráfico de datos (presencia, ausencia, dirección, volumen y frecuencia) en un canal de transmisión para inferir información. Cuando la dificultad de descifrar los datos transmitidos por un canal es grande, este tipo de ataque puede proporcionar interesantes conjeturas sobre los mismos.
Análisis diferencial de consumo
Análisis del consumo de energía realizado por un módulo criptográfico con el objetivo de extraer información relacionada con las claves criptográficas con las que trabaja. A diferencia del análisis simple, aquí se estudian estadísticamente las variaciones de las observaciones realizadas con diferentes datos de entrada.
Análisis forense
Análisis que se realiza una vez que hemos sufrido un incidente para determinar sus causas, origen y ramificaciones. Los trabajos de análisis forense son de lo más variado, suelen ser muy caros y siempre están rodeados de secretismo. Muchos análisis forenses que se contratan tienen como objetivo reconstruir las acciones que ha realizado un empleado sospechoso y recoger evidencias que sirvan para denunciarlo. Hay otros análisis forenses más constructivos. Por ejemplo, poder conocer el modus operandi de un APT sufrido, o hacer una ingeniería de una pieza de software malicioso, o colaborar en una investigación policial que desarticule una red de pederastas.
Análisis Heurístico
Se hace cuando, a fin de detectar la presencia de virus, se estudia el comportamiento de los programas. El comportamiento anómalo permite inferir la infección.
Análisis simple de consumo
Análisis del consumo de energía realizado por un módulo criptográfico dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas.
Antispam
Herramienta que identifica y filtra correo no deseado, con el objetivo de evitar que llegue al usuario. De esta forma, se evita la pérdida de productividad que estos correos producen y se minimizan los riesgos en cuanto a las amenazas que por estos circulan (como malware o phishing). Las técnicas de filtrado van desde detección de palabras comunes del spam hasta listas de correo basura definidas por el usuario o listas mayores ubicadas en servidores remotos.
Anonimato
Carácter o condición de anónimo.
Anonymizer
Servicio, dispositivo o aplicación interpuestos que impiden a los servidores web ver la dirección IP de sus usuarios.
Anonymous remailer
Servidor intermedio de mensajería electrónica cuya función es reenviar los mensajes recibidos habiendo eliminado previamente la identificación del remitente.
Anti automatización
Medida de seguridad de los servidores web que impiden el acceso automatizado. La técnica consiste en exigir al usuario que demuestre ser humano pasándole una prueba de difícil resolución por un robot.
Antispoof
Medidas para prevenir el abuso de datos de identificación y autenticación, impidiendo que alguien se haga pasar por quien no es.
Antispyware
Contramedida cuyo objetivo es evitar la infección por código malicioso de tipo spyware.
Antivirus
Es un programa informático específicamente diseñado para detectar, bloquear y eliminar código malicioso (virus, troyanos, gusanos, etc.).
Apéndice
Bits formados por la signatura y una cadena de texto opcional.
Aplicación
Programa o conjunto de programas cuyo objeto es la resolución de un problema mediante el uso de informática. (Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica).
Aplicación de fuentes abiertas
Aquella que se distribuye con una licencia que permite la libertad de ejecutarla, de conocer el código fuente, de modificarla o mejorarla y de redistribuir copias a otros usuarios. (Real Decreto 4/2010, de 8 de enero).
Apk
Un archivo con extensión .apk (Android Application Package, significado en español: Paquete de Aplicación Android) es un paquete para el sistema operativo Android. Este formato es una variante del formato JAR de Java y se usa para distribuir e instalar componentes empaquetados para la plataforma Android para teléfonos inteligentes y tabletas, así como también algunas distribuciones enfocadas a su uso en ordenadores personales de escritorio y portátiles.
Appliance
Dispositivo hardware donde se instala una aplicación software de ciberseguridad. Estos, suelen ser dispositivos compatibles con softwares de distintos fabricantes y están optimizados para ofrecer almacenamiento y conectividad a esas aplicaciones además de fácil gestión del propio dispositivo.
Apreciación del Riesgo
Proceso global que comprende la identificación del riesgo, el análisis del riesgo y la evaluación del riesgo.
Árbol de ataque
Estructura de datos en forma de árbol donde a partir de un objetivo final (representado como la raíz) se identifican (como ramificaciones) objetivos secundarios que nos permitirían alcanzar el objetivo final. Los árboles de ataque se utilizan para modelar las posibles vías por las que puede perpetrarse un ataque.
Árbol de llamadas
Relación de personas que deben ser contactadas en caso de declaración de emergencia.
Área confidencial
Todo centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan, procesen o transmiten datos de titulares de tarjetas. No se incluyen las áreas en las que se encuentran presentes terminales de punto de venta, tales como el área de cajas en un comercio.
Área de acceso controlado
Área o espacio para los que la organización tiene la confianza de que las protecciones físicas y de procedimiento previstas son suficientes para cumplir los requisitos establecidos para la protección de la información y/o del sistema de información.
Arquitectura de seguridad
Un planteamiento y un plan que cubre: (a) los servicios de seguridad que se le exigen a un sistema, (b) los componentes necesarios para proporcionar dichos servicios y (c) las características que se requieren de dichos componentes para enfrentarse eficazmente a las amenazas previsibles.
ARP (Protocolo de resolución de direcciones)
Es un protocolo de capa de enlace responsable de encontrar la dirección de hardware que corresponda con una determinada dirección IP. El ARP es la segunda de las siete capas del Modelo OSI, que establece las fases por las que han de pasar los datos para viajar de un dispositivo a otro sobre una red de comunicaciones.
ARP Spoofing
El atacante envía paquetes ARP falsos, con información maliciosa, pudiendo asociar una dirección MAC inexistente con la dirección IP de la víctima. También es conocido como envenenamiento de las tablas ARP, o ARP poisoning.
ASCII (código)
Código de codificación de caracteres alfabéticos, numéricos, especiales, geométricos – gráficos y de control, que asigna un número del 0 al 127 a cada carácter recogido. El ASCII extendido permite hasta 256 caracteres distintos.
Asignación de frecuencias
Autorización administrativa para que una estación radioeléctrica utilice una frecuencia o un canal radioeléctrico determinado en condiciones especificadas. (Ley 9/2014, de 9 de mayo).
Asociación de seguridad
Relación establecida entre dos entidades que les permite proteger la información que intercambian.
Asymetric cipher
Sistema basado en criptografía asimétrica la cuya parte publica se encarga del cifrado y la parte privada del descifrado.
Ataque
Tentativa de destruir, exponer, alterar, inhabilitar, robar, acceder sin autorización o hacer un uso no autorizado de un activo.
Ataque activo
Ataque que altera el sistema o los datos.
Ataque a la validación de datos
Ataques en los que el atacante introduce deliberadamente datos erróneos con el fin de confundir a la aplicación.
Ataque algebraico
Ataque basado en las propiedades algebraicas de un algoritmo de cifra.
Ataque combinado
Es uno de los ataques más agresivos ya que se vale de métodos y técnicas muy sofisticadas que combinan distintos virus informáticos, gusanos, troyanos y códigos maliciosos, entre otros.
Ataque con solo texto cifrado
Variante de análisis criptográfico donde el atacante sólo dispone de texto cifrado.
Ataque con texto cifrado escogido
Método cripto-analítico en el cual el atacante puede obtener el texto en claro correspondiente a cualquier texto cifrado por él elegido.
Ataque con texto en claro conocido
Agresión al cifrado que pretende averiguar la clave criptográfica usada a partir del conocimiento de un, o varios, texto cifrado y el texto en claro del, o de los, que procede, así como del algoritmo de cifra usado. Es el ataque usual a mensajes cifrados con algoritmos conocidos y transmitidos mediante protocolos normalizados (por ejemplo, EDI).
Ataque con texto en claro escogido
Ataque consistente en elegir un texto en claro y comparar aquél con el texto cifrado obtenido, para así tratar de hallar la clave criptográfica que se está empleando. Presupone el conocimiento del algoritmo de cifra usado, o al menos el acceso al dispositivo en que está implementado. Un ejemplo típico se tiene en el usuario de un cripto-sistema asimétrico, que conoce por tanto la clave pública del mismo. También en el usuario de un ordenador con acceso a la tabla de contraseñas cifradas. Cambiando repetidamente su contraseña y examinando en cada ocasión la misma cifrada puede recopilar gran cantidad de pares contraseña en claro-contraseña cifrada.
Ataque controlado
Ataque a un sistema autorizado y controlado por el propietario del sistema. Tiene como objeto adelantarse a ataques reales para descubrir vulnerabilidades antes de que sean explotadas.
Ataque del cumpleaños
Ataque de fuerza bruta que busca colisiones probando todas las combinaciones posibles de 2 textos. Se basa en la paradoja del cumpleaños, que se puede resumir diciendo que la probabilidad de que dos o más personas en un grupo de individuos hayan nacido el mismo día, es superior al 50% cuando el número de personas es igual o mayor que 23 sujetos.
Ataque de diccionario
Método empleado para romper la seguridad de los sistemas basados en contraseñas en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático. Generalmente se emplean programas especiales que se encargan de ello.
Ataque de repetición
Es un tipo de ataque en el cual el atacante captura la información que viaja por la red.
Ataque de reproducción
Ataque consistente en capturar una transmisión de datos correcta y reproducirla posteriormente. Es un ataque típico para capturar secuencias de autenticación correctas y reproducirlas luego para que el atacante logre los mismos derechos de acceso.
Ataque dirigido
Son aquellos ataques realizados normalmente de manera silenciosa e imperceptible, cuyo objetivo es una persona, empresa o grupos de ambas. No son ataques masivos, porque su objetivo no es alcanzar al mayor número posible de ordenadores. Su peligro estriba precisamente en que son ataques personalizados, diseñados especialmente para engañar a las potenciales víctimas.
Ataque distribuido
Ataque realizado mediante múltiples agentes desde diferentes lugares.
Ataque encontrarse en el medio
Ataque contra sistemas de doble cifrado. Para buscar las dos claves, se cifra el texto en claro con una clave, mientras se descifra el texto cifrado con otra clave. Si los resultados coinciden es que hemos hallado ambas claves.
Ataque de fuerza bruta que busca colisiones probando todas las combinaciones posibles de 2 textos. Se basa en la paradoja del cumpleaños, que se puede resumir diciendo que la probabilidad de que dos o más personas en un grupo de individuos hayan nacido el mismo día, es superior al 50% cuando el número de personas es igual o mayor que 23 sujetos.
Ataque de fuerza bruta
Un ataque de fuerza bruta es un procedimiento para averiguar una contraseña que consiste en probar todas las combinaciones posibles hasta encontrar la combinación correcta.
Ataque pasivo
Se dice cuando el atacante accede a la información, pero la deja como estaba sin alterar su contenido.
Ataque por arranque en frio
Un ataque de arranque en frío es un proceso para acceder a las claves de cifrado almacenadas en los chips de memoria RAM del equipo.
Ataque por deslizamiento
Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. El ataque busca debilidades en la generación de sub-claves para cada ciclo.
Ataque por inferencia
Ataques que se basan en información deducida lógicamente a partir de piezas aparentemente inconexas.
Ataque por microfragmentos de TCP-IP
Ataque consistente en fragmentar los paquetes TCP en partes IP tan pequeñas como para dividir la cabecera y engañar a los filtros que analizan la información en la cabecera para tomar decisiones respecto de los paquetes TCP.
Ataque por monitorización
Familia de métodos de ataque que se refiere a técnicas pasivas de análisis del comportamiento de un dispositivo criptográfico mientras se ejecutan tareas normales.
Ataque por superposicion de fragmentos TCP
Ataque basado en la característica de las trasmisiones IP en las que se permite la fragmentación de los paquetes para una transmisión más eficiente. El ataque consiste en alterar la posición relativa del segundo fragmento de forma que al reconstruirse se deteriora interesadamente el destino.
Ataque smurf
Ataque de denegación de servicio que utiliza mensajes «ping» al broadcast con spoofing para inundar un objetivo.
Ataque Zero Day
Ataque sobre una vulnerabilidad recién descubierta en un sistema o protocolo. Esta vulnerabilidad aún no tiene un parche de seguridad.
Atribución de frecuencias
La designación de una banda de frecuencias para su uso por uno o más tipos de servicios de radiocomunicación, cuando proceda, en las condiciones que se especifiquen. (Ley 9/2014, de 9 de mayo).
Atributo
Una propiedad de una entidad, física o abstracta.
Atributo de seguridad
Una abstracción que representa las propiedades básicas o características de una entidad con respecto a la protección de la información; típicamente asociados con estructuras de datos internas (por ejemplo, registros, buffers, archivos, etc.). Estos atributos típicamente se utilizan como soporte del control de acceso, políticas de control de flujo, reglas especiales de difusión, etc. En general, para implementar políticas de seguridad de la información.
Auditoría
Inspección formal para verificar si un Estándar o un conjunto de Guías se está siguiendo, que sus Registros son precisos, o que las metas de Eficiencia y Efectividad se están cumpliendo. Una Auditoría la puede realizar tanto un grupo interno como uno externo.
Auditoría de seguridad
Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales en tecnologías de la información (TI) con el objetivo de identificar, enumerar y describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones. También denominadas auditorías de ciberseguridad.
Revisión y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos. (Real Decreto 3/2010, de 8 de enero).
Autenticación
Acreditación por medios electrónicos de la identidad de una persona o ente, del contenido de la voluntad expresada en sus operaciones, transacciones y documentos, y de la integridad y autoría de estos últimos. (Ley 11/2007, de 22 de junio).
Procedimiento de comprobación de la identidad de un usuario. (Real Decreto 1720/2007, de 21 de diciembre).
Autenticación de origen de datos
Comprobación de que la fuente de los datos recibidos es la alegada.
Autenticidad
Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. (Real Decreto 3/2010, de 8 de enero).
Autenticación con 2 elementos
Utilización de dos elementos de autenticación independientes. Por ejemplo: una tarjeta inteligente activada por un PIN. La idea es que la combinación de elementos es más robusta que cada elemento por independiente.
Autenticación con 3 elementos
Utilización de tres elementos de autenticación independientes. Por ejemplo: una tarjeta inteligente activada por un PIN, con verificación biométrica. La idea es que la combinación de elementos es más robusta que cada elemento por independiente.
Autenticación de la otra parte
Corroboración de que entidad con la que se establece una asociación de seguridad es la que alega ser.
Autenticación de una entidad
Comprobación de que una entidad es la que alega ser.
Autenticación fuerte
Autenticación por medio de credenciales derivadas criptográficamente.
Autenticación multifactor
Autenticación multifactor Autenticación utilizando dos o más factores.
Autenticación simple
Autenticación por medio de arreglos de contraseñas simples.
Autenticador
Término en desuso (por el motivo expuesto en autenticación) referido a la integridad de los datos. Es preferible el empleo de los vocablos sinónimos abajo indicados.
Autenticar
Autorizar o legalizar algo.
Autoridad
Entidad responsable de la expedición de certificados. En esta Especificación se definen dos tipos; la autoridad de certificación que expide certificados de clave pública y la autoridad de atributo que expide certificados de atributo.
Autoridad de atributo
Una AA es una entidad autorizada para emitir certificados de atributos.
Autoridad de certificación
Entidad de confianza cuyo objeto es garantizar la identidad de los titulares de certificados digitales y su correcta asociación.
Autoridad de certificación raíz
En una estructura jerárquica de infraestructura de clave pública, es la autoridad de certificación origen de las rutas de confianza. Es decir, el origen de la confianza.
Autoridad de control
La autoridad pública independiente establecida por un Estado miembro (Reglamento (UE) 2016/679, de 27 de abril de 2016).
La autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
Autoridad de dominio de seguridad
Autoridad de seguridad que es responsable de la aplicación de una política de seguridad para un dominio de seguridad.
Autoridad de evaluación
Organismo que implementa los CC para una comunidad específica mediante un esquema de evaluación por el que se establecen las normas y se supervisa la calidad de las evaluaciones realizadas por organismos de dicha comunidad.
Autoridad Nacional de Reglamentación
El Gobierno, los departamentos ministeriales, órganos superiores y directivos y organismos públicos, que de conformidad con esta Ley ejercen las competencias que en la misma se prevén. (Ley 9/2014, de 9 de mayo).
Autoridad de registro
Entidad encargada de identificar de manera inequívoca a los usuarios.
Autoridad de seguridad
Entidad que es responsable de la definición, aplicación o cumplimiento de la política de seguridad.
Autoridad de sellado de tiempo
Tercera parte confiable para prestar servicios de fechado electrónico.
Autoridad de validación
Entidad que informa de la vigencia y validez de los certificados electrónicos.
Autoridad para operar
Decisión formal de la autoridad por la que se autoriza la entrada en producción de un sistema de información, aceptando el riesgo residual al que esté expuesta.
Autorización
En el contexto del control de acceso, la autorización es el otorgamiento de derechos de acceso u otros derechos similares a un usuario, programa o proceso. La autorización define lo que un individuo o programa puede hacer después de un proceso de autenticación satisfactorio.
Autoservicio de recuperación de contraseña
Proceso que permite a los usuarios recuperar el acceso a un sistema tras haber perdido su contraseña, sin recurrir al centro de ayuda de usuarios. Es habitual que el usuario proporcione una dirección de correo electrónico a la que le será enviada una contraseña temporal de desbloqueo. Mediante esta contraseña temporal, y durante un periodo de tiempo reducido, el usuario puede acceder y establecer una nueva contraseña. El acceso al correo electrónico se usa de prueba de autenticidad del usuario. Otros mecanismos más robustos pueden incluir mecanismos más robustos de autenticación alternativa.
Aviso Legal
Un aviso legal es un documento, en una página web, donde se recogen las cuestiones legales que son exigidas por la normativa de aplicación.
Awareness
La traducción que más se le ajusta es el de Consciencia, consciencia de las amenazas de ciberseguridad que nos acechan y de los riesgos que implican.
B
B2B
Término referido a las transacciones comerciales entre empresas. Abreviatura de «Business to Business».
B2C
Este término se refiere a la estrategia que desarrollan las empresas comerciales para llegar directamente al cliente o consumidor final. Abreviatura de «Business to Consumer».
Backdoor (Puerta trasera)
Tipo de código que permite acceder a un sistema y controlarlo de forma remota. Puede ser legítimo, pero también puede ser un medio de ataque, espionaje o robo de datos cuando se instala sin el conocimiento del usuario.
Backup
Copia de seguridad que se realiza sobre ficheros o aplicaciones contenidas en un ordenador.
Baiting
Un ataque de ingeniería social en el cual los medios físicos (como CD-ROMs o unidades flash USB) que contienen malware se dejan deliberadamente cerca de las instalaciones de una organización objetivo, donde pueden ser encontrados y posteriormente instalados por víctimas curiosas.
Barrido IP
Acción por la cual se chequean los puertos de comunicaciones y/o las direcciones IP de un ordenador, para localizarlos y obtener información sobre su estado.
Base de datos de gestion de la configuracion (CMDB)
Base de Datos usada para almacenar Registros de Configuración durante todo su Ciclo de Vida.
Base fiable de cálculo
En la terminología del TCSEC (libro naranja) estadounidense, mecanismos de protección, sean físicos, lógicos o ambos, que son responsables de la seguridad del sistema.
Bastion
Equipos de frontera que, situados fuera de la red interna, ofrecen servicios al exterior. Equipos hacen virtud de la necesidad de estar bien asegurados pues están muy expuestos a ataques externos.
Bastionado
Implementar todas las medidas de seguridad posibles para proteger un sistema.
Basuring en memoria
Acceso a información residual en la memoria de los dispositivos o sistemas con el animo de acceder a secretos.
BIA
Se trata de un informe que nos muestra el coste ocasionado por la interrupción de los procesos críticos de negocio. Abreviatura de «Business Impact Analysis».
Big Data
Una colección de conjuntos de datos tan grandes y complejos que son difíciles de trabajar con la gestión de bases de datos tradicionales y herramientas de análisis.
Big Data Security
Una solución basada en computadora que captura y almacena algunas o todas las fuentes de datos grandes de una organización para descubrir y mitigar las amenazas cibernéticas.
Big Endian
Ordenación de los bytes en memoria: byte más significativo primero.
Binario
Es un sistema de numeración, usado en informática, que utiliza sólo dos dígitos para representar valores. Esos dos dígitos son el 0 y el 1. Es un sistema en base dos. El sistema que utilizamos habitualmente, es el sistema en base diez, llamado también decimal. Ese sistema utiliza los números 0, 1, 2, 3, 4, 5, 6, 7, 8, y 9.
Biometría
La biometría es un método de reconocimiento de personas basado en sus características fisiológicas (huellas dactilares, retinas, iris, cara, etc.) o de comportamiento (firma, forma de andar, tecleo, etc.).
BIOS
Basic Input/Output System, es un código que se encuentra en un chip ROM en la placa de los ordenadores. Son las primeras instrucciones que se ejecutan al encender un equipo. Su cometido es comprobar el estado del dispositivo antes de cargar el sistema operativo. Si todo está bien: memorias RAM correctamente conectadas, detecta disco duro, periféricos, etc., da paso al sistema operativo, si hay alguna falla, emite una señal de aviso.
Bit
En informática se denomina bit (binary digit o dígito binario) a cada uno de los valores del sistema de numeración binario. El bit es la unidad más pequeña de información. Permite, por ejemplo, representar estados (abierto/cerrado o verdadero/falso) y asignar dichos valores al estado de encendido (1) o apagado (0).
BlackHat SEO
Conocido también como envenenamiento de los motores de búsqueda (SEO Poisoning), se trata de un conjunto de técnicas utilizadas para posicionar intencionalmente a un sitio webmalicioso entre los principales resultados arrojados por un buscador, con el objetivo de enlazar al usuario a contenido dañino. La ocurrencia de sucesos de alto interés público, tales como catástrofes naturales o eventos deportivos, suele generar una rápida contaminación en los resultados de las búsquedas.
Blowfish
Codificador de bloques simétricos, diseñado por Bruce Schneier en 1993 e incluido en un gran número de conjuntos de codificadores y productos de cifrado.
Bluetooth
Tecnología inalámbrica de radio de corto alcance.
Bomba Lógica
Trozo de código o texto escrito en el lenguaje de programación y que ha sido insertado intencionalmente en un programa informático, permaneciendo oculto hasta cumplirse una o más condiciones preprogramadas, momento en el que se ejecuta una acción maliciosa.
Bookmark
Marcadores o Favoritos. Marcas de página que almacenan un URL automáticamente, para facilitar regresar a él sin tener que recordar la dirección exacta.
Bootkit
Su finalidad es infectar un sistema, pero aprovechando la oportunidad del arranque para lograrlo. Este tipo de software es considerado una de las variantes de malware más peligrosas y de difícil detección y eliminación.
Borrado
Eliminación de la información de un sistema de información, sus equipos de almacenamiento y demás periféricos. El borrado debe ser sistemático y garantizar que la información no es recuperable por medio alguno. Por si fuera posible recuperar información de equipos teóricamente borrados, los soportes de información no deberían ser reutilizados sino con información del mismo nivel o superior.
Malware que se aloja en el inicio original del sistema operativo y afecta al registro de arranque o de volumen. Su objetivo es la obtención de acceso total a las funciones de la computadora antes de que finalice la carga del mismo.
Bot
Programa informático que efectúa tareas repetitivas automatizadas. Este término también se utiliza describir a la computadora zombi.
Botmaster
Persona que administra una red de robots informáticos, es la responsable de mantener a los zombis online, enviando órdenes y corrigiendo posibles errores.
Botnet
Una botnet es una red de ordenadores (zombies o bots) controlados remotamente por un atacante que las utiliza en conjunto para realizar diversas actividades como envío de spam, ataques de denegación de servicio, etc. Las hay con un servidor central al que se conectan los equipos infectados (bots) para enviar información y recibir comandos. Existen también las llamadas botnets P2P que se caracterizan por carecer de un servidor único.
Browser hijacking
Ataque que secuestra el navegador web de la víctima, pudiendo inyectar publicidad no deseada, robar información o dirigirlo a sitios maliciosos.
Bucle local o bucle de abonado de la red pública de comunicaciones electrónicas fija
El circuito físico que conecta el punto de terminación de la red a un dispositivo de distribución o instalación equivalente de la red pública de comunicaciones electrónicas fija. (Ley 9/2014, de 9 de mayo).
Bufer
Espacio de memoria en el que se almacenan datos temporalmente.
Bug
Error generalmente de diseño de un programa o producto que es descubierto después de ser lanzado al mercado.
Bulo
Son noticias falsas creadas para su reenvío masivo. También llamados hoax.
Bus
Se denomina bus al conjunto de conexiones físicas como cables o placas de circuito impreso (superficies constituida por caminos, pistas o buses de material conductor laminadas sobre una base no conductora), por donde circula la información para que los distintos componentes del ordenador se comuniquen entre sí.
Byte
El byte es la unidad de información digital formada usualmente por ocho bits (serie de ceros y unos). Los bytes, con sus prefijos, suelen emplearse para medir la capacidad de almacenamiento de los dispositivos de memoria o las tasas de transferencia de datos a través de redes informáticas.
C
Cabecera
En informática, cabecera (header en inglés) se refiere a la información suplementaria situada al principio de un bloque de información que va a ser almacenada o transmitida y que contiene información necesaria para el correcto tratamiento del bloque de información.
Cable coaxial
Es un tipo de cable formado por un conductor de cobre central separado por un aislante de una funda o camisa conductora externa. Por ejemplo, cable de antena o de audiovisuales.
Cable de par trenzado
Formado por cuatro pares de cables y utilizado en un gran número de redes. El material aislante recubre cada uno de los ocho cables individuales. Los pares están trenzados entre sí.
Cadena de certificados de seguridad
Secuencia ordenada de certificados de seguridad, en la cual el primer certificado de seguridad contiene información pertinente a la seguridad y cada certificado de seguridad subsiguiente contiene información de seguridad que se puede utilizar para verificar certificados de seguridad previos.
Cadena de custodia
Concepto legal que cubre la validez e integridad de las evidencias recogidas para sustentar un proceso judicial. Cubre todos los pasos desde la recogida hasta su utilización final.
Cadena de delegación
Secuencia ordenada de certificados que permite verificar la correcta delegación de un privilegio de una entidad a otra.
Cadena de interoperabilidad
Expresión de la interoperabilidad en el despliegue de los sistemas y los servicios como una sucesión de elementos enlazados e interconectados, de forma dinámica, a través de interfaces y con proyección a las dimensiones técnica, semántica y organizativa. (Real Decreto 4/2010, de 8 de enero).
Cámara de seguridad electrónica
Procedimiento de copia de seguridad consistente en que se copian los datos modificados en un servidor y se transmiten a un lugar fuera de las instalaciones mediante un proceso por lotes.
Camelia
Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits.
CAN
Campus Area Network. Es una red que conecta varias redes de área local a través de una zona geográfica limitada, como un campus universitario, oficinas, complejos industriales, etc. pertenecientes a una misma entidad en una superficie delimitada en kilómetros.
Canales
Estructuras o medios de difusión de los contenidos y servicios; incluyendo el canal presencial, el telefónico y el electrónico, así como otros que existan en la actualidad o puedan existir en el futuro (dispositivos móviles, TDT, etc). (Ley 11/2007, de 22 de junio).
Canal confiable
Medio por el que se pueden comunicar, con la confianza necesaria, la TSF y un producto de TI confiable remoto.
Canal oculto
Mecanismo no proyectado para comunicaciones, que es usado para transferir información violando la seguridad (ITSEC).
Cancelación
Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. (Real Decreto 1720/2007, de 21 de diciembre).
Canister
Contenedor físico empleado para transportar y proteger claves criptográficas en cinta perforada o en papel.
Capacidad
Testigo usado como identificador de un recurso, tal que la posesión del mismo por una entidad le confiere derechos de acceso sobre dicho recurso.
Capacidad de supervivencia
Capacidad de un sistema para continuar prestando un servicio activamente bajo condiciones adversas. Se consideran tanto desastres naturales, como accidentes y ataques deliberados.
Capec
Iniciativa gubernamental (USA) participativa para establecer una taxonomía y un diccionario de ataques en busca de un mejor entendimiento y una mejor defensa colectiva.
Capi (Cryptographic application programming interface)
Interfaz normalizada para que los programas usen servicios criptográficos facilitados por diferentes proveedores bajo una interfaz homogénea.
Captcha
Es una prueba de comprobación para establecer si el usuario es un ser humano o una máquina. Suele consistir en responder a una pregunta o realizar una acción concreta. Captcha es el acrónimo de “Completely Automated Public Turing test to tell Computers and Humans Apart”.
Cartas nigerianas
Se trata de una comunicación inesperada mediante correo electrónico carta o mensajería instantánea en las que el remitente promete negocios muy rentables.
Cargador de claves
Unidad electrónica auto contenida capaz de almacenar, al menos, una clave criptográfica y transmitir esta, bajo petición, al equipo criptográfico.
Carga remota de claves
Transmisión de un equipo criptográfico a otro de una clave criptográfica cifrada, que una vez descifrada operará en este último. La transmisión cifrada evita el compromiso de la clave criptográfica.
Categoría de un sistema
Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios. (Real Decreto 3/2010, de 8 de enero).
Cast
Algoritmo de cifra basado en un secreto compartido (clave).
CBC (Cipher block chaining)
Cifrado de información tal que cada bloque de texto cifrado es criptográficamente dependiente del precedente.
CCM (Counter with cipher block chaining message authentication code)
Modo de operación de un cifrador que garantiza confidencialidad y autenticidad.
Ceguera
Técnica de ocultación de tráfico importante en una red. La técnica consiste en inyectar tráfico masivo que provoque una saturación en los detectores que pudieran estar al acecho.
Centro de Comando & Control (C&C)
Servidor administrado por un bootmaster. Su función es el control y administración de los zombis que integran una Botnet. El Centro de Comando & Control permite el envío remoto de órdenes en forma de comandos.
Centro de operaciones de seguridad
Un Centro de Operaciones de Seguridad (COS) es una central de seguridad informática que previene, monitorea y controla la seguridad en las redes y en Internet. Los servicios que presta van desde el diagnóstico de vulnerabilidades hasta la recuperación de desastres, pasando por la respuesta a incidentes, neutralización de ataques, programas de prevención, administración de riesgos y alertas de antivirus informáticos.
Centro de respaldo
Un centro de respaldo es un centro de procesamiento de datos (CPD) específicamente diseñado para tomar el control de otro CPD principal en caso de contingencia.
CERT (Equipo de reacción rápida ante incidentes informáticos)
Organización especializada en responder inmediatamente a incidentes relacionados con la seguridad de las redes o los equipos. También publica alertas sobre amenazas y vulnerabilidades de los sistemas. En general tiene como misiones elevar la seguridad de los sistemas de los usuarios y atender a los incidentes que se produzcan.
Certificación
Es la determinación, obtenida mediante un proceso metodológico de evaluación, de la conformidad de un producto con unos criterios preestablecidos. (Orden PRE/2740/2007, de 19 de septiembre).
Certificado de autenticidad
El Certificado de autenticidad (COA) es una etiqueta especial de seguridad que acompaña a un software con licencia legal para impedir falsificaciones.
Certificado cruzado
Clave pública o certificado de atributo en el que el expedidor y el sujeto/titular son respectivamente dos CA o dos AA diferentes. Las CA y las AA expiden respectivamente certificados cruzados a otras CA o AA como mecanismo para autorizar la existencia de la CA sujeto (por ejemplo, en una jerarquía estricta) o para reconocer la existencia de la CA sujeto o la AA titular (por ejemplo, en un modelo fiduciario distribuido). La estructura del certificado cruzado se utiliza en ambos casos.
Certificado de atributo
Estructura de datos, firmada digitalmente por una autoridad de atributo, que vincula algunos valores de atributo con información de identificación de su titular.
Certificado de atributo autoexpedido
Certificado de atributo (AC) en el que el expedidor y el sujeto son la misma autoridad de atributo. Una autoridad de atributo podría utilizar un AC autoexpedido, por ejemplo, para publicar información de políticas.
Certificado de autenticación
Información de autenticación en forma de certificado, avalado por una Autoridad de Certificación, que puede ser usado para confirmar la identidad de una entidad.
Certificado de autenticación de sitio web
Una declaración que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado.
Certificado de autoridad
Certificado expedido a una autoridad (por ejemplo, puede ser a una autoridad de certificación o a una autoridad de atributo).
Certificado de clave pública
Clave pública de un usuario, junto con alguna otra información, hecha infalsificable por firma digital con la clave privada de la autoridad de certificación que la emitió.
Certificado de firma electrónica
Una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona.
Certificado de revocación
Certificado de seguridad expedido por una autoridad de seguridad para indicar que un determinado certificado de seguridad ha sido revocado.
Certificado de seguridad
Conjunto de datos pertinentes a la seguridad expedida por una autoridad de seguridad o tercera parte confiable, junto con información de seguridad que se utiliza para proporcionar servicios de integridad y autenticación de origen de los datos para los datos.
Certificado digital
Fichero informático generado por una entidad denominada Autoridad Certificadora (CA) que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet.
Certificado electrónico
Según el artículo 6 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, «Documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad». (Ley 11/2007, de 22 de junio).
Certificado electrónico reconocido
Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten (Ley 11/2007, de 22 de junio).
Cesión de datos
Comunicación de datos de carácter personal a una tercera persona sin el consentimiento del interesado.
Cesión o comunicación de datos
Toda revelación de datos realizada a una persona distinta del interesado. (Ley Orgánica 15/1999, de 13 de diciembre).
Tratamiento de datos que supone su revelación a una persona distinta del interesado. (Real Decreto 1720/2007, de 21 de diciembre).
CFB – Cipher feedback mode
Modalidad de cifrado de bloques que realimenta el texto cifrado, o parte del mismo para ser nuevamente cifrado operando el resultado o exclusivo con el texto claro, para obtener el siguiente bloque del texto cifrado. Si se realimentan n bits, el cifrado se denomina en modo realimentado de n bits. Su aplicación más frecuente se encuentra en la transmisión cifrada de información. Si se emplean para ello protocolos orientados al carácter se toman n=8 y si se eligen protocolos orientados al bit se escogen n=1.
CHAP – Challenge handshake authentication protocol
Protocolo de reto-respuesta por el que el receptor del reto es capaz de generar una respuesta válida, sólo si es quien dice ser. El reto debe cambiarse continuamente, sin repeticiones, para evitar ata-ques de «replay».
Ciberacoso o acoso cibernético
Mientras que el ciberbullying se da entre dos iguales, es decir entre niños o adolescentes, en el ciberacoso o acoso cibernético están involucrados adultos. Por lo tanto, algunos expertos distinguen entre ciberacoso y ciberbullying, restringiendo el término de ciberbullying únicamente a los casos en que el acoso se realice entre menores utilizando para ello los medios tecnológicos.
Ciberamenaza
Amenaza a los sistemas y servicios presentes en el ciberespacio o alcanzables a través de éste.
Ciberataque
Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan.
Ciberbullying
Se da cuando un niño o adolescente es molestado, amenazado, acosado o humillado por otra persona de su misma edad a través de redes sociales y, en general, mediante Internet o cualquier medio de comunicación como teléfonos móviles. Es continuado en el tiempo y se presenta de distintas formas, tales como insultos, discriminación o burla sobre las características físicas, forma de vestir o gustos del afectado. Por tanto, el ciberbullying es el uso de los medios telemáticos (Internet, telefonía móvil y videojuegos online, principalmente) para ejercer el acoso psicológico entre iguales. No se trata aquí el acoso o abuso de índole estrictamente sexual ni los casos en los que personas adultas intervienen.
Cibercrimen
Concepo de carácter genérico que engloba acciones antijurídicas y culpables cometidas a través de las TIC.
Cibercrisis
Un evento TIC grave, no autorizado o inesperado, donde han fracasado los mecanismos automá-ticos previstos, y los técnicos no pueden resolverlo.
Ciberdefensa
Concepto que engloba todas las actividades ofensivas y defensivas en las que se utilizan como medio aquellos relacionados con las infraestructuras TIC (Ej. Redes de ordenadores, ordenadores, programas informáticos, etc.), y cuyo “campo de batalla” es el Ciberespacio. Las actividades de desarrollo de la ciberdefensa van encaminadas hacia la capacitación de los gobiernos y naciones en la denominada “Ciberguerra”.
Ciberdelincuencia
Actividades delictivas llevadas a cabo mediante el empleo del ciberespacio, ya sea para dirigirlas hacia los sistemas y servicios presentes en el mismo o alcanzables a través suyo.
Ciberdelincuente
Aquel que realiza actividades delictivas en internet; fundamentalmente piratería, ataques a sistemas, publicación de contenidos ilegal o fraude y falsificación.
Ciberdelito
Actividad delictiva que emplea el ciberespacio como objetivo, herramienta o medio.
Ciberejercicio
Maniobras militares en el campo de batalla cibernético, o sea, entrenamientos de preparación para una guerra que se libra en el ciberespacio. Su objetivo suele ser medir la capacidad de ataque, defensa, resistencia, recuperación o cualquier otra característica, en una situación real de ciberguerra.
Ciberespacio
Dominio global y dinámico compuesto por infraestructuras de tecnología de la información —incluyendo internet—, redes de telecomunicaciones y sistemas de información.
Ciberespionaje
Actividades de espionaje llevadas a cabo en el ciberespacio o utilizando el ciberespacio como medio.
Ciberguerra
Lucha armada (en este caso las armas son las TIC) entre dos o más naciones o entre bandos de una misma nación, en la que se utiliza el Ciberespacio como campo de batalla.
Ciberincidente
Incidente relacionado con la seguridad de las TIC que se produce en el Ciberespacio. Este término engloba aspectos como los ataques a sistemas TIC, el fraude electrónico, el robo de identidad, el abuso del Ciberespacio, etc.
Ciberinfraestructura
Agregado de sistemas, procesos y personas que constituyen el ciberespacio.
Ciberinteligencia
Actividades de inteligencia en soporte de la ciberseguridad. Se trazan ciberamenazas, se analizan las intenciones y oportunidades de los ciberadversarios con el fin de identificar, localizar y atribuir fuentes de ciberataques.
Ciberofensiva
Capacidad ofensiva en redes y sistemas con el objetivo de limitar o destruir la capacidad operativa de un ciberadversario. Esta capacidad busca garantizar la libertad de acción propia en el ciberes-pacio. Los ciberataques se pueden lanzar bien para repeler un ataque (ciberdefensa), bien como soporte de otras operaciones.
Ciberoperaciones
Empleo de las oportunidades que ofrece el ciberespacio a fin de alcanzar objetivos en o usando el ciberespacio.
Ciberseguridad
La ciberseguridad es la práctica de defender las computadoras y los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. También se conoce como seguridad de la tecnología de la información o seguridad de la información electrónica. El término es amplio y se aplica a numerosos elementos, desde seguridad informática hasta recuperación ante desastres y educación del usuario final.
Ciberterrorismo
El ciberterrorismo o terrorismo electrónico es el uso de medios de tecnologías de información, co-municación, informática, electrónica o similar con el propósito de generar terror o miedo genera-lizado en una población, clase dirigente o gobierno, causando con ello una violación a la libre voluntad de las personas. Los fines pueden ser económicos, políticos o religiosos principalmente. El término ha sido muy criticado, siendo considerado como un método de satanización para aque-llas personas descontentas del orden establecido y que actúan en contra de éste es Internet, gracias a la libertad de ésta.
Ciclo de Deming
Sinónimo de Planificar Ejecutar Comprobar y Actuar.
Ciclo de vida de un documento electrónico
Conjunto de las etapas o períodos por los que atraviesa la vida del documento, desde su identificación en un sistema de gestión de documentos, hasta su selección para conservación permanente, de acuerdo con la legislación sobre Archivos de aplicación en cada caso, o para su destrucción reglamentaria. (Real Decreto 4/2010, de 8 de enero).
Cifrado
Proceso para convertirinformación en un formato ilegible, a excepción de los titulares de una clave criptográfica específica. El cifrado se utiliza para proteger la información entre el proceso de ci-frado y el proceso de descifrado (lo contrario del cifrado) de la divulgación no autorizada.
Cifrado a nivel de enlace
Aplicación individual de cifrado de datos en cada enlace de un sistema de comunicación. En este cifrado, tanto el propio mensaje obtenido en el nivel de aplicación, como los datos añadidos en los niveles comprendidos, se transmiten cifrados. Por lo que se debe descifrar el paquete en cada nodo de la red para que este averigüe el siguiente nodo al que mandar el mismo, al contrario de lo que ocurre en el cifrado extremo a extremo.
Cifrado analógico de voz
Procedimiento impropiamente llamado cifrado consistente en alterar alguna de las características de la señal eléctrica resultante de la audible, es decir, se pueden invertir las frecuencias de dicha señal, multiplexar en el tiempo la frecuencia…
Cifrado asimétrico
Aquel basado en técnicas criptográficas asimétricas, cuya clave pública se usa para cifrar y cuya clave privada se emplea para descifrar. Es término sinónimo de «criptosistema de clave pública».
Cifrado autenticado
Transformación de los datos con el objetivo de proteger la confidencialidad y la integridad, además de garantizar el origen de dichos datos.
Cifrado autosíncrono
Cifrado de flujo que utiliza una serie cifrante tal que cada uno de sus símbolos se obtiene a partir de un cierto número de símbolos previos del texto en claro.
Cifrado César
También conocido como “cifrado por desplazamiento”. Es un sencillo sistema de cifrado en el que una letra del mensaje original es sustituida por otra que ocupa un posición fija en el alfabeto. De tal manera que una clave que sea “n=5” significará que la “a” será sustituida por la “f”.
Cifrado de flujo
Algoritmo de cifrado que opera sobre el texto o símbolo a símbolo (sea este un bit o un carácter), por contraste con el modo de operar del cifrado de bloque.
Cifrado de archivos
Técnica o tecnología (ya sea software o hardware) para cifrar todo el contenido de archivos específicos. Consulte también Cifrado de disco o Cifrado de bases de datos a nivel de columna.
Cifrado de columnas en bases de datos
Técnica o tecnología (ya sea software o hardware) para cifrar el contenido de una columna específica de una base de datos y no todo el contenido de toda la base de datos. Consulte también Cifrado de disco o Cifrado a nivel de archivo.
Cifrado del enlace
Cifrado de información realizado en el segundo nivel (enlace) del modelo OSI (Open System Interconnection). En este cifrado tanto el propio mensaje, obtenido en el nivel de aplicación, como los datos añadidos en los niveles comprendidos entre el sexto (presentación) y el tercero (red) se transmiten cifrados. Por tanto, y a diferencia de lo que sucede en el cifrado extremo a extremo, se debe descifrar el paquete en cada nodo de la red para que éste averigüe el siguiente nodo al que mandar el mismo.
Cifrado de texto con auto – clave
Método de cifra en serie en el que se utiliza como clave de cifrado el texto cifrado obtenido anteriormente.
Cifrado irreversible
Aquél basado en un algoritmo invertible en algún sentido. En ocasiones, caso del cifrado asimétrico, el algoritmo inverso se obtiene con el concurso de un parámetro, clave privada, distinto del empleado para el algoritmo directo, clave pública.
Cifrado en bloque
Algoritmo de cifra que divide el texto en claro en bloques de igual longitud, operando sobre cada uno de éstos considerado como una unidad. La longitud del bloque está prefijada en algunos algoritmos de cifra, como el DES o el IDEA, y en otros es variable por el usuario, como el RC-5.
Cifrado extremo a extremo
Cifrado de información entre los extremos emisor y receptor del canal de transmisión (ISO-7498- 2) Más concretamente, se denomina así al cifrado realizado en los niveles superiores (aplicación o presentación) del modelo OSI. Presenta la ventaja de no precisar el descifrado al atravesar los sucesivos nodos de la red.
Cifrado masivo
Proceso de cifrado en el cual un único dispositivo criptográfico cifra dos o más canales de un sistema de telecomunicación.
Cifrado simétrico
Algoritmo de cifra basado en una función invertible, tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clave secreta. También recibe este nombre aquel algoritmo de cifra que depende de un parámetro diferente del de su inverso, pero tal que el conocimiento de uno permite, en un tiempo razonable y con unos recursos limitados, el conocimiento del otro.
Cifrado Vernam
Cifrado de flujo que usa una clave constituida por una sucesión de símbolos (bits o caracteres) llamada serie cifrante, operando o-exclusivo cada símbolo de ésta con el correspondiente del texto en claro. Debido a la definición de la función o exclusivo, el descifrado se realiza, igualmente, operando con dicha función cada bit de la misma serie cifrante con el correspondiente del texto cifrado. Si la serie cifrante no se repite, es aleatoria, y de longitud igual, al menos, al texto a cifrar éste cifrado alcanza el secreto perfecto. Además, es el único que verifica tal condición. Este cifrado fue ideado en 1971 por Gilbert S. Vernam -ingeniero de la compañía ATT- para ser usado en transmisión telegráfica con el código Baudot.
CISO (Chief Information Security Officer)
Responsable de Seguridad de la Información dentro de una organización. Se encarga de numerosas actividades: Desde el punto de vista organizativo, puede pertenecer a la facción, o puede depender de la Dirección; desde el punto de vista de su misión, en general se ocupa de gestionar los riesgos sobre la información de una organización y, para ello, se ocupa de definir y conseguir que se cumplan las políticas de seguridad; también le suele caer el cumplimento de legislación, regulación, normativas sectoriales, etc, en materia de seguridad de la información; se suele apoyar en un sistema de gestión de seguridad de la información (SGSI), que le permite ver el estado de la seguridad de la información de la organización en un momento dado y actuar en consecuencia; y, en innumerables casos, también debe responsabilizarse de la operación de soluciones de seguridad.
Ciudadano
Cualesquiera personas físicas, personas jurídicas y entes sin personalidad que se relacionen, o sean susceptibles de relacionarse, con las Administraciones Públicas. (Ley 11/2007, de 22 de junio).
Clave custodiada
Sistema de gestión de claves que supone la existencia de una institución (pública o privada) confiable que almacenan una clave criptográfica, custodiándola en nombre de su legítimo propietario. Usualmente, el sistema conlleva el uso de claves criptográficas constituidas por dos, o más, componentes, que aisladamente no permiten la reconstrucción de la clave. Cada una de estas componentes se almacena y custodia en una institución confiable diferente. Estas instituciones sólo entregan la componente en ellas depositada bajo requerimiento judicial, permitiendo así la recomposición de la clave criptográfica del dispositivo.
Clave de arranque
Clave que modifica o desbloquea las claves contenidas en un equipo por lo que, cuando no se prevé la utilización del equipo y dicha clave no está cargada, no se precisa borrar el resto de claves por motivos de seguridad pues el equipo no está activado. Suele estar contenida en un módulo de claves.
Clave débil
Valor particular de una clave criptográfica de la que resulta un criptosistema más vulnerable que el obtenido con claves no débiles. Existen también claves débiles para las funciones resumen y los algoritmos de firma digital.
Clickjacking
Es un secuestro de clic. Cuando ocurre, el usuario hace click en un enlace y, sin saberlo, ejecuta una acción. Su propósito es, por tanto, capturar eventos de clic. También es conocido como UI redressing.
Códigos de conducta
Recomendaciones o reglas que tienen por finalidad determinar las normas deontológicas aplicables en el ámbito de la tecnología y la informática con el objeto de proteger los derechos fundamentales de los usuarios.
Comunicación del riesgo
Procesos iterativos y continuos que realiza una organización para proporcionar, compartir u obtener información y para establecer el diálogo con las partes interesadas, en relación con la gestión del riesgo.
Conmutacion de circuitos
Conmutación de circuitos. La conmutación de circuitos es un tipo de conexión que realizan los diferentes nodos de una red para lograr un camino apropiado para conectar dos usuarios de una red de telecomunicaciones.
Conmutacion de paquete
La conmutación de paquetes es un método de agrupar los datos transmitidos a través de una red digital en paquetes que se componen de un encabezado y una carga útil.
Comercio electrónico
Conjunto de transacciones comerciales (compra y venta de productos y servicios) que se realizan mediante medios electrónicos. E-commerce.
Computación en la nube
Paradigma que permite ofrecer servicios de computación a través de una red, que usualmente es Internet. Sinónimo: cloud computing.
Comunicación comercial
Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica. (Ley 34/2002, de 11 de julio).
Confidencialidad
Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados. (Real Decreto 3/2010, de 8 de enero).
Consentimiento del interesado
Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. (Ley Orgánica 15/1999, de 13 de diciembre).
Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. (Real Decreto 1720/2007, de 21 de diciembre).
Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
Consumidor
Cualquier persona física o jurídica que utilice o solicite un servicio de comunicaciones electrónicas disponible para el público para fines no profesionales. (Ley 9/2014, de 9 de mayo).
Contactless
Es sistema de pago sin contacto. Permite efectuar pagos mediante tecnologías de identificación por radiofrecuencia incorporadas en tarjetas bancarias, llaveros, tarjetas inteligentes, teléfonos móviles, etc.
Contraseña
Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso. (Real Decreto 1720/2007, de 21 de diciembre).
Contraseña desechable
Datos usados como medio de autenticación, cuyo uso no se repite más de una vez. Habitualmente el ordenador ante el que se desea autenticar un usuario le lanza una pregunta (en ocasiones conocida como reto), diferente de vez en vez, constituida por un conjunto de caracteres numéricos obtenidos por un generador de números pseudo aleatorios. Estos caracteres son devueltos por el usuario tras su cifrado mediante un algoritmo y clave sólo conocidos por éste y el ordenador.
Contraseña predeterminada
Contraseña de las cuentas de usuario, servicio o administración de sistemas predefinidas en un sistema, aplicación o dispositivo asociado con la cuenta predeterminada. Las contraseñas y cuentas predeterminadas son de dominio público y, en consecuencia, es fácil averiguarlas.
Conjunto de caracteres utilizado para validar la identidad de un usuario en un sistema. Se supone que es conocida únicamente por el usuario al que pertenece.
Contrato celebrado por vía electrónica o contrato electrónico
Todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones. (Ley 34/2002, de 11 de julio).
Control
Medida que modifica un riesgo.
Control de acceso
Mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. (Real Decreto 1720/2007, de 21 de diciembre).
Control parental
Conjunto de herramientas o medidas que se pueden tomar para evitar que los menores de edad hagan un uso indebido del ordenador.
Cookie
Pequeño fichero que almacena información enviada por un sitio web y que se almacena en el equipo del usuario.
Copia de respaldo
Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. (Real Decreto 1720/2007, de 21 de diciembre).
Correlación
Es una de las funcionalidades más potentes de la gestión de logs y eventos de seguridad: la capacidad de relacionar logs que provienen de elementos distintos para poder tener una visión más completa de lo que pueda estar pasando o haya pasado.
Cortafuegos
Sistema de seguridad compuesto o bien de programas (software) o de dispositivos hardware situados en los puntos limítrofes de una red. Sinónimo: firewall.
Cortafuegos de nueva generación (Next-Generation Firewall o NGFW)
Dispositivo cuya función es gestionar la seguridad entre redes LAN permitiendo o denegando las conexiones, pero va más allá con funcionalidades avanzadas que se pueden activar o desactivar de forma modular, tales como Detección de Intrusos (IPS), Prevención de Intrusos (IDS), Control de Aplicaciones, Prevención de perdida de datos (DLP), Autenticación de Usuarios, Concentrador VPN, Antivirus y Filtrado Web.
Coste que no suponga una dificultad de acceso
Precio del estándar que, por estar vinculado al coste de distribución y no a su valor, no impide conseguir su posesión o uso. (Real Decreto 4/2010, de 8 de enero).
Crack
Programa que modifica de forma temporal o permanente una aplicación para eliminar limitaciones o candados impuestos en los mismos originalmente. Generalmente un crack sirve exclusivamente para una determinada aplicación (incluso sólo para una determinada versión de esa aplicación). Aquellos programas que tienen limitaciones (sólo 30 días de uso, deshabilitadas funciones principales, etc.) pueden ser crackeados y volverse totalmente funcionales. Hay que destacar que esta actividad es considerada poco ética y hasta ilegal. Los cracks suelen ser programados por los crackers. Un tipo de crack son los keygens.
Crawler
También denominadas “arañas”, estas herramientas permiten indexar de manera recursiva páginas web, sondeando constantemente la Web.
Creepware
Subconjunto de un software espía que permite acceso remoto a los dispositivos personales de la víctima, particularmente otorgando control sobre la cámara web y micrófono.
Crimepack
Su objetivo es el robo económico. Es un kit que se instala en un servidor web desde el que se realizan las acciones.
Crimeware
Hace referencia a un software creado específicamente para robar datos financieros a través de conexiones de internet. Esta palabra no debe ser utilizada para referirse a cualquier tipo de crimen en línea ya que sus características han sido bastante delimitadas en el campo de la ciberseguridad. Sin embargo, la empresa Symantec asegura que en el crimeware se incluyen programas que pueden clasificarse como bots, programas de registro de pulsaciones de teclas, spyware, puertas traseras o troyanos.
Criptografía
Campo de estudio que se encarga del cifrado y codificación de información para evitar su lectura e interpretación en caso de que esta información sea interceptada.
Criptografía asimétrica
También llamada Criptografía de dos claves. Una pública y otra privada.
Cross-Site scripting (XSS)
Agujero de seguridad que permite inyectar código para alterar la apariencia. También puede ingresar scripts en campos que serán grabados en la base de datos.
CSIRT (Computer Security Incident Response Team)
Un CSIRT es un grupo de personas totalmente especializadas en ciberseguridad que prestan unos servicios a sus clientes de forma remota, desde unos centros de servicio. El CSIRT más famoso se llama CERT Coordination Center (CERT/CC), en la Universidad Carnegie Mellon de EEUU, por eso se utilizan los términos CSIRT y CERT para referirnos a lo mismo.
CSO (Chief Security Officer)
El término se utiliza mucho en el ámbito americano, aunque, en España no tanto, utilizando más el término de Director de Seguridad dentro de una organización.
Cuadro de mando
Un cuadro de mando de seguridad incluye indicadores relativos a la seguridad. Estos indicadores se deben definir caso a caso porque normalmente van asociados a un conjunto de controles de seguridad específicos de la organización. Lista estandarizada de controles definida en el estándar ISO 27002.
CSR
Un CSR es una clave pública que se genera en el servidor de acuerdo a las instrucciones del software de servidor. (Si usted no tiene acceso a su servidor, su proveedor de servicios de hosting web o Internet la generará por usted.) El CSR es necesario durante el proceso de solicitud de certificados SSL porque permite validar la información específica acerca de su servidor web y su organización.
Cyberwarfare
Ataque cibernético de motivación política para llevar a cabo sabotaje y/o espionaje contra otra nación.
D
Darknet
el término darknet no tiene una definición universalmente aceptada. Sin embargo, basándose en las versiones más populares, se puede decir que la red oscura es una colección de redes y tecnologías usadas para compartir información y contenidos digitales que está «distribuida» entre los distintos nodos y que trata de preservar el anonimato de las identidades de quienes intercambian dicha información, es decir, persiguen el anonimato del origen y del destino cuando se produce la transferencia de información.
Darkweb
Si la Deep Web es el 90% de Internet, la Dark Web ocuparía únicamente el 0,1% de ella. Es una porción de Internet intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial. La Dark Web por lo tanto forma parte de la Deep Web, pero son cosas diferentes. Por ejemplo, si la Deep Web fuera una ciudad, la Dark Web serían varios barrios. Forman parte de la ciudad, pero no son la ciudad.
Data – Centric Security
Considera que el activo a proteger es el propio dato y no lo que le rodea, por lo en vez de focalizarse en la seguridad que ponemos en las aplicaciones que crean los datos, o en las redes de comunicaciones por las que viajan, o los dispositivos que acceden, hay que centrarse en conseguir un dato lo suficientemente autoprotegido.
Dato
Una representación de hechos, conceptos o instrucciones de un modo formalizado, y adecuado para comunicación, interpretación o procesamiento por medios automáticos o humanos. (Real Decreto 4/2010, de 8 de enero).
Datos biométricos
Dato personal obtenido a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
Datos de carácter personal
Cualquier información concerniente a personas físicas identificadas o identificables. (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. (Real Decreto 1720/2007, de 21 de diciembre).
Datos de carácter personal relacionados con la salud
Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. (Real Decreto 1720/2007, de 21 de diciembre).
Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
Dato de creación de firma
Son aquellos datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica.
Datos de localización
Cualquier dato tratado en una red de comunicaciones electrónicas o por un servicio de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público. (Ley 9/2014, de 9 de mayo).
Datos de validación
Aquellos datos utilizados para validar una firma electrónica o un sello electrónico.
Datos de verificación de firma
Son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.
Dato disociado
Aquél que no permite la identificación de un afectado o interesado. (Real Decreto 1720/2007, de 21 de diciembre).
DD-WRT
Es un Firmware de código libre para routers inalámbricos, basado en Linux.
DDoS
Ataque distribuido de denegación de servicio, por sus siglas en inglés “Distributed Denial of Service”. Ampliación del ataque DoS que se lleva a cabo generando un gran flujo de información desde varios puntos de conexión, por lo general a través de una botnet. El ataque se realiza a través del envío de determinados paquetes de datos al servidor, de forma tal de saturar su capacidad de trabajo y forzar que el servicio deje de funcionar.
Debug
O depuración, se refiere al proceso de limpieza que se realiza en un programa para identificar y corregir errores o problemas de programación. Del inglés debugging que viene a ser la traducción literal de eliminación de bichos (bugs), nombre con el que se conoce coloquialmente a los errores de programación. Dado que con el paso del tiempo el software y los sistemas electrónicos se van generando más complejos, se han ido desarrollando varias técnicas de depuración para detectar anomalías, corregir funcionalidades y optimizar el código fuente. Se dice que un programa se encuentra depurado cuando está libre de errores. En el proceso de depuración se realiza un seguimiento en el funcionamiento de dicho programa, observando los valores de las distintas variables, así como analizando también, los resultados obtenidos en las operaciones.
Declaración de seguridad
Conjunto de requisitos y especificaciones de las propiedades de seguridad de un producto o sistema de las Tecnologías de la Información. (Orden PRE/2740/2007, de 19 de septiembre).
Declarante de privilegios
Titular de un privilegio que utiliza su certificado de atributo o su certificado de clave pública para aseverar un privilegio.
Deep Web
Conjunto de servidores, sitios web y bases de datos que, aun estando en Internet, no están indexados en los motores de búsqueda, y son por ello de difícil acceso y difíciles de rastrear.
Defacement
Ataque a un sitio web mediante el que el agresor accede al servidor y modifica el contenido de la página, generalmente reemplazándola con su propio código.
Defensa en profundidad
Proviene de la terminología militar y se refiere a una estrategia que pretende aplicar controles de seguridad para proteger los datos en diferentes capas de modo que una amenaza de seguridad debe poder vulnerar más de una medida de seguridad.
Delito informático
Crimen que utiliza medios electrónicos o comunicaciones basadas en Internet u otras tecnologías para llevarse a cabo.
Depósito de claves
Sistema de gestión de claves en el que una clave o partes de la misma se distribuyen entre una o varias terceras partes confiables o agentes de depósito. Posteriormente será posible que, personal autorizado siguiendo un determinado procedimiento, obtenga, a partir de la clave depositada, la clave de cifrado empleada en una comunicación.
Denegación de servicio
Técnicas que tienen por objetivo dejar un servidor inoperativo mediante la sobrecarga del mismo.
Derechos especiales
Los derechos concedidos a un número limitado de empresas por medio de un instrumento legal, reglamentario o administrativo que, en una zona geográfica específica: designen o limiten, con arreglo a criterios que no sean objetivos, proporcionales y no discriminatorios, a dos o más el número de tales empresas autorizadas a prestar un servicio o emprender una actividad determinada, o confiera a una empresa o empresas, con arreglo a tales criterios, ventajas legales o reglamentarias que dificulten gravemente la capacidad de otra empresa de prestar el mismo servicio o emprender la misma actividad en la misma zona geográfica y en unas condiciones básicamente similares. (Ley 9/2014, de 9 de mayo).
Derechos exclusivos
Los derechos concedidos a una empresa por medio de un instrumento legal, reglamentario o administrativo que le reserve el derecho a prestar un servicio o a emprender una actividad determinada en una zona geográfica específica. (Ley 9/2014, de 9 de mayo).
Desarrollo seguro de aplicaciones
Bajo este concepto se entiende la gestión de vulnerabilidades del código fuente que presentan las aplicaciones que se están desarrollando o las ya desarrolladas. Evidentemente, cuanto más desarrollada está la aplicación más difícil y costoso es gestionar las vulnerabilidades propias de su programación.
Desbordamiento de búfer
Error de un programa que no controla adecuadamente la cantidad de datos que se copian sobre un área de memoria.
Desborde de memoria
Se produce cuando excedemos la cantidad de memoria asignado por el sistema operativo, y se escribe en el bloque de memoria contiguo. Este fallo, denominado buffer overflow, puede ser utilizado por un atacante para tomar control del equipo o también para ejecutar un ataque de Denegación de Servicios (DoS).
Descodificar
Aplicar inversamente las reglas de su código a un mensaje codificado para obtener la forma primitiva de este.
Destinatario
La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
(o cesionario): La persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. (Real Decreto 1720/2007, de 21 de diciembre).
Destinatario del servicio o destinatario
Persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información. (Ley 34/2002, de 11 de julio).
Digitalización
El proceso tecnológico que permite convertir un documento en soporte papel o en otro soporte no electrónico en uno o varios ficheros electrónicos que contienen la imagen codificada, fiel e íntegra del documento. (Real Decreto 4/2010, de 8 de enero).
Diodo
Un diodo es un dispositivo semiconductor que actúa esencialmente como un interruptor unidireccional para la corriente. Permite que la corriente fluya en una dirección, pero no en la opuesta.
Dirección
Cadena o combinación de cifras y símbolos que identifica los puntos de terminación específicos de una conexión y que se utiliza para encaminamiento. (Ley 9/2014, de 9 de mayo).
Dirección electrónica
Identificador de un equipo o sistema electrónico desde el que se provee de información o servicios en una red de comunicaciones. (Ley 11/2007, de 22 de junio).
Dirección IP
Un número único e irrepetible con el cual se identifica a todo sistema conectado a una red.
Dirección MAC
Una dirección MAC, también conocida como dirección física, es un valor de 48 bits único e irrepetible que identifica todo dispositivo conectado a una red.
Disponibilidad
Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. (Real Decreto 3/2010, de 8 de enero).
Dispositivo de análisis de malware
Dispositivo de alto rendimiento diseñado para analizar automáticamente archivos sospechosos y descubrir el malware, ejecutando esos archivos dentro de la seguridad de un entorno de máquina virtual de sandbox.
Dispositivo de visibilidad SSL
Aparato de alto rendimiento diseñado para inspeccionar el tráfico cifrado SSL (y TLS), hacer cumplir políticas de uso de SSL, descifrar el tráfico SSL para la inspección y/o captura de datos por uno o más dispositivos de seguridad de red y eliminar el punto ciego de seguridad que crea el tráfico cifrado.
DLP (Data Loss Prevention)
El DLP detecta si existen fugas de información importantes y, si se puede, detenerlas. La solución a la fuga de información se suele abordar en dos fases. Lo primero es conocer cuál es la información importante para ti. Lo segundo es aplicar medidas tecnológicas en los puntos de fuga para detectar el intento y poder pararlo.
DMZ (DeMilitarized Zone)
Cuando las organizaciones se abrieron a internet, se dieron cuenta que desde fuera cualquiera podía llegar a cualquier sitio de su red interna. Ya solo con la publicación de la página web corporativa, se vio que era imprescindible crear un perímetro de seguridad, que separara el exterior (internet) la red interna, algo que se solucionó con los cortafuegos. Los cortafuegos consiguen crear el perímetro y también crear zonas de la red a las que se pueda acceder desde fuera sin comprometer la seguridad de la red interna. Estas zonas son las DMZ, que son trozos de red donde se conectan los servidores que van a ser públicos, como por ejemplo la página web corporativa, controlando totalmente el acceso a las zonas más internas de la red de la organización.
DNS
Siglas que forman la denominación Domain Name System o Sistema de Nombres de Dominio. Los DNS sirven para indicarle al usuario que teclea una página web a que servidor debe ir a consultar esa página.
DNS hijacking
Es el secuestro o redireccionamiento de DNS. El atacante controla la resolución de peticiones DNS de la máquina, pudiendo dirigir dominios legítimos a direcciones IP maliciosas.
DNS Spoofing
Altera las direcciones correspondientes a los servidores DNS de la víctima; las cambia por otras de servidores DNS maliciosos.
Doble factor de autenticación (2FA)
Es una medida de seguridad extra que permite elevar el nivel de protección de los sistemas mediante la utilización de una combinación de principios de seguridad. Estos son: algo que el usuario es; algo que el usuario sabe; algo que el usuario tiene. La utilización de al menos dos de estos factores en los procesos de autenticación busca proteger de aquellos ataques en los cuales las credenciales que se utilizan para legitimar las acciones sobre el sistema han sido vulneradas.
Documento
Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. (Real Decreto 1720/2007, de 21 de diciembre).
Documento electrónico
Información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado. (Ley 11/2007, de 22 de junio y Real Decreto 4/2010, de 8 de enero).
Dominio
Un dominio es el nombre único y exclusivo que se le da a un sitio web en Internet para posibilitar su acceso.
DoS
Ver «Denegación de Servicio».
Downloader
Troyano cuya función es la descarga e instalación de archivos dañinos u otras variantes de malware en el sistema infectado.
Drive-by download
Forma de ciberataque que se produce cuando un usuario descarga de forma involuntaria un software de ordenador proveniente de Internet. El sitio web descarga el malware en la computadora de la víctima sin que la víctima se da cuenta.
E
E-administracion
Administracion electronica
EAP
Protocolo que teóricamente aumenta la seguridad y que identifica al usuario de cara a la red en la que éste pretende entrar.
EBCDIC (código)
Es un código que utiliza 8 bits para representar cada carácter, por lo tanto, permite codificar hasta 256 caracteres.
Elaboración de perfiles
Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
Empresa
Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
EMV
Es el acrónimo de “Europay, MasterCard and Visa”. EMV es un estándar de interoperabilidad de tarjetas con circuito integrado y terminales de punto de venta (TPV) para la autenticación de pagos con tarjeta (de crédito o débito). Las tarjetas referidas reemplazan los sistemas magnéticos por un microprocesador integrado siendo, por ello, más resistentes a réplicas ilegítimas.
Encargado del tratamiento o encargado
La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. (Ley Orgánica 15/1999, de 13 de diciembre).
La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. (Real Decreto 1720/2007, de 21 de diciembre).
Epub
Acrónimo de Electronic publication (publicación electrónica). Es un formato estándar de documento, orientado a su visualización en dispositivos electrónicos de lectura como los ebooks.
Equipo avanzado de televisión digital
Decodificadores para la conexión a televisores o televisores digitales integrados capaces de recibir servicios de televisión digital interactiva. (Ley 9/2014, de 9 de mayo).
Equipo terminal
Equipo destinado a ser conectado a una red pública de comunicaciones electrónicas, esto es, a estar conectado directamente a los puntos de terminación de aquélla o interfuncionar, a su través, con objeto de enviar, procesar o recibir información. (Ley 9/2014, de 9 de mayo).
Error de software
Es un error o fallo en un programa de dispositivo o sistema de software que desencadena un resultado indeseado. Sinónimo: bug.
Escala de privilegios
La escala de privilegios no es más que conseguir los mismos permisos que tendría un usuario elevado como por ejemplo Administrador o Root. Una escala de privilegios se da cuando en un software, aplicación o código se puede conseguir vulnerar mediante una serie de comandos o parámetros los cuales hacen que el sistema o archivo nos de privilegios elevados.
Espacios comunes o ventanillas únicas
Modos o canales (oficinas integradas, atención telefónica, páginas en Internet y otros) a los que los ciudadanos pueden dirigirse para acceder a las informaciones, trámites y servicios públicos determinados por acuerdo entre varias Administraciones. (Ley 11/2007, de 22 de junio).
Especificación formalizada
Aquellas especificaciones que o bien son normas en el sentido de la Directiva 98/34 o bien proceden de consorcios de la industria u otros foros de normalización. (Real Decreto 4/2010, de 8 de enero).
Especificación técnica
Una especificación que figura en un documento en el que se definen las características requeridas de un producto, tales como los niveles de calidad, el uso específico, la seguridad o las dimensiones, incluidas las prescripciones aplicables al producto en lo referente a la denominación de venta, la terminología, los símbolos, los ensayos y métodos de ensayo, el envasado, el marcado y el etiquetado, así como los procedimientos de evaluación de la conformidad. (Real Decreto 4/2010, de 8 de enero).
La especificación que figura en un documento que define las características necesarias de un producto, tales como los niveles de calidad o las propiedades de su uso, la seguridad, las dimensiones, los símbolos, las pruebas y los métodos de prueba, el empaquetado, el marcado y el etiquetado. Se incluyen dentro de la citada categoría las normas aplicables al producto en lo que se refiere a la terminología. (Ley 9/2014, de 9 de mayo).
Espectro radioeléctrico
Ondas electromagnéticas, cuya frecuencia se fija convencionalmente por debajo de 3.000 GHz, que se propagan por el espacio sin guía artificial. (Ley 9/2014, de 9 de mayo).
Esquema de metadatos
Instrumento que define la incorporación y gestión de los metadatos de contenido, contexto y estructura de los documentos electrónicos a lo largo de su ciclo de vida. (Real Decreto 4/2010, de 8 de enero).
Establecimiento principal
a) En lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;
b) En lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento. (Reglamento (UE) 2016/679, de 27 de abril de 2016).
Estación de trabajo
O workstation es un computador de altas prestaciones destinado para trabajo técnico o científico.
Estafa
Fraude destinado a conseguir que una persona o grupo de personas entreguen algo bajo falsas promesas de beneficios normalmente económicos.
Estándar
Ver «Norma».
Estándar abierto
Aquel que reúna las siguientes condiciones:
sea público y su utilización sea disponible de manera gratuita o a un coste que no suponga una dificultad de acceso;
su uso y aplicación no esté condicionado al pago de un derecho de propiedad intelectual o industrial. (Ley 11/2007, de 22 de junio y Real Decreto 4/2010, de 8 de enero).
Estándar de Encriptación de Datos
Es un algoritmo de cifrado por bloques. El tamaño del bloque es de 64 bits. La clave para el descifrado mide también 64 bits, 8 de los cuales se utilizan sólo para comprobar la paridad y luego son descartados, es decir, la clave es de 56 bits de longitud efectiva. Del inglés, “Data Encryption Standard” (DES).
Evaluación
Es el análisis, realizado mediante un proceso metodológico, de la capacidad de un producto o sistema de las Tecnologías de la Información para proteger las condiciones de la información de acuerdo a unos criterios establecidos, con objeto de determinar si puede ser certificado. (Orden PRE/2740/2007, de 19 de septiembre).
Explotación de una red de comunicación electrónica
La creación, el aprovechamiento, el control o la puesta a disposición de dicha red. (Ley 9/2014, de 9 de mayo).
Explotar
Secuencia de comandos o programa específico para aprovechar una vulnerabilidad del sistema. Sinónimo: exploit.
Exportador de datos personales
La persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero. (Real Decreto 1720/2007, de 21 de diciembre).
F
Falsificación de petición en sitios cruzados
Permiten al atacante enviar una petición a una aplicación web vulnerable ejecutando una acción maliciosa a través de la víctima.
Falso negativo
En el contexto de la seguridad de la información se produce cuando el software antivirus falla en detectar un archivo o área del sistema que está realmente infectada.
Falso positivo
Para un antivirus, un falso positivo en informática se refiere a la detección de un archivo como virus (o alguna otra clase de malware) por parte de un antivirus, cuando en realidad no es ningún virus o malware.
Fake news
Las fake news (noticias falsas) son un tipo de bulo que consiste en un contenido pseudoperiodístico difundido a través de portales de noticias, prensa escrita, radio, televisión y redes sociales y cuyo objetivo es la desinformación.
Familia
Se entiende por tal la agrupación de procedimientos administrativos atendiendo a criterios genéricos de similitud por razón de esquema de tramitación, documentación de entrada y salida e información, dejando al margen criterios de semejanza en la materia objeto del procedimiento, órgano competente, u otra información análoga. (Real Decreto 4/2010, de 8 de enero).
Fast Data Encipherment Algoritmo
Familia de algoritmos en bloque diseñada por A. Akihiro y S. Miyaguchi para NTT Japón. Transforma en N vueltas, de modo similar al DES, una entrada de 64 bits. Es importante en el desarrollo de técnicas criptoanalíticas.
Fiabilidad
Abilidad de un sistema a la consistencia en el comportamiento y en los resultados deseados.
Fibra óptica
Es un medio físico de transmisión de información y datos, usual en redes de datos y telecomunicaciones, que consiste en cilindro de vidrio muy fino (núcleo) recubierto por otro cilindro concéntrico también de cristal (revestimiento), y protegido del exterior por una funda de plástico. Las señales se transmiten en forma de radiación óptica.
Fichero
Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso (Ley Orgánica 15/1999, de 13 de diciembre).
Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso (Real Decreto 1720/2007, de 21 de diciembre).
Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (Reglamento (UE) 2016/679, de 27 de abril de 2016).
Ficheros de titularidad privada
Los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica. (Real Decreto 1720/2007, de 21 de diciembre).
Ficheros de titularidad pública
Los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. (Real Decreto 1720/2007, de 21 de diciembre).
Fichero no automatizado
Todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. (Real Decreto 1720/2007, de 21 de diciembre).
Ficheros ocultos de contraseñas
Se trata de un fichero que almacena las contraseñas para autenticar a los usuarios del sistema. Como característica singular, estos ficheros permanecen fuera del alcance de los usuarios, previniendo su uso como fuente de información para descubrir contraseñas.
Ficheros temporales
Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. (Real Decreto 1720/2007, de 21 de diciembre).
Filtrado URL
Se encarga de permitir, denegar o vigilar el acceso a páginas web. Consiste en un control de la navegación web. Puede realizarse en las organizaciones para controlar la navegación de sus empleados, pero también hay ejemplos de uso masivo a ciudadanos como el caso de China, cuyo gobierno controla absolutamente toda la navegación web que se produce dentro de su territorio.
Filtrado de paquetes
Filtrado realizado en los puntos de comunicación del perímetro de la Organización con el exterior.
Filtrado de paquetes con estado
También denominada «dynamic packet filtering» (filtrado dinámico de paquetes). Firewall que, al realizar un seguimiento del estado de las conexiones de la red, proporciona una seguridad mejorada. Al estar programado para distinguir los paquetes legítimos de las diversas conexiones, el firewall permitirá solamente aquellos paquetes que coinciden con una conexión establecida, y rechazará a todos los demás.
Filtrado de paquetes por ruta de origen
Tecnología que se utiliza en los routers IP para tratar de evitar la suplantación de la dirección de origen, que se utiliza a menudo por ataques DenialOfService.
Filtro de entrega
Método que permite filtrar el tráfico entrante de una red, de modo que sólo el tráfico explícitamente autorizado pueda ingresar a la red.
Filtro de salida
Método que permite filtrar el tráfico saliente de una red, de modo que sólo el tráfico explícitamente autorizado pueda salir de la red.
FIPS
Normas de nivel federal de los EEUU. Cubren aspectos de las tecnologías de la información buscando un nivel común de calidad y unas ciertas garantías de interoperabilidad.
FIPS 140-2
Normas centradas en la certificación (Gobierno estadounidense).
Fingerprinting
Proceso por el que podemos identificar modelos de componentes físicos o sistemas operativos de un equipo que está en red. De esa forma se pueden conocer algunas vulnerabilidades.
Firewall
Ver «cortafuegos».
Firma electrónica
Conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico. (Ley 59/2003, de 19 de diciembre).
Según el artículo 3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, «conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante». (Ley 11/2007, de 22 de junio).
Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. (Real Decreto 3/2010, de 8 de enero).
Firma electrónica avanzada
Según el artículo 3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, «firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control». (Ley 11/2007, de 22 de junio).
Firma electrónica reconocida
Según el artículo 3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, «firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma». (Ley 11/2007, de 22 de junio).
Firma ciega
Protocolo mediante el que se obtiene un documento en claro firmado digitalmente, sin que el signatario tenga medio de conocerlo en el momento de estampar su firma.
Firma de un virus
Ristra de caracteres característica del código de un virus, o conjunto de ellos, que permite su identificación.
Firmware
El firmware forma parte del hardware, ya que se encuentra integrado en la electrónica, pero también es considerado parte del software, al estar desarrollado bajo un lenguaje de programación. Se podría decir que funciona como el nexo entre las instrucciones que llegan al dispositivo desde el exterior y sus diversas partes electrónicas. El firmware establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo.
Flaw
Defecto en un programa a nivel de arquitectura o diseño. Estos defectos pueden no ser evidentes examinando únicamente el código fuente.
Footprinting
Proceso mediante el que acumulamos la mayor cantidad de datos posibles de una red. Con esa información podremos deducir cuál es su arquitectura para identificar potenciales puntos de acceso.
Formato
Conjunto de reglas (algoritmo) que define la manera correcta de intercambiar o almacenar datos en memoria. (Real Decreto 4/2010, de 8 de enero).
Fortaleza criptográfica
Una cifra, relacionada con la cantidad de trabajo requerido para violar un algoritmo o dispositivo criptográfico. Es frecuente expresar la fortaleza de un sistema de cifra en bits: 80, 112, 128, 192, 512.
Frase de acceso
Frase larga (por ejemplo, de 80 caracteres) pero fácil de recordar por el usuario, que realiza las mismas funciones de autenticación que una contraseña, con la ventaja de ser más difícil de conjeturar.
Frecuencia
Frecuencia es una magnitud que mide el número de repeticiones por unidad de tiempo de cualquier fenómeno o suceso periódico. Se representa con la letra (f) y su unidad de medida es el ciclo por segundo o hercio (Hz).
FTP
File Transfer Protocol. Es un protocolo de transferencia de archivos entre sistemas conectados a una red, de manera que desde un equipo cliente nos podemos conectar a un servidor para descargar archivos desde él o para enviarle nuestros propios archivos independientemente del sistema operativo utilizado en cada equipo.
Fuentes accesibles al público
Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación. (Ley Orgánica 15/1999, de 13 de diciembre).
Fuga de datos
Pérdida de la confidencialidad de la información privada de una persona o empresa. Sinónimo: Fuga de información.
Función irreversible
Función matemática que es fácilmente computable, pero cuya inversa es computacionalmente intratable.
G
Gestión de incidentes
Plan de acción para atender a los incidentes que se den. Además de resolverlos debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. (Real Decreto 3/2010, de 8 de enero).
Procedimientos seguidos para detectar, analizar y limitar un incidente y responder ante éste. (Real Decreto-ley 12/2018, de 7 de septiembre).
Gestión de riesgos
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. (Real Decreto 3/2010, de 8 de enero).
Gestión Unificada de Amenazas (UTM)
Por lo general un único producto de seguridad que ofrece varias funciones de seguridad en un solo punto en la red. Una solución UTM generalmente incluye funciones como antivirus, anti-spyware, anti-spam, firewall de red, prevención y detección de intrusiones, filtrado de contenido y prevención de fugas.
GRC – Governance, Risk, Compliance
Actividad principal de los CISO:
– Governance: Gestión de la seguridad de la información, mediante Sistemas de Gestión de Seguridad de la Información.
– Risk: Toda la actividad de Análisis y Gestión de Riesgos tecnológicos.
– Compliance: Asegurar el cumplimento de la normativa o legislación aplicable sobre seguridad.
Greyware
Aplicación que puede afectar a sistemas y redes y a la confidencialidad de la información. Aunque no es siempre dañino, instala software no deseado y puede cambiar el comportamiento de un dispositivo.
Grooming
Se trata de acciones deliberadas de un adulto para establecer lazos de amistad y emocionales con niños o niñas a través de Internet, con el objetivo de obtener una satisfacción sexual mediante imágenes eróticas o pornográficas del menor o incluso como preparación para un encuentro sexual.
Gusano
Es un programa malicioso (o malware) que tiene como característica principal su alto grado de «dispersabilidad», es decir, lo rápidamente que se propaga. Sinónimo: Worm.
H
Hacking
Actividad que involucra la manipulación de la conducta normal de un equipo y sus sistemas. Analiza la seguridad y las vulnerabilidades de los sistemas informáticos. Sus objetivos pueden ser fortalecer técnicas de seguridad, corregir agujeros informáticos o aprovechar las fallas de los sistemas para introducirse de manera no legítima.
Hacking ético
Es hacking que se pone en marcha a petición de clientes que solicitan el servicio para analizar la seguridad y vulnerabilidades de sus sistemas. Se imita a un atacante, pero excluyendo el ánimo malicioso.
Hacktivismo
El Hacktivismo (un acrónimo de hacker y activismo) es el uso de computadoras y redes informáticas para protestar y/o promover fines políticos.
Hash
Algoritmo que modifica bloques de datos en una serie distinta de caracteres con una longitud fija. Es decir, que, con independencia de la longitud de los datos de entrada, el valor hash de salida siempre será de la misma longitud.
Half dúplex o full dúplex
En dispositivos de red, half dúplex se da si el dispositivo debe esperar para enviar si está en ese momento recibiendo tramas, es decir, no puede enviar y recibir al mismo tiempo. Con full dúplex, el dispositivo no tiene que esperar para enviar tramas. Puede enviar y recibir al mismo tiempo.
Herramientas genéricas
Instrumentos y programas de referencia, compartidos, de colaboración o componentes comunes y módulos similares reutilizables que satisfacen las necesidades comunes en los distintos ámbitos administrativos. (Real Decreto 4/2010, de 8 de enero).
Heurística (antivirus)
Técnicas para reconocer amenazas informáticas que no están en la base de datos. Se constituye en la única defensa automática posible frente a un nuevo código malicioso.
Hipertexto
Sistema de escritura que permite, mediante enlaces, crear, agregar, enlazar y compartir información acerca de un tema.
Hipervínculo
Acceso directo que conduce a otra ubicación de un servidor de red, una intranet o Internet.
HIPS (Host-based Intrusion Prevention System)
Sistema de prevención de intrusiones basado en el host. Es un sistema de prevención de intrusiones que se implementa mediante la monitorización del tráfico de un equipo concreto, y que, en caso de detección de comportamiento malicioso, dispara acciones preestablecidas.
Hoax
Ver «Bulo».
Honeypot
Sistema informático que simula ser vulnerable con el objeto de atraer ataques y poder recolectar información sobre la manera en que estos se realizan. En entornos corporativos, estos componentes permiten distraer la atención de los atacantes de aquellos activos valiosos para la empresa.
Host
El término host o anfitrión se refiere a aquellas computadoras u otros dispositivos conectados a una red que proveen y utilizan servicios de ella.
Humint
Inteligencia humana, que aparece abreviado a veces como HUMINT se corresponde con una serie de disciplinas que tienen como objeto la captura de información de inteligencia. La OTAN define Inteligencia humana como “Una categoría de la inteligencia derivada de la información recogida y proporcionada por fuentes humanas”.
HSM (Hardware Security Module)
Los HSM son dispositivos hardware que se encargan de custodiar convenientemente las claves criptográficas mediante mecanismos físicos de protección (genera, almacena y usa la clave cuando se necesita y si esta caduca el HSM se encarga de generar una nueva).
HTML
Lenguaje de Marcado de Hipertexto (HTML). Es el código que se utiliza para estructurar y desplegar una página web y sus contenidos. Sus contenidos podrían ser párrafos, una lista con viñetas, o imágenes y tablas de datos. Es la tecnología que se usa para crear páginas web.
HTTPS (SSL + HTTP)
Protocolo que se utiliza entre un navegador web y un servidor web para poder navegar. Por otro lado, SSL (Secure Sockets Layer) es un protocolo que se utiliza para el intercambio seguro de información. Así, http + SSL es el protocolo para poder navegar de manera segura por Internet.
Hub
Concentrador, es un elemento de red que sirve para conectar varios equipos entre sí como por ejemplo PC, portátiles, impresoras…
I
IAM (Identity and Access Management)
Gestión de Identidades y Accesos. Uno de los campos de la ciberseguridad más anchos que existen. El concepto Identidad es muy amplio, ya que tenemos muchas identidades, casi tantas como aplicaciones a las que accedemos y, además, una contraseña para cada una de estas identidades. De forma resumida, el IAM, permiten asignar identidades a usuarios, dan de alta a los usuarios en las aplicaciones a las que van a acceder, controlan la autenticación, dan de baja a los usuarios cuando ya no van a acceder más, etc.
ICMP
El protocolo de control de mensajes de Internet (en inglés: Internet Control Message Protocol y conocido por sus siglas ICMP) es parte del conjunto de protocolos IP.
Identificación
Procedimiento de reconocimiento de la identidad de un usuario. (Real Decreto 1720/2007, de 21 de diciembre).
IDS e IPS (Intrusion Detection System and Intrusion Prevention System)
Los sistemas de detección de intrusión sirven para detectar actividad sospechosa o maliciosa que pudiera colarse en una conexión de red. Lo que hace es analizar parte del contenido de los paquetes de comunicaciones que se intercambian cuando se establece una conexión y, si encuentra algo sospechoso, o bien lanza una alarma (en el caso del IDS) o bien corta la comunicación (en el caso de un IPS).
Iframe
Es un elemento html que puede ser utilizado para insertar un documento html en otro html, que es el principal. Un atacante lo puede utilizar para propagar malware.
Imagen electrónica
Resultado de aplicar un proceso de digitalización a un documento. (Real Decreto 4/2010, de 8 de enero).
Importador de datos personales
La persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. (Real Decreto 1720/2007, de 21 de diciembre).
Incidencia
Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. (Real Decreto 1720/2007, de 21 de diciembre).
Incidente de seguridad
Cualquier suceso que afecte a la confidencialidad, integridad o disponibilidad de los activos de información.
Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información. (Real Decreto 3/2010, de 8 de enero).
Indicador de riesgo
Un indicador de riesgos clave (KRI) es una métrica para determinar qué tan posible es que la probabilidad de un evento, combinada con sus consecuencias, supere el apetito de riesgo de la organizaCión (es decir, el nivel de riesgo que la compañía está preparada para aceptar), y tenga un impacto profundamente negativo en la capacidad de tener éxito de una organización.
Indicador electrónico
Relación de documentos electrónicos de un expediente electrónico, firmada por la Administración, órgano o entidad actuante, según proceda y cuya finalidad es garantizar la integridad del expediente electrónico y permitir su recuperación siempre que sea preciso. (Real Decreto 4/2010, de 8 de enero).
Información de las evaluaciones
Es todo asunto, acto, documento, dato u objeto relacionado con la actividad de evaluación de la seguridad de un producto. La información de las evaluaciones incluye toda la documentación, programas de ordenador, esquemas, planos y demás datos suministrados por el fabricante, los programas de ordenador, planes, pruebas, análisis y resultados de la evaluación elaborados por el laboratorio, así como toda la documentación administrativa y contractual y las comunicaciones del laboratorio con el fabricante del producto y con el Organismo de Certificación, además de los registros de la actividad del laboratorio, incluyendo los de seguridad. (Orden PRE/2740/2007, de 19 de septiembre).
Información sobre seguridad y gestión de eventos
Ver «SIEM».
Informática forense
Proceso de investigación de los sistemas de información para detectar cualquier evidencia que pueda ser presentada como prueba fehaciente en un procedimiento judicial.
Infraestructura de clave pública
Conjunto de elementos (hardware, software, políticas y procedimientos) encaminados a la ejecución con garantías de operaciones de cifrado y criptografía. Sinónimo: PKI (del inglés Public Key Infrastructure).
Ingeniería inversa
El arte de acceder a información sensible a base de desensamblar y analizar el diseño de un sistema o componente.
Ingeniería social
Tácticas utilizadas para obtener datos de naturaleza sensible de una persona. Suelen valerse de la buena voluntad y falta de precaución de la víctima.
Inserción de ficheros remotos
Abuso de servidores de aplicaciones web a los que se les fuerza para que entreguen software dañino. Acrónimo RFI.
Instrumentos operativos que facilitan el desarrollo y despliegue de nuevos servicios, así como la interoperabilidad de los existentes, creando escenarios de relación multilateral y que satisfacen las necesidades comunes en los distintos ámbitos administrativos; son ejemplos la Red de comunicaciones de las Administraciones públicas españolas, la red transeuropea sTESTA, la plataforma de verificación de certificados electrónicos. (Real Decreto 4/2010, de 8 de enero).
Integridad
Propiedad de la información por la que se garantiza la exactitud de los datos transportados o almacenados, asegurando que no se ha producido su alteración, pérdida o destrucción.
Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. (Real Decreto 3/2010, de 8 de enero).
Intercambio exponencial Diffie – Hellman
Primer algoritmo de clave pública, enunciado por W. Diffie y M. Hellman en 1976, que basa su seguridad en la dificultad de calcular logaritmos discretos en un campo finito. Se emplea para la distribución de claves pero no para cifrar y descifrar.
Intercambio de autenticación
Mecanismo de seguridad destinado a asegurar la identidad de una entidad mediante un intercambio de información.
Interceptación
Acción de apoderarse ilegítimamente de una información, en claro o cifrada, transmitida por un canal.
Interconexión
La conexión física y lógica de las redes públicas de comunicaciones utilizadas por un mismo operador o por otro distinto, de manera que los usuarios de un operador puedan comunicarse con los usuarios del mismo operador o de otro distinto, o acceder a los servicios prestados por otro operador. Los servicios podrán ser prestados por las partes interesadas o por terceros que tengan acceso a la red. La interconexión constituye un tipo particular de acceso entre operadores de redes públicas. (Ley 9/2014, de 9 de mayo).
Interfaz de programa de aplicación (API)
La interfaz de software entre las aplicaciones externas, puesta a disposición por los operadores de radiodifusión o prestadores de servicios, y los recursos del equipo avanzado de televisión digital para los servicios de radio y televisión digital. (Ley 9/2014, de 9 de mayo).
Interferencia perjudicial
Toda interferencia que suponga un riesgo para el funcionamiento de un servicio de radionavegación o de otros servicios de seguridad o que degrade u obstruya gravemente o interrumpa de forma repetida un servicio de radiocomunicación que funcione de conformidad con la reglamentación internacional, comunitaria o nacional aplicable. (Ley 9/2014, de 9 de mayo).
Interoperabilidad
Capacidad de los sistemas de información, y por ende de los procedimientos a los que éstos dan soporte, de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos. (Ley 11/2007, de 22 de junio y Real Decreto 4/2010, de 8 de enero).
Interoperabilidad en el tiempo
Es aquella dimensión de la interoperabilidad relativa a la interacción entre elementos que corresponden a diversas oleadas tecnológicas; se manifiesta especialmente en la conservación de la información en soporte electrónico. (Real Decreto 4/2010, de 8 de enero).
Interoperabilidad organizativa
Es aquella dimensión de la interoperabilidad relativa a la capacidad de las entidades y de los procesos a través de los cuales llevan a cabo sus actividades para colaborar con el objeto de alcanzar logros mutuamente acordados relativos a los servicios que prestan. (Real Decreto 4/2010, de 8 de enero).
Interoperabilidad semántica
Es aquella dimensión de la interoperabilidad relativa a que la información intercambiada pueda ser interpretable de forma automática y reutilizable por aplicaciones que no intervinieron en su creación. (Real Decreto 4/2010, de 8 de enero).
Interoperabilidad técnica
Es aquella dimensión de la interoperabilidad relativa a la relación entre sistemas y servicios de tecnologías de la información, incluyendo aspectos tales como las interfaces, la interconexión, la integración de datos y servicios, la presentación de la información, la accesibilidad y la seguridad, u otros de naturaleza análoga. (Real Decreto 4/2010, de 8 de enero).
Inyección SQL
Tipo de ataque que aprovecha una vulnerabilidad en la validación de los contenidos introducidos en un formulario web. Sinónimo: SQL Injection.
IPv6
Es el Protocolo de Internet versión 6. Utiliza direcciones de 128 bits que se expresan en ocho cuartetos de caracteres hexadecimales.
ISO 27001
Es el estándar de la industria para crear y mantener un SGSI (Sistema de Gestión de Seguridad de la Información). La característico que tiene la ISO 27001 es que está mundialmente reconocida como bastante buena aunque no perfecta y, además, es certificable: un auditor puede certificar que sigues el estándar.
–
–
K
Kasumi
Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 64 bits. Utiliza claves de 128 bits.
Kerberos
Servicio de autenticación mutua de entidades (usuarios, estaciones de trabajo, servidores de red etc.) desarrollado en el marco del proyecto Athenea del MIT (Massachussetts Institute of Technology). La versión 5 se encuentra en estado de borrador de Norma Internet (RFC 1510).
Kernel de seguridad
Elementos hardware, firmware y software que conjuntamente proporcionan la funcionalidad requerida por un monitor de referencia. El kernel de seguridad debe intermediar todos los accesos, debe estar protegido frente a modificaciones no autorizadas y debe ser posible verificar que funciona correctamente.
Khafre
Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 64 bits. Utiliza claves de 512 bits.
Khufu
Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 64 bits. Utiliza claves de 512 bits.
Kill Switch
Mecanismo que nos permite apagar o desconectar un dispositivo o red abruptamente en situaciones de emergencia. Es un interruptor de emergencia.
L
L2TP Protocolo de tunel en la capa 2
Fue diseñado por un grupo de trabajo de IETF como el heredero aparente de los rotocolos PPTP y L2F, creado para corregir las deficiencias de estos protocolos y establecerse como un estándar aprobado por el IETF (RFC 2661). L2TP utiliza PPP para proporcionar acceso telefónico que puede ser dirigido a través de un túnel por Internet hasta un punto determinado.
Laboratorio de evaluación
Es un laboratorio de ensayo, según se define en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial. (Orden PRE/2740/2007, de 19 de septiembre).
LDAP Injection
Abuso de las peticiones LDAP para alterar fraudulentamente el contenido del directorio de información de un servidor en red.
Lema de Kerckhoffs
Postulado del criptógrafo holandés Kerckhoffs (Auguste Kerckhoffs von Nieuwenhof, 1835-1903, autor de uno de los libros históricos de la criptografía, La Cryptographie militaire), que establece que la seguridad de cifrado debe residir, exclusivamente, en el secreto de la clave y no en el desconocimiento del algoritmo de cifrado. Antes bien, esta última debe ser de general conocimiento por la comunidad criptográfica, para que pueda ser criptoanalizada y descubiertas sus vulnerabilidades si las hubiere.
Leyes de Courtney
Principios para la gestión de la seguridad de los sistemas: (1) No se puede decir nada útil respecto de la seguridad de un sistema si no es en un contexto concreto de aplicación. (2) Nunca se debe gastar más dinero en proteger una vulnerabilidad que el gasto que supondría un ataque a través de la misma. (2.1) Corolario 1: la seguridad perfecta tiene un coste infinito. (2.2) Corolario 2: no existe el riesgo cero. (3) No hay soluciones técnicas a los problemas de gestión; pero se pueden encontrar soluciones basadas en la gestión para problemas técnicos.
Libro de claves
Documento que recoge las claves criptográficas que serán usadas por un criptosistema durante un tiempo.
LFI (Local File Inclusion)
Ataque que aprovecha una vulnerabilidad en aplicaciones web con páginas dinámicas. Consiste en incluir ficheros locales en el servidor de la web que pueden provocar fallos en la programación de la página. En español, “inclusión local de archivos”.
Licencia Pública de la Unión Europea («European Union Public Licence-EUPL»)
Licencia adoptada oficialmente por la Comisión Europea en las 22 lenguas oficiales comunitarias para reforzar la interoperabilidad de carácter legal mediante un marco colectivo para la puesta en común de las aplicaciones del sector público. (Real Decreto 4/2010, de 8 de enero).
Limitación del tratamiento
El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Limpieza segura
También llamado «borrado seguro», es un método de sobrescritura de los datos que se encuentran en un disco duro o en otro medio digital, lo que impide la recuperación de los datos.
Lista de servicios de confianza (TSL)
Lista de acceso público que recoge información precisa y actualizada de aquellos servicios de certificación y firma electrónica que se consideran aptos para su empleo en un marco de interoperabilidad de las Administraciones públicas españolas y europeas. (Real Decreto 4/2010, de 8 de enero).
Listas de revocación de Certificados
Mecanismo de seguridad que desvalida un certificado de seguridad. Son conocidas como CRL.
Llamada
Una conexión establecida por medio de un servicio de comunicaciones electrónicas disponible para el público que permita la comunicación bidireccional de voz. (Ley 9/2014, de 9 de mayo).
Log
Un log es una pequeña pieza de información que genera un dispositivo, sistema informático o aplicación de cualquier tipo. Este, refleja algo que está sucediendo en un momento dado. Es decir, un registro de actividad.
Login
El login o nombre de usuario es el nombre dado al momento de autenticarse al ingresar a un servicio o sistema. Suele acompañarse de la contraseña o password.
Longitud de onda
La longitud de onda de una onda describe cómo de larga es una onda. Las Ondas de agua en el océano, en el aire, y las ondas de radiación electromagnética, tienen asociadas una longitud de onda.
M
MAC
La dirección MAC es un identificador único que cada fabricante le asigna a la tarjeta de red de sus dispositivos conectados. Están formadas por 48 bits representados por dígitos hexadecimales.
MacOS
Es el nombre del sistema operativo creado por Apple para su línea de computadoras Macintosh.
Macro
Rutinas o conjunto de instrucciones de tareas automatizadas, útil para que los atacantes puedan acceder o dañar un sistema.
Malware
Es un tipo de software que tiene como objetivo dañar o infiltrarse, sin el consentimiento del dueño, en un sistema informático. Es acrónimo de malicious software. Este concepto abarca un amplio elenco de programas dañinos para los sistemas y la información: virus, gusanos, troyanos, backdoors, spyware, etc.
Man In The Browser (MITB)
O “Hombre En El Navegador”. Es un ataque que aprovecha vulnerabilidades en el navegador víctima; inyecta código, espía el tráfico y captura datos. Las páginas alteradas no presentan diferencias con las originales, por lo que es prácticamente indetectable para el usuario.
Man In The Middle (MITM)
O “Hombre En El Medio”. Ataque en que el agresor intercepta una comunicación y asume el papel de intermediario entre dos partes (víctimas).
Marca de tiempo
La asignación por medios electrónicos de la fecha y, en su caso, la hora a un documento electrónico. (Real Decreto 4/2010, de 8 de enero).
MDM (Mobile Device Management)
Herramienta de gestión de dispositivos móviles. Han sido herramientas clásicas de las operadoras de telefonía móvil para poder manejar el parque masivo de dispositivos y, en general, suele ser un servicio que se presta a empresas. Pero desde que surgió el fenómeno BYOD (Bring Your Own Device) había que reducir el riesgo que supone la presencia de información corporativa en un dispositivo personal y, por definición, no controlado por ningún MDM ni parecidos. Así, se ha extendido el término MDM para gestionar no sólo el dispositivo, sino la movilidad en su conjunto, incorporando gestión de dispositivos personales, gestión de aplicaciones móviles, gestión de la seguridad del dispositivo, etc…
Medidas de seguridad
Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación. (Real Decreto 3/2010, de 8 de enero).
Medio electrónico
Mecanismo, instalación, equipo o sistema que permite producir, almacenar o transmitir documentos, datos e informaciones; incluyendo cualesquiera redes de comunicación abiertas o restringidas como Internet, telefonía fija y móvil u otras. (Ley 11/2007, de 22 de junio y Real Decreto 4/2010, de 8 de enero).
Mercado en línea
Servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre sí contratos de compraventa o de prestación de servicios en línea con empresarios, ya sea en un sitio web específico del servicio de mercado en línea, o en un sitio web de un empresario que utilice servicios informáticos proporcionados al efecto por el proveedor del servicio de mercado en línea. (Real Decreto-ley 12/2018, de 7 de septiembre).
Metadato
Dato que define y describe otros datos. Existen diferentes tipos de metadatos según su aplicación. (Real Decreto 4/2010, de 8 de enero).
Metadato de gestión de documentos
Información estructurada o semiestructurada que hace posible la creación, gestión y uso de documentos a lo largo del tiempo en el contexto de su creación. Los metadatos de gestión de documentos sirven para identificar, autenticar y contextualizar documentos, y del mismo modo a las personas, los procesos y los sistemas que los crean, gestionan, mantienen y utilizan. (Real Decreto 4/2010, de 8 de enero).
Modelo de datos
Conjunto de definiciones (modelo conceptual), interrelaciones (modelo lógico) y reglas y convenciones (modelo físico) que permiten describir los datos para su intercambio. (Real Decreto 4/2010, de 8 de enero).
Modo by-pass
Modalidad de trabajo de un dispositivo criptográfico en la cual el texto en claro pasa a través sin sufrir ningún cifrado. Es un procedimiento útil en ciertas pruebas de funcionamiento de una línea de transmisión. Por precaución, este modo de trabajo debe estar bloqueado mediante una llave de seguridad.
Motor de búsqueda en línea
Servicio digital que permite a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto, mediante una consulta sobre un tema en forma de palabra clave, frase u otro tipo de entrada, y que, en respuesta, muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado. (Real Decreto-ley 12/2018, de 7 de septiembre).
Motor de renderizado
Software que toma contenido marcado (como HTML, XML, archivos de imágenes, etc.) e información de formateo (como CSS, XSL, etc.) y luego muestra el contenido ya formateado en la pantalla.
N
NAC (Network Access Control)
Ante el problema de gestión por el que era necesario corresponder los distintos perfiles de usuarios con distintos perfiles de dispositivos y con distintas zonas de la red corporativa a la cual acceder; se creó la solución NAC. Se descubrió un lugar para controlar estas conexiones: los puntos de acceso del wifi, y se generó una dinámica de administración de estas conexiones muy interesante, perfilando los usuarios como invitados/corporativos y dentro de cada uno de ellos, con distintos niveles de acceso.
NAS (Servidor)
Es un sistema de almacenamiento conectado en red, en el cual, existen discos duros compartidos en una red local, o internet, normalmente con gestión de permisos de acceso.
NAT
Es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles.
Navegador web
El navegador web o navegador de internet es el instrumento que permite a los usuarios de internet navegar o por Internet. Se trata de un programa (software) que posee una interfaz gráfica compuesta básicamente de: botones de navegación, una barra de dirección, una barra de estado (generalmente, en la parte inferior de la ventana) y la mayor parte, en el centro, que sirve para mostrar las páginas web a las que se accede.
NBA
Network Behavior Analysis. Ver «Análisis de comportamiento de red».
NFC
“Near Field Communication” o “Comunicación de Campo Cercano”: tecnología de conectividad inalámbrica de corto alcance. Para la comunicación entre dispositivos que están en contacto o muy cercanos el uno del otro, usa el campo magnético de inducción.
NIDS (Network Intrusion Detection System)
Sistema de Detección de Intrusiones en la Red. Monitorea el tráfico de una red buscando patrones de comportamiento potencialmente peligrosos, pudiendo tomar, en tal caso, medidas de protección.
Nivel de resolución
Resolución espacial de la imagen obtenida como resultado de un proceso de digitalización. (Real Decreto 4/2010, de 8 de enero).
NMAP
Software para el análisis de riesgos de seguridad encargado de delinear redes e identificar puertos abiertos en los recursos de red.
Nodo
En informática y en telecomunicación, de forma muy general, un nodo es un punto de intersección, conexión o unión de varios elementos que confluyen en el mismo lugar. Ahora bien, dentro de la informática la palabra nodo puede referirse a conceptos diferentes según el ámbito en el que nos movamos: en redes de computadoras cada una de las maquinas es un nodo, y si la red es Internet, cada servidor constituye también un nodo.
Nodo de interoperabilidad
Organismo que presta servicios de interconexión técnica, organizativa y jurídica entre sistemas de información para un conjunto de Administraciones Públicas bajo las condiciones que éstas fijen. (Real Decreto 4/2010, de 8 de enero).
Nombre
Combinación de caracteres (cifras decimales, letras o símbolos) que se utiliza para identificar abonados, usuarios u otras entidades tales como elementos de red. (Ley 9/2014, de 9 de mayo).
No repudio
Prueba de que un emisor ha enviado un mensaje (No Repudio de Origen) y de que un receptor ha recibido un mensaje (No Repudio de Destino).
Norma técnica
Una norma en el sentido del artículo 2.1 del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea. (Real Decreto-ley 12/2018, de 7 de septiembre).
Norma
Especificación técnica aprobada por un organismo de normalización reconocido para una aplicación repetida o continuada cuyo cumplimiento no sea obligatorio y que esté incluida en una de las categorías siguientes:
– Norma internacional: norma adoptada por una organización internacional de normalización y puesta a disposición del público.
– Norma europea: norma adoptada por un organismo europeo de normalización y puesta a disposición del público.
– Norma nacional: norma adoptada por un organismo nacional de normalización y puesta a disposición del público. (Real Decreto 4/2010, de 8 de enero).
Normas corporativas vinculantes
Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Null injection
Ataque contra servidores web consistente en inyectar caracteres 0x00 en cadenas para aprovechar que muchos programas desarrollados en C o C++ utilizan dicho carácter como ‘fin de cadena’ y no siguen analizando.
Número
Cadena de cifras decimales que, entre otros, pueden representar un nombre o una dirección. (Ley 9/2014, de 9 de mayo).
Número de autenticación de una transacción
Número singular que sólo se utiliza una vez para identificar una transacción y autenticarla.
Número geográfico
El número identificado en el plan nacional de numeración telefónica que contiene en parte de su estructura un significado geográfico utilizado para el encaminamiento de las llamadas hacia la ubicación física del punto de terminación de la red. (Ley 9/2014, de 9 de mayo).
Número no geográfico
Los números identificados en el plan nacional de numeración telefónica que no son números geográficos. Incluirán, entre otros, los números de teléfonos móviles, los de llamada gratuita y los de tarificación adicional. (Ley 9/2014, de 9 de mayo).
NVD (National Vulnerabilty Database)
Common Vulnerabilities and Exposures, siglas CVE, es una lista de información registrada sobre conocidas vulnerabilidades de seguridad, donde cada referencia tiene un número de identificación único.
–
–
O
Objeción pertinente y motivada
La objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Open Relay
Se entiende como open relay (‘relé abierto’ en inglés) un servidor SMTP configurado de tal manera que permite que cualquier usuario de Internet lo use para enviar correo electrónico a través de él, no solamente el correo destinado a, o procedente de usuarios conocidos.
Operador
Persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado al Ministerio de Industria, Energía y Turismo el inicio de su actividad o está inscrita en el Registro de operadores. (Ley 9/2014, de 9 de mayo).
Operador con poder significativo en el mercado
Operador que, individual o conjuntamente con otros, disfruta de una posición equivalente a una posición dominante, esto es, una posición de fuerza económica que permite que su comportamiento sea, en medida apreciable, independiente de los competidores, los clientes y, en última instancia, los consumidores que sean personas físicas. (Ley 9/2014, de 9 de mayo).
Operador de servicios esenciales
Entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril. (Real Decreto-ley 12/2018, de 7 de septiembre).
OPT IN
El receptor de mensajes publicitarios sólo recibirá dichos mensajes previo consentimiento expreso.
OPT OUT
El receptor de mensajes publicitarios recibirá dichos mensajes salvo que exprese explícitamente su deseo de ser excluido.
Organización internacional
Una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Órgano competente
Todo órgano jurisdiccional o administrativo, ya sea de la Administración General del Estado, de las Administraciones Autonómicas, de las Entidades locales o de sus respectivos organismos o entes públicos dependientes, que actúe en el ejercicio de competencias legalmente atribuidas. (Ley 34/2002, de 11 de julio).
Origen de autoridad
A la hora de asignar una serie de privilegios, aquella fuente de información y de confianza que tiene la última palabra. Acrónimo SOA.
OSINT (Open-Source Intelligence)
Inteligencia de Fuentes Abiertas. El término refiere a la inteligencia generada con la obtención de información desclasificada, pública y de acceso libre.
OTP (One Time Password)
Las contraseñas de un solo uso son contraseñas que se generan para ser utilizadas una sola vez y tienen un periodo de validez corto. Se utilizan mucho como segundo factor de autenticación y son muy populares porque muchos bancos lo suelen utilizar como contraseñas adicionales a la hora de realizar operaciones como transferencias o contratación de productos a través de sus páginas web.
P
Padding
Relleno de datos con bits adicionales.
PAP (Password Authentication Protocol)
Para autenticar un usuario contra un servidor de acceso remoto o contra un ISP. PAP es un sub-protocolo usado por la autenticación del protocolo PPP (Point to Point Protocol), validando a un usuario que accede a ciertos recursos. PAP transmite contraseñas o password en ASCII sin cifrar, por lo que se considera inseguro. PAP se usa como último recurso cuando el servidor de acceso remoto no soporta un protocolo de autenticación más fuerte.
Paquete
Paquete de red o paquete de datos es cada uno de los bloques en que se divide la información para enviar, en el nivel de red. Por debajo del nivel de red se habla de trama de red, aunque el concepto es análogo.
Parámetro secreto
Entrada aleatoria con la que se inicializa un generador de números aleatorios a fin de aumentar la entropía del sistema.
Parámetro variante en el tiempo
Datos incluidos en la información de autenticación para prevenir la repetición ilícita de mensajes previamente emitidos. Algunos tipos permiten también detectar demoras en los mensajes forzadas por un atacante.
Par asimétrico de claves
Par de claves criptográficas, en cierto sentido recíprocas, en la que una de ellas, llamada pública, define el algoritmo de cifra (de uso público) y la otra, denominada privada, especifica el algoritmo de descifrado (de uso privado).
Parte confiante
Usuario o agente que se fía de los datos de un certificado al tomar decisiones.
Pasarela
En una red, el punto de acceso a otra red.
Patrón de ataque
Secuencia de actividades o alteraciones que utilizan los IDS para descubrir que un ataque ha ocurrido. Los datos se extraen de los registros de tráfico en la red o de los registros de actividad de los equipos.
Parche de seguridad
Conjunto de cambios que se aplican a un software para corregir errores de seguridad en programas o sistemas operativos. Suelen ser desarrollados por el fabricante del software tras la detección de una vulnerabilidad. Sinónimo: Actualización de seguridad.
PCI (Payment Card Industry)
La PCI es una asociación de compañías que trabajan en el negocio de las tarjetas de crédito. Se puede considerar que la asociación representa a todo el mercado de las tarjetas de pago. Esta asociación definió un estándar de seguridad denominado PCI-DSS (Data Security Standard) donde se recopilan las medidas de seguridad necesarias para trabajar con tarjetas de pago, tanto en formato físico como para el trasiego de los números de tarjetas cuando compramos algo por Internet.
PCI DSS
PCI DSS (del Inglés Payment Card Industry Data Security Standard) es, como su nombre indica un Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago.
PEAP (Protected Extensible Authentication Protocol)
Protocolo del tipo EAP desarrollado conjuntamente por Microsoft, RSA Security y Cisco para la transmisión datos autenticados, incluso claves, sobre redes inalámbricas 802.11. Autentica clientes de red wi-fi empleando sólo certificados del lado servidor creando una túnel SSL/TLS entre el cliente y el servidor de autenticación.
Peer to peer (P2P)
Conocida también como P2P, por sus siglas en inglés. Traducido al español, “red de pares” o “red entre pares”. Es una red descentralizada en la que cada nodo (equipo) funciona como cliente y servidor simultáneamente, conectándose de manera directa unos con otros. Este tipo de redes son utilizadas para el intercambio de información y archivos entre los equipos interconectados. Algunas aplicaciones P2P populares son Ares, eMule y Kazaa.
PEM (Privacy Enhanced Mail)
Conjunto de protocolos estándares adoptados por el Internet Architecture Board (IAB), para proporcionar seguridad al correo electrónico sobre Internet. Los protocolos PEM se emplean para cifrado, autenticación, integridad y gestión de claves.
Perfect Forward Secrecy
Propiedad de un sistema de cifra que nos garantiza que las claves usadas hoy no se verán descubiertas si el día de mañana se revela alguna información secreta relacionada con dichas claves.
Pentesting
Es una ramificación del hacking ético, por medio de la cual se intenta vulnerar un sistema y ganar control del mismo para identificar sus puntos débiles y proponer acciones de mejora. Los tests de penetración normalmente se realizan en el marco de una auditoría de seguridad.
Perfilado
Técnica basada en el uso del conocimiento que se tiene de las actividades de un cliente para derivar un patrón que permita anticipar su comportamiento futuro.
Perfil de usuario
Accesos autorizados a un grupo de usuarios. (Real Decreto 1720/2007, de 21 de diciembre).
Persona identificable
Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. (Real Decreto 1720/2007, de 21 de diciembre).
PFS (Public Key Forward Secrecy)
Propiedad del sistema de generación de claves que nos asegura que una clave de sesión que estamos usando hoy no se vería comprometida si en el futuro se revelaran partes secretas utilizados para generar la clave actual.
PGP (Pretty Good Privacy)
Se trata de un protocolo de cifrado/descifrado y firma/verificación de mensajes. Actualmente PGP es una línea de negocio de protección de puesto final de la compañía Symantec y existen también bastantes implementaciones de PGP basadas en software libre.
Phishing
Es uno de los métodos más utilizados por ciberdelincuentes para estafar y obtener información confidencial de forma ilícita (contraseñas, tarjetas de crédito, etc.).
Pharming
Ataque informático que aprovecha una vulnerabilidad del software de los servidores DNS y que consiste en modificar o sustituir el archivo del servidor de nombres de dominio cambiando la dirección IP legítima de una entidad (comúnmente una entidad bancaria) de manera que en el momento en el que el usuario escribe el nombre de dominio de la entidad en la barra de direcciones, el navegador redirigirá automáticamente al usuario a una dirección IP donde se aloja una web falsa que suplantará la identidad legítima de la entidad, obteniéndose de forma ilícita las claves de acceso de los clientes la entidad.
Plan de continuidad de negocio
Serie de escenarios desfavorables, incluso catastróficos, que las empresas prevén y que comprueben su capacidad de reacción y restablecimiento del negocio posterior al incidente sufrido.
PLC
Tecnología que permite usar los cables de la instalación eléctrica para transportar la señal de red. Los PLC envían los datos de la conexión a Internet por el mismo cable por el que circula la red eléctrica.
Pluggin
Es una pequeña aplicación (o programa informático) que se relaciona con otra para agregarle una función nueva y generalmente muy específica. Suelen instalarse en los navegadores, por ejemplo, el Adobe Flash Player para visualizar cierto tipo de contenidos multimedia e interactivos.
Política de firma electrónica
Conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se generan, verifican y gestionan firmas electrónicas, incluyendo las características exigibles a los certificados de firma. (Real Decreto 3/2010, de 8 de enero).
Política de gestión de documentos electrónicos
Orientaciones o directrices que define una organización para la creación y gestión de documentos auténticos, fiables y disponibles a lo largo del tiempo, de acuerdo con las funciones y actividades que le son propias. La política se aprueba al más alto nivel dentro de la organización, y asigna responsabilidades en cuanto a la coordinación, aplicación, supervisión y gestión del programa de tratamiento de los documentos a través de su ciclo de vida. (Real Decreto 4/2010, de 8 de enero).
Política de seguridad
Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos. (Real Decreto 3/2010, de 8 de enero).
Política de uso aceptable (AUP)
Un conjunto de normas que define la forma en que los usuarios finales pueden utilizar computadoras, red y recursos de Internet.
Prestador de actividad de servicio
Cualquier persona física o jurídica que ofrezca o preste una actividad de servicio. (Ley 11/2007, de 22 de junio).
Prestador de servicios o prestador
Persona física o jurídica que proporciona un servicio de la sociedad de la información. (Ley 34/2002, de 11 de julio).
Prevención de pérdida de datos (DLP)
Una estrategia o solución que detecta y evita que los usuarios finales envíen información sensible o crítica fuera de la red corporativa.
Principios básicos de seguridad
Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. (Real Decreto 3/2010, de 8 de enero).
Privacidad
Derecho de los individuos a controlar e influir en la recogida y almacenamiento de datos referentes e información relacionada con ellos, así como por quien y a quien puede ser revelada.
Procedimiento administrativo
Proceso formal regulado jurídicamente para la toma de decisiones por parte de las Administraciones públicas para garantizar la legalidad, eficacia, eficiencia, calidad, derechos e intereses presentes, que termina con una resolución en la que se recoge un acto administrativo; este proceso formal jurídicamente regulado se implementa en la práctica mediante un proceso operativo que coincide en mayor o menor medida con el formal. (Real Decreto 4/2010, de 8 de enero).
Procedimiento de disociación
Todo tratamiento de datos personales que permita la obtención de datos disociados. (Real Decreto 1720/2007, de 21 de diciembre).
Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. (Ley Orgánica 15/1999, de 13 de diciembre).
Proceso
Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado. (Real Decreto 3/2010, de 8 de enero).
Proceso de seguridad
Método que se sigue para alcanzar los objetivos de seguridad de la organización. El proceso se diseña para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad. (Real Decreto 3/2010, de 8 de enero).
Proceso operativo
Conjunto organizado de actividades que se llevan a cabo para producir un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado. (Real Decreto 4/2010, de 8 de enero).
Producto a evaluar
Es el producto, sistema de información o perfil de protección para el que se solicita una certificación de sus propiedades de seguridad. (Orden PRE/2740/2007, de 19 de septiembre).
Producto clasificado
Son aquellos productos con requisitos específicos para manejar con seguridad materias clasificadas, o cuya información de especificación, diseño o desarrollo está clasificada, incluso parcialmente, según lo dispuesto en la Ley 9/68, de 5 de abril, sobre Secretos Oficiales, modificada por la Ley 48/78, de 7 de octubre. (Orden PRE/2740/2007, de 19 de septiembre).
Profesión regulada
Toda actividad profesional que requiera para su ejercicio la obtención de un título, en virtud de disposiciones legales o reglamentarias. (Ley 34/2002, de 11 de julio).
Programa Malicioso (o Software Malicioso)
Malware: aquel que tiene como objetivo dañar o infiltrarse en un sistema de información sin el consentimiento de su propietario. Sinónimo: malware (de “malicious” y “software”).
Protocolo
Conjunto de normas que los equipos utilizan para comunicarse entre sí a través de una red y poder hablar el mismo idioma.
Protocolo de Transferencia de Hipertexto
Es el protocolo más utilizado para la navegación web. Sigue un esquema petición-respuesta. Sinónimo: HTTP (siglas en inglés de Hypertext Transfer Protocol).
Protocolo de Transferencia de Hipertexto Seguro
Es la versión segura de HTTP. Es utilizado por cualquier tipo de servicio que requiera el envío de datos personales o contraseñas. Sinónimo: HTTPS (del inglés Hypertext Transfer Protocol Secure).
Proveedor de servicios de DNS
Entidad que presta servicios de DNS en Internet. (Real Decreto-ley 12/2018, de 7 de septiembre).
Proveedor de servicios digitales
Persona jurídica que presta un servicio digital. (Real Decreto-ley 12/2018, de 7 de septiembre).
Protocolo CHAP
CHAP es un protocolo de autenticación por desafío mutuo (CHAP, en inglés: Challenge Handshake Authentication Protocol) y fue definido en la RFC 1994. Es un método de autenticación remota o inalámbrica. Diversos proveedores de servicios emplean CHAP.
Protocolo EAPOL
Extensible Authentication Protocol (EAP) es un framework de autenticación usado habitualmente en redes WLAN, mediante el protocolo punto a punto (Point-to-Point Protocol). Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas, es más frecuente su uso en las primeras.
Protocolo Point-to-Point
Protocolo punto a punto (PPP) (en inglés Point-to-Point Protocol), es un protocolo del nivel de enlace de datos, utilizado para establecer una conexión directa entre dos nodos de una red. … También es utilizado en las conexiones de acceso a Internet (publicitado como banda ancha o broadband).
Proxy
Un proxy es un ordenador intermedio que se usa en la comunicación de otros dos. La información (generalmente en Internet) va directamente entre un ordenador y otro. Mediante un proxy, la información va, primero, al ordenador intermedio (proxy) y éste se lo envía al ordenador de destino, de manera que no existe conexión directa entre el primero y el último.
Prueba de Penetración
Ataque a un sistema con el objetivo de encontrar vulnerabilidades. Tras la realización del ataque se presentará una evaluación de seguridad del sistema para determinar la viabilidad de un ataque y el impacto en el negocio de un ataque exitoso. Sinónimo: Pentest.
Publicidad maliciosa
Técnica para infectar nuestros equipos con programas maliciosos desde los espacios de publicidad de otras páginas webs. Sinónimo: Malvertising (de “malicious advertising” [publicidad maliciosa]).
Puente de autoridad de certificación
Una PKI (Public Key Infrastructure) reducida a una única autoridad de certificación que establece certificados cruzados con una serie de autoridades de certificación de diferentes PKI clientes, de forma que quedan todas indirectamente certificadas entre ellas.
Punto de acceso electrónico
Conjunto de páginas web agrupadas en un dominio de Internet cuyo objetivo es ofrecer al usuario, de forma fácil e integrada, el acceso a una serie de recursos y de servicios dirigidos a resolver necesidades específicas de un grupo de personas o el acceso a la información y servicios de a una institución pública. (Ley 11/2007, de 22 de junio).
Punto de acceso inalámbrico
Dispositivo que interconecta equipos inalámbricos entre sí y con la red fija, creando una red inalámbrica.
Punto de intercambio de Internet («IXP», por sus siglas en inglés de «Internet eXchange Point»)
Una instalación de red que permite interconectar más de dos sistemas autónomos independientes, principalmente para facilitar el intercambio de tráfico de Internet. Un IXP permite interconectar sistemas autónomos sin requerir que el tráfico de Internet que pasa entre cualquier par de sistemas autónomos participantes pase por un tercer sistema autónomo, y sin modificar ni interferir de otra forma en dicho tráfico. (Real Decreto-ley 12/2018, de 7 de septiembre).
Punto de terminación de la red
El punto físico en el que el abonado accede a una red pública de comunicaciones. Cuando se trate de redes en las que se produzcan operaciones de conmutación o encaminamiento, el punto de terminación de la red estará identificado mediante una dirección de red específica, la cual podrá estar vinculada a un número o a un nombre de un abonado. (Ley 9/2014, de 9 de mayo).
–
–
R
Radiocomunicación
Toda telecomunicación transmitida por medio de ondas radioeléctricas. (Ley 9/2014, de 9 de mayo).
Ransomware
Un ransomware (del inglés ransom, «rescate», y ware, acortamiento de software), o «secuestro de datos» en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.1 Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
RDSI
La Red Digital de Servicios Integrados (RDSI) se refiere a un sistema de red estándar para la transmisión de datos a través de líneas telefónicas de cobre. Permite tener dos canales a la vez y velocidades de transmisión de hasta 128Kb por segundo.
Recurso
Cualquier parte componente de un sistema de información. (Real Decreto 1720/2007, de 21 de diciembre).
Recursos asociados
Las infraestructuras físicas, los sistemas, dispositivos, los servicios asociados u otros recursos o elementos asociados con una red de comunicaciones electrónicas o con un servicio de comunicaciones electrónicas que permitan o apoyen la prestación de servicios a través de dicha red o servicio o tengan potencial para ello. Incluirán, entre otros, edificios o entradas de edificios, el cableado de edificios, antenas, torres y otras construcciones de soporte, conductos, mástiles, bocas de acceso y distribuidores. (Ley 9/2014, de 9 de mayo).
Red de Área Local
Red informática de pequeña amplitud geográfica, que suele limitarse a espacios como una oficina, una vivienda o un edificio Sinónimo: LAN (del inglés Local Area Network).
Red de comunicaciones electrónicas
Los sistemas de transmisión y, cuando proceda, los equipos de conmutación o encaminamiento y demás recursos, incluidos los elementos que no son activos que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida Internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada. (Ley 9/2014, de 9 de mayo).
Red de Robots Informáticos
Conjunto de ordenadores (denominados bots) controlados remotamente por un atacante que pueden ser utilizados en conjunto para realizar actividades maliciosas. Sinónimo: botnet.
Red entre iguales
Modelo de comunicaciones entre sistemas o servicios en el cual todos los nodos/extremos son iguales, tienen las mismas capacidades y cualquiera de ellas puede iniciar la comunicación. Sinónimo: P2P (del inglés Peer to Peer).
Red pública de comunicaciones
Una red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público y que soporta la transferencia de señales entre puntos de terminación de la red. (Ley 9/2014, de 9 de mayo).
Redes y sistemas de información, cualquiera de los elementos siguientes:
– Las redes de comunicaciones electrónicas, tal y como vienen definidas en el número 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;
– Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales;
– Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1.º y 2.º anteriores, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos. (Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información).
Redigitación de clave
Proceso que consiste en el cambio de las claves criptográficas. La re-digitación periódica de clave limita la cantidad de datos que pueden cifrarse con una misma clave.
Registro de nombres de dominio de primer nivel
Entidad que administra y dirige el registro de nombres de dominio de Internet en un dominio específico de primer nivel. (Real Decreto-ley 12/2018, de 7 de septiembre).
Repositorio electrónico
Archivo centralizado donde se almacenan y administran datos y documentos electrónicos, y sus metadatos. (Real Decreto 4/2010, de 8 de enero).
Representante
– Persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
– Persona física o jurídica establecida en la Unión Europea que ha sido designada expresamente para actuar por cuenta de un proveedor de servicios digitales no establecido en la Unión Europea, a la que, en sustitución del proveedor de servicios digitales, pueda dirigirse una autoridad competente nacional o un CSIRT, en relación con las obligaciones que, en virtud de este real decreto-ley, tiene el proveedor de servicios digitales. (Real Decreto-ley 12/2018, de 7 de septiembre).
Requisitos mínimos de seguridad
Exigencias necesarias para asegurar la información y los servicios. (Real Decreto 3/2010, de 8 de enero). (Real Decreto 3/2010, de 8 de enero).
Reserva de frecuencias
Porción de espectro radioeléctrico cuyos derechos de uso se otorgan por la Administración a una persona física o jurídica en condiciones especificadas. (Ley 9/2014, de 9 de mayo).
Responsable de seguridad
Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. (Real Decreto 1720/2007, de 21 de diciembre).
Responsable del fichero o del tratamiento
– Persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. (Ley Orgánica 15/1999, de 13 de diciembre).
– Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. (Real Decreto 1720/2007, de 21 de diciembre).
Responsable del tratamiento o responsable
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Riesgo
– Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. (Real Decreto 3/2010, de 8 de enero).
– Toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y sistemas de información. Se puede cuantificar como la probabilidad de materialización de una amenaza que produzca un impacto en términos de operatividad, de integridad física de personas o material o de imagen. (Real Decreto-ley 12/2018, de 7 de septiembre).
RFID
Siglas de Radio Frequency IDentification, en español Identificación por Radiofrecuencia. Como su nombre indica es un método de identificación de dispositivos por ondas de radio.
Rootkit
Conjunto de software que permite un acceso continuo a un ordenador sin que sea visible su presencia.
Ryuk
Ransomware de rápida expansión hacia grandes empresas. Caso notorio de la cadena Ser, la empresa Everis y el ayuntamiento de Jerez de la Frontera.
S
Sandbox
Palabra procedente del inglés que significa “caja de arena” (sand: arena, y box: caja) y hace referencia a una de las muchas máquinas virtuales utilizadas para detectar la presencia de malware y otras amenazas cibernéticas.
Scareware
Del inglés scare (miedo) y software, es un tipo de ransomware más simple que engaña a los usuarios de una computadora para que visiten sitios infestados de malware.
Secrófono
Equipo con el que se realiza el cifrado analógico de voz (scrambler).
Secreto compartido
Valor secreto generado como resultado de un protocolo de acuerdo de claves y que se utiliza para la generación de claves.
Seguridad de las redes y de la información
Es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. (Real Decreto 3/2010, de 8 de enero).
La capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos. (Real Decreto-ley 12/2018, de 7 de septiembre).
Seguridad perimetral
Es el conjunto de soluciones de seguridad que se han ido colocando en el Perímetro de la red. El Perímetro siempre ha significado la frontera entre una red corporativa e Internet, aunque el concepto se puede aplicar a las fronteras entre distintos tipos de redes.
Sellado de tiempo
Acreditación a cargo de un tercero de confianza de la fecha y hora de realización de cualquier operación o transacción por medios electrónicos. (Real Decreto 4/2010, de 8 de enero).
Sello de tiempo
La asignación por medios electrónicos de una fecha y hora a un documento electrónico con la intervención de un prestador de servicios de certificación que asegure la exactitud e integridad de la marca de tiempo del documento. (Real Decreto 4/2010, de 8 de enero).
Servicio de computación en nube
Servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos de computación que se pueden compartir. (Real Decreto-ley 12/2018, de 7 de septiembre).
Servicio de comunicaciones electrónicas
El prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos; quedan excluidos, asimismo, los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas. (Ley 9/2014, de 9 de mayo).
Servicio de intermediación
Servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información. Son servicios de intermediación la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet. (Ley 34/2002, de 11 de julio).
Servicio de interoperabilidad
Cualquier mecanismo que permita a las Administraciones públicas compartir datos e intercambiar información mediante el uso de las tecnologías de la información. (Real Decreto 4/2010, de 8 de enero).
Servicio de la sociedad de la información
Todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19) . (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Servicio de Nombres de Dominio
Asocia un nombre de dominio con información variada relacionada con ese dominio. Sinónimo: DNS.
Servicio de televisión de formato ancho
El servicio de televisión constituido, total o parcialmente, por programas producidos y editados para su presentación en formato ancho completo. La relación de dimensiones 16:9 constituye el formato de referencia para los servicios de televisión de este tipo. (Ley 9/2014, de 9 de mayo).
Servicio digital
Servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. (Real Decreto-ley 12/2018, de 7 de septiembre).
Servicio esencial
Servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información. (Real Decreto-ley 12/2018, de 7 de septiembre).
Servicio telefónico disponible al público
El servicio disponible al público para efectuar y recibir, directa o indirectamente, llamadas nacionales o nacionales e internacionales a través de uno o más números de un plan nacional o internacional de numeración telefónica. (Ley 9/2014, de 9 de mayo).
Servicios acreditados
Servicios prestados por un sistema con autorización concedida por la autoridad responsable, para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación. (Real Decreto 3/2010, de 8 de enero).
Servicios asociados
Aquellos servicios asociados con una red de comunicaciones electrónicas o con un servicio de comunicaciones electrónicas que permitan o apoyen el suministro de servicios a través de dicha red o servicio o tengan potencial para ello e incluyen, entre otros, la traducción de números o sistemas con una funcionalidad equivalente, los sistemas de acceso condicional y las guías electrónicas de programas, así como otros servicios tales como el servicio de identidad, localización y presencia. (Ley 9/2014, de 9 de mayo).
Seudonimización
El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
SIEM
La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y software de red. Se trata de software o administración de servicios utilizado también para loguear datos de seguridad y generar reportes para fines de cumplimiento.
Sistema de acceso condicional
Toda medida técnica o mecanismo técnico que condicione el acceso en forma inteligible a un servicio protegido de radiodifusión sonora o televisiva al pago de una cuota u otra forma de autorización individual previa. (Ley 9/2014, de 9 de mayo).
Sistema de Detección de Intrusos
Aplicación usada para detectar accesos no autorizados a un ordenador o a una red. Sinónimo IDS (Intrusion Detection System).
Sistema de firma electrónica
Conjunto de elementos intervinientes en la creación de una firma electrónica. En el caso de la firma electrónica basada en certificado electrónico, componen el sistema, al menos, el certificado electrónico, el soporte, el lector, la aplicación de firma utilizada y el sistema de interpretación y verificación utilizado por el receptor del documento firmado. (Ley 11/2007, de 22 de junio).
Sistema de gestión de la seguridad de la información (SGSI)
Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. (Real Decreto 3/2010, de 8 de enero).
Sistema de información
Es el conjunto de elementos «hardware», «software», datos y usuarios que, relacionados entre sí, permiten el almacenamiento, transmisión, transformación y recuperación de la información. (Orden PRE/2740/2007, de 19 de septiembre).
Conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. (Real Decreto 1720/2007, de 21 de diciembre).
Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. (Real Decreto 3/2010, de 8 de enero).
Sistema de nombres de dominio («DNS», por sus siglas en inglés de «Domain Name System»)
Sistema distribuido jerárquicamente que responde a consultas proporcionando información asociada a nombres de dominio, en particular, la relativa a los identificadores utilizados para localizar y direccionar equipos en Internet. (Real Decreto-ley 12/2018, de 7 de septiembre).
Sistema de Prevención de Intrusiones
Software que se utiliza para proteger a los sistemas de ataques y abusos. Sinónimo: IPS (Intrusion Prevention System).
Sistema de tratamiento
Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. (Real Decreto 1720/2007, de 21 de diciembre).
Sistemas de publicidad basados en programación computacional
Es cualquier programa que automáticamente va mostrando publicidad al usuario. [ADWARE, de “advertising” (publicidad) y “software” (programa)].
Sistema seguro multinivel
Sistema que contiene información con diferentes niveles de clasificación y permite el acceso simultáneo de usuarios con diferentes niveles de habilitación y diferente necesidad de conocer. No obstante, el sistema es capaz de garantizar que el acceso a los objetos de información sigue estando controlado por habilitación y necesidad de conocer.
Smishing
Según Interpol, una de las técnicas de ingeniería social que más usan los hackers para manipular es el smishing (SMiSing). Se trata del uso del pishing a través de SMS en lugar de hacerlo mediante correo electrónico. Apareció en 2008, pero los expertos dicen que ha aumentado en los últimos años, no sólo a través de mensajes de texto sino también en aplicaciones de mensajería como WhatsApp.
Sniffer
Programa llamado “husmeador” el cual captura paquetes de red.
SOC y MSSP
MSSP Aunque son términos que se usan indistintamente, lo correcto es decir que un MSSP (Managed Security Services Provider) es una organización que presta servicios de seguridad a muchos clientes a través de uno o varios SOC (Security Operation Center). En teoría, un SOC debería tener la capacidad de poder administrar tecnologías de seguridad de forma remota y hacerlo incluso de forma delegada en nombre de sus clientes. Sus servicios suelen incluir monitorización de logs y eventos de seguridad, investigación de ciberincidentes, administración de consolas, aplicación de parches y nuevas versiones y servicios parecidos.
Soporte
Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. (Real Decreto 1720/2007, de 21 de diciembre).
Objeto sobre el cual o en el cual es posible grabar y recuperar datos. (Real Decreto 4/2010, de 8 de enero).
Spam
Mensaje no deseado, no solicitado o con remitente desconocido, y que se envía de forma masiva.
Spear Phishing
Un ataque contra una organización específica o un individuo dentro de esa organización. La intención es robar propiedad intelectual, datos financieros, secretos comerciales o militares y otros datos confidenciales.
Spyware
Se trata de un malware espía, un tipo de software utilizado para recopilar información de un ordenador o dispositivo informático y transmitir la información a una entidad externa sin el permiso del dueño de éste.
SSH
Es el nombre de un protocolo y del programa que lo implementa cuya principal función es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada.
SMTP
El protocolo para transferencia simple de correo es un protocolo de red utilizado para el intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos (PDA, teléfonos móviles, impresoras, etc).
SSL (Secure Socket Layer)
Protocolo de seguridad que pretende conseguir que la transmisión de datos por Internet, entre un servidor y un usuario, o a la inversa, resulte completamente segura. El protocolo de conexión cifrada SSL puede ser utilizado por cualquier fabricante de aplicaciones para Internet, siendo una de sus grandes ventajas que pueda usarse con cualquiera de los protocolos de servicios más habituales de la red, aunque lo más común es que se emplee con HTTP.
SSO (Single Sign On)
El escenario ideal es que exista un sistema que automáticamente inyecte la contraseña por ti cuando una aplicación, o página web, o lo que sea, te la pida, sin que tengas que escribirla. Esto es el single sign on.
SQLI
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación.
T
TACACS
Ver Autenticación, autorización y registro. Acrónimo de “terminal access controller access control system” (sistema de control de acceso del controlador de acceso a terminales). Protocolo de autenticación remoto que se utiliza generalmente en redes que se comunican entre un servidor de acceso remoto y un servidor de autenticación para determinar los derechos de acceso del usuario a la red.
Tarjeta Inteligente
En su versión más básica, el chip tiene una cierta capacidad de almacenamiento, por lo que se puede leer y escribir información. En una versión más avanzada, el chip puede realizar firmas digitales. En cualquiera de las dos versiones, para acceder a la información del chip o para realizar una operación con la tarjeta se necesita introducir un PIN, por lo que las tarjetas inteligentes suelen ser utilizadas como un método de autenticación.
TCSEC
Ver criterios comunes. Los TCSEC tiene por objetivo aplicar la política de seguridad del Departamento de Defensa estadounidense. Esta política se preocupa fundamentalmente del mantenimiento de la confidencialidad de la información clasificada a nivel nacional.
TEARDROP
Ver «Denegación de Servicio (DDoS)».
Técnicas avanzadas de evasión
Se denomina técnicas de evasión avanzadas a la combinación de diferentes técnicas de evasión utilizando diferentes niveles de la red. El resultado dificulta enormemente la capacidad de detección del ataque.
Técnicas criptográficas asimétricas
Aquellas que usan dos algoritmos criptográficos, uno inverso del otro. De ellos, uno es de público conocimiento (determinado por la clave pública) y otro privado (determinado por la clave privada). Los dos algoritmos tienen la propiedad de que dado una de ellos es computacionalmente inviable obtener el otro.
Técnicas criptográficas simétricas
Técnica criptográfica donde se usa la misma clave secreta para cifrar y para descifrar. Sin el conocimiento de la clave es [computacionalmente] imposible tanto cifrar como descifrar.
Telecomunicaciones
Toda transmisión, emisión o recepción de signos, señales, escritos, imágenes, sonidos o informaciones de cualquier naturaleza por hilo, radioelectricidad, medios ópticos u otros sistemas electromagnéticos. (Ley 9/2014, de 9 de mayo).
Teléfono público de pago
Un teléfono accesible al público en general y para cuya utilización pueden emplearse como medios de pago monedas, tarjetas de crédito/débito o tarjetas de prepago, incluidas las tarjetas que utilizan códigos de marcación. (Ley 9/2014, de 9 de mayo).
Tempest
Término que hace referencia a las investigaciones y estudios de emanaciones comprometedoras (emisiones electromagnéticas no intencionadas, producidas por equipos eléctricos y electrónicos que, detectadas y analizadas, puedan llevar a la obtención de información) y a las medidas aplicadas a la protección contra dichas emanaciones.
Tercero
La persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. (Real Decreto 1720/2007, de 21 de diciembre).
Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Trámite
Cada uno de los estados y diligencias que hay que recorrer en un negocio hasta su conclusión. (Real Decreto 4/2010, de 8 de enero).
Transferencia de Ficheros a través de una Red
Servicio por el que un equipo cliente se puede conectar a un servidor para descargar o enviar archivos. Sinónimo: FTP, del acrónimo inglés File Transfer Protocol.
Transferencia internacional de datos
Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. (Real Decreto 1720/2007, de 21 de diciembre).
Transmisión de documentos
Cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo. (Real Decreto 1720/2007, de 21 de diciembre).
Tratamiento
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Tratamiento de datos
Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (Ley Orgánica 15/1999, de 13 de diciembre).
Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (Real Decreto 1720/2007, de 21 de diciembre).
Trayecto de certificación
Secuencia ordenada de certificados de clave pública de objetos en el árbol de información de directorio que, junto con la clave pública del objeto inicial en el trayecto, puede ser procesada para obtener la del objeto final en el trayecto.
Tratamiento transfronterizo
El tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, ó
El tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Trazabilidad
Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. (Real Decreto 3/2010, de 8 de enero).
Triple DES
Algoritmo de cifra que realiza 3 cifrados DES consecutivos. Cifra el texto en bloques de 64 bits. Utiliza claves de 112 o 160 bits (correspondientes a 2 o 3 claves de 56 bits).
Troyano
En informática, se denomina caballo de Troya, o troyano, a un malware que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.
Troyano bancario
Conocido también como Banker. Robar datos de las cuentas bancarias y recolectan información confidencial a través diversos medios.
Truecrypt
TrueCrypt es un programa de código abierto multiplataforma para cifrado de archivos y de disco completo (FDE).
Truncamiento
Método mediante el cual se elimina definitivamente un segmento de datos del PAN, con lo cual todo el PAN se vuelve ilegible. El truncamiento se relaciona con la protección del PAN cuando está almacenado en archivos, bases de datos, etc.
Túnel
Enlace virtual entre dos dispositivos utilizando una infraestructura previa. Hay diferentes técnicas para crear un túnel: encapsular el protocolo, conmutar por etiquetas, o crear circuitos virtuales. El túnel permite que las entidades conectadas utilicen protocolos que soporta la red subyacente.
Twofish
En criptografía, Twofish es un método de criptografía simétrica con cifrado por bloques desarrollado por Counterpane Labs y presentado al concurso del NIST que buscaba un sustituto para DES (el concurso AES).
U
URL
URL (Localizador uniforme de recursos) es la ruta que lleva a un contenido específico de Internet. Ejemplo: https://centroandaluz.net/. Consiste, básicamente, en el protocolo más el nombre de dominio, seguido del directorio específico donde se encuentre el recurso que se busca, dentro de dicho dominio.
Uso generalizado por los ciudadanos
Usado por casi todas las personas físicas, personas jurídicas y entes sin personalidad que se relacionen o sean susceptibles de relacionarse con las Administraciones públicas españolas. (Real Decreto 4/2010, de 8 de enero).
Usuario
Sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. (Real Decreto 1720/2007, de 21 de diciembre).
Una persona física o jurídica que utiliza o solicita un servicio de comunicaciones electrónicas disponible para el público. (Ley 9/2014, de 9 de mayo).
Usuario final
El usuario que no explota redes públicas de comunicaciones ni presta servicios de comunicaciones electrónicas disponibles para el público ni tampoco los revende. (Ley 9/2014, de 9 de mayo).
UTM (Unified Threat Management)
Ante la explosión de tecnologías de seguridad perimetral que han ido apareciendo a lo largo del tiempo, se han ido buscando soluciones que redujeran la complejidad de gestión producidas por la tenencia de diferentes aplicaciones de múltiples fabricantes. La solución UTM pasa por unificar todas esas tecnologías en un único hardware de un mismo fabricante. En teoría, con esa aproximación se puede conseguir una consola de administración única, lo que redunda en facilidad de gestión y reducción de costes, y las distintas tecnologías se entienden y hablan entre sí.
V
Vacuna
Programa de prevención de ataques de los virus informáticos.
Validación
Una Actividad que asegura que un Servicio de TI, Proceso, Plan u otro Entregable nuevo o cambiado satisface las necesidades del Negocio. La Validación asegura que los Requerimientos de Negocio son satisfechos incluso aunque estos sean cambiados desde su diseño original.
Valor
Cualidad que poseen algunas realidades, consideradas bienes, por lo cual son estimables.
Valoración
Inspección y análisis para verificar si un Estándar o un conjunto de Guías se está siguiendo, que sus Registros son precisos, o que las metas de Eficiencia y Efectividad se están cumpliendo.
Valor de inicialización
Valor usado para establecer las condiciones de arranque de un proceso de cifrado. Esto incrementa la seguridad al establecer una variable adicional. Así mismo, facilita la sincronización de los equipos criptográficos.
Valor resumen
Resultado de aplicar una función resumen determinada a una cierta información.
Verificar
Una Actividad que asegura que un Servicio de TI, Proceso, Plan u otro Entregable nuevo o cambiado, es completo, preciso, Confiable y está de acuerdo con su Especificación de Diseño.
Violación de la seguridad de los datos personales
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016).
Virus
Programa o un fragmento de código cargado en nuestro dispositivo sin nuestro permiso o conocimiento y cuyo objetivo es alterar el funcionamiento del mismo.
Vishing
Acrónimo de voice y phishing. El vishing es un tipo de estafa informática, muy similar al phishing, en el que el ciberdelincuente, valiéndose de la telefonía, se hace pasar por una fuente fiable y alegando supuestas razones de seguridad, intenta engañar a sus víctimas para hacerse con sus datos personales. La finalidad que persigue es robarles la identidad, o bien hacerse con su información bancaria.
VPN (Virtual Private Network)
La VPN es la solución clásica que permite establecer canales seguros sobre un medio inseguro: Internet. Por canal seguro nos referimos a canal cifrado, añadiendo confidencialidad. Esto se consigue mediante el establecimiento de una conexión VPN, la conexión se abre cuando se establece una conexión VPN segura entre los dos puntos de la comunicación, y se cierra cuando termina la conexión.
Vulnerabilidad
Una debilidad que puede ser aprovechada por una amenaza. (Real Decreto 3/2010, de 8 de enero).
Se define como una debilidad presente en un sistema informático el cual afecta o compromete a su seguridad, lo que le permitiría a un atacante explotar y violar la confidencialidad, integridad, disponibilidad y el control de acceso, así como la consistencia del sistema y de la información contenida en el mismo. Muchas de las vulnerabilidades encontradas son el resultado de fallas o bugs en el diseño de un sistema. Cuando el fabricante detecta estos fallos, realiza correcciones por medio de parches o actualizaciones.
W
WannaCry
WannaCry, también llamado WanaCrypt0r 2.0 o WCry, se introduce en los equipos que utilizan Windows para cifrar los archivos e impedir que los usuarios puedan acceder a ellos hasta que no paguen 300 $ en bitcoines en un plazo de tres días. Después, el precio se duplica.
WAF (Web Application Firewall)
Ante los problemas que presentan ciertas aplicaciones de cara a la seguridad de programación, colocamos un dispositivo de seguridad, el WAF, que entiende la aplicación web a proteger, se coloca delante de ella y actúa como un filtro para bloquear intentos de ataques que tienen que ver única y exclusivamente con agujeros en la programación.
War chalking
Es la práctica de dibujar símbolos con tiza en paredes o pisos para indicar la existencia de puntos de acceso desprotegidos que permitan el acceso inalámbrico a redes. Luego todos podrán ver desde el exterior que en ese lugar hay nodos abiertos sin ningún tipo de protección.
War dialer
Barrido automatizado de números de teléfono. Se buscan números a los que respondan equipos informáticos, con ánimo de identificar puntos de ataque para intentar penetrar en el sistema.
War driving
Técnica difundida donde individuos equipados con material apropiado (dispositivo inalámbrico, antena, software de rastreo y unidad GPS) tratan de localizar en coche puntos inalámbricos desprotegidos. Existen otras modalidades dependiendo de cómo se realice el rastreo: a pie, bicicleta, patines, etc…
Warez
Piratería.
Warm site
Sede alternativa que está parcialmente equipada con sistemas y comunicaciones para soportar operaciones durante un desastre.
Watering Hole Attack
Ataque que se vale de los propios empleados de las compañías haciéndoles descargar involuntariamente malware a la red de la organización atacada cuando visitan una página web de confianza controlada por el delincuente.
Web Services Security
Propuesta de un grupo de industrias para añadir elementos de seguridad a las transacciones web-services.
Whaling
Es un ataque de ingeniería social, variante del spear phishing, que se caracteriza porque el fraude está dirigido a miembros concretos de la organización, principalmente ejecutivos de alto nivel, con el objeto de obtener sus claves, contraseñas y todo tipo de información confidencial que permita a los atacantes el acceso y control de los sistemas de información de la empresa.
Whirlpool
Algoritmo para calcular resúmenes criptográficos. Produce resúmenes de 512 bits. Fue diseñado en el programa europeo NESSIE (New European Schemes for Signatures, Integrity and En-cryption).
Wiretapping
Acceso a los datos que circulan por una red de comunicaciones.
Wlan
WLAN es una sigla de la lengua inglesa que alude a Wireless Local Area Network, una expresión que puede traducirse como Red de Área Local Inalámbrica. Como la denominación lo señala, una WLAN es una red de tipo local cuyos equipos no necesitan estar vinculados a través de cables para conectarse.
WPA (WIFI Protected Access)
Acrónimo de “WiFi Protected Access” (acceso protegido WiFi). Protocolo de seguridad creado para asegurar las redes inalámbricas. WPA es la tecnología sucesora de WEP. También se lanzó WPA2, tecnología sucesora de WPA.
X
XSRF o CSRF (Cross-Site Request Forgery)
Ver «Falsificación de petición en sitios cruzados».
Xpath injection
Ataque a servidores web mediante peticiones XPath. Se trata de desconcertar al servidor cuando analiza el sentido de la consulta XPath, provocando la revelación de contenido XML al cual el cliente no debería tener acceso.
XER XML Encoding Rules
Conjunto de reglas para formatear en XML datos descritos en ASN.1.
XSS
Una secuencia de comandos en sitios cruzados o Cross-site scripting es un tipo de vulnerabilidad informática o agujero de seguridad típico de las aplicaciones Web, que puede permitir a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar.
–
–
Z
Zero-day
Ver «Ataque Zero Day».
Zombi
Dispositivo infectado y controlado en remoto por un atacante.
Zona
Conjunto físico o lógico de elementos dentro de un mismo perímetro de seguridad. Los elementos de una zona disfrutan de una seguridad colectiva frente a agentes externos a su perímetro.