CIBERPEDIA

Ciberpedia

¿QUIERES INCLUIR ALGUNA PALABRA CON SU DEFICIÓN? ¿QUIERES SABER EL SIGNIFICADO DE ALGUNA PALABRA QUE NO ESTA?  CONTACTA CON NOSOTROS

# A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
LETRA_Otro

3DES

Algoritmo que hace un triple cifrado del Data Encryption Standard (DES, método para cifrar información). 3DES agranda el largo de la clave sin modificar el algoritmo de cifrado, triplicando el número de operaciones de cifrado. La longitud efectiva de la clave es de 168 bits.

1

A Prueba de Fallos

Sistema automático de protección de programas y elementos de procesamiento..

Abonado

Cualquier persona física o jurídica que haya celebrado un contrato con un proveedor de servicios de comunicaciones electrónicas disponibles para el público para la prestación de dichos servicios. (Ley 9/2014, de 9 de mayo, General de Telecomunicaciones).

Acceso

La puesta a disposición de otro operador, en condiciones definidas y sobre una base exclusiva o no exclusiva, de recursos o servicios con fines de prestación de servicios de comunicaciones electrónicas, incluyendo cuando se utilicen para el suministro de servicios de la sociedad de información o de servicios de contenidos de radiodifusión. Este término abarca, entre otros aspectos, los siguientes: el acceso a elementos de redes y recursos asociados que pueden requerir la conexión de equipos por medios fijos y no fijos (en particular, esto incluye el acceso al bucle local y a recursos y servicios necesarios para facilitar servicios a través del bucle local); el acceso a infraestructuras físicas, como edificios, conductos y mástiles; el acceso a sistemas informáticos pertinentes, incluidos los sistemas de apoyo operativos; el acceso a sistemas de información o bases de datos para prepedidos, suministros, pedidos, solicitudes de mantenimiento y reparación, y facturación; el acceso a la conversión del número de llamada o a sistemas con una funcionalidad equivalente; el acceso a redes fijas y móviles, en particular con fines de itinerancia; el acceso a sistemas de acceso condicional para servicios de televisión digital; así como el acceso a servicios de red privada virtual. (Ley 9/2014, de 9 de mayo).

Acceso autorizado

Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. (Real Decreto 1720/2007, de 21 de diciembre).

Acceso fiable

Mecanismo de seguridad que permite a un usuario establecer una conexión segura con el sistema, para evitar así cualquier intento de suplantación de éste. Además, este mecanismo es imposible de imitar o desactivar por un programa no fiable..

Acceso por red

Acceso a un sistema de información a través de una red (sea cual sea el tipo de red).

Aceptacion del riesgo

Decisión informada en favor de tomar un riesgo en particular. La aceptación del riesgo puede tener lugar sin que exista tratamiento del riesgo o durante el proceso de tratamiento del riesgo. Además, los riesgos aceptados son objeto de seguimiento y de revisión.

Acreditación

Declaración de conformidad de los laboratorios solicitantes, emitida por el Organismo de Certificación, en base al cumplimiento de los requisitos establecidos en el Capítulo III, y según el procedimiento establecido en el Capítulo IV, del presente Reglamento. (Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información).

Acreditación de competencia técnica

Es aquella acreditación que concede una entidad de acreditación reconocida a un laboratorio, conforme a lo regulado en la Ley 21/1992, de 16 de julio, de Industria y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial, y en base al cumplimiento, por parte del laboratorio, de la norma UNE-EN ISO/IEC 17025. En su alcance se deberán incluir las normas de evaluación de la seguridad de los productos y sistemas de Tecnologías de la Información aprobadas por el Organismo de Certificación. (Orden PRE/2740/2007, de 19 de septiembre).

Actividad de servicio

Cualquier actividad económica por cuenta propia, prestada normalmente a cambio de una remuneración. (Ley 11/2007, de 22 de junio).

Activo

Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. (Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica).

Activo de información

Es cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.

Actuación administrativa automatizada

Actuación administrativa producida por un sistema de información adecuadamente programado sin necesidad de intervención de una persona física en cada caso singular. Incluye la producción de actos de trámite o resolutorios de procedimientos, así como de meros actos de comunicación. (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos)..

Actuación responsable

Dicho de una persona: Que pone cuidado y atención en lo que hace o decide..

Acuerdo de nivel de servicio

Acuerdo entre un Proveedor de Servicio de TI y un Cliente. El SLA describe el Servicio de TI, documenta los Objetivos de Nivel de Servicio y especifica las responsabilidades del Proveedor de Servicio de TI y del Cliente..

Acuerdo de respaldo mutuo o (SLA)

Convenio entre dos instituciones por el cual se comprometen, bajo ciertas condiciones de uso, a facilitarse mutuamente sus equipos y sistemas de tratamiento de la información caso de que un accidente inutilice o degrade los de una de ellas..

Acuerdo de seguridad de interconexion

Documento que regula los aspectos relevantes para la seguridad de una conexión prevista entre una organización y un sistema externo. Incluye una variedad de información descriptiva, aspectos técnicos, de procedimiento, y la planificación..

Acumulacion de privilegios

Proceso gradual por el que un sujeto va incrementando sus derechos de acceso por encima de los que estrictamente requiere para desempeñar su trabajo.

Administrador

Persona responsable de la instalación y configuración de los componentes de un sistema de información..

Administrador de seguridad

Persona que es responsable de la definición o aplicación de una o más partes de una política de seguridad..

Adware

Tipo de software malicioso cuya instalación hace que la computadora muestre o descargue publicidad de manera automática..

Afectado o interesado

Persona física titular de los datos que sean objeto del tratamiento. (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal).

Agente económico

El fabricante, el representante autorizado, el importador y el distribuidor de equipos y aparatos de telecomunicación. a) Distribuidor: toda persona física o jurídica de la cadena de suministro distinta del fabricante o el importador que comercializa un producto. b) Fabricante: toda persona física o jurídica que fabrica un producto, o que manda diseñar o fabricar un producto y lo comercializa con su nombre o marca comercial. c) Importador: toda persona física o jurídica establecida en la Unión Europea que introduce un producto de un tercer país en el mercado comunitario. d) Representante autorizado: toda persona física o jurídica establecida en la Unión Europea que ha recibido un mandato por escrito de un fabricante para actuar en su nombre en relación con tareas específicas relativas a obligaciones de éste último en virtud de la legislación comunitaria correspondiente. (Ley 9/2014, de 9 de mayo).

Agente externo

Persona que accede al sistema desde el exterior del perímetro de seguridad..

Agotamiento de recursos

Ataque consistente en pedirle tantos recursos a un sistema que este queda a todos los efectos incapacitado de servir a nadie más..

Agregación

Circunstancia en la que un conjunto de elementos de información es objeto de una clasificación más elevada que la de cualquiera de sus componentes vistos individualmente..

Agregación de datos

Recopilación de datos no clasificados de tal forma que el conjunto, correlacionado, debiera estar clasificado por cuanto sería de utilidad para perpetrar un ataque..

AH (Authentication Header)

Cabecera IP que proporciona el servicio de autenticación de un paquete IP que viaje por la red..

Air Gap

Término usado para describir que dos redes están absolutamente separadas..

ALARP (Tan bajo como sea razonablemente práctico)

Un método para correlacionar de la probabilidad de un riesgo y la gravedad de sus consecuencias para determinar si la exposición al riesgo es razonable o si hay que seguir reduciendo el riesgo..

Alerta

Advertencia de que se ha superado un umbral, de que algo ha cambiado, o de que hubo un Fallo. De forma regular, las Alertas se crean y gestionan con herramientas de Gestión de Sistemas y administradas por el Proceso de Gestión de Eventos.

Algoritmo

Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema. .

Algoritmo criptográfico

Función matemática que lleva a cabo un cierto cálculo criptográfico.

Algoritmo criptográfico simetrico

Algoritmo para realizar el cifrado o el algoritmo correspondiente para realizar el descifrado en el cual se requiere la misma clave para el cifrado y el descifrado.

Algoritmos de cifrado

Operación o función matemática utilizada en combinación con una clave que se aplica a un texto en claro (no cifrado) y permite obtener un texto cifrado (o viceversa).

Algoritmos de descifrado

Proceso que transforma texto cifrado en texto en claro.

Algoritmo irreversible

Algoritmo que emplea o no clave y que se utiliza sólo en un sentido.

Algoritmo público

Algoritmo de cifra cuyo funcionamiento no se considera información a proteger y es de general conocimiento.

Algoritmo secreto

Algoritmo de cifra cuyo funcionamiento interno es considerado por el fabricante o el usuario información a proteger.

Alta disponibilidad

Configuración de los sistemas de forma que garantizan un servicio continuo incluso cuando alguno de sus componentes no se encuentra plenamente disponible.

Ámbito normativo coordinado

Todos los requisitos aplicables a los prestadores de servicios de la sociedad de la información, ya vengan exigidos por la presente Ley u otras normas que regulen el ejercicio de actividades económicas por vía electrónica, o por las leyes generales que les sean de aplicación, y que se refieran a los siguientes aspectos: 1.º Comienzo de la actividad, como las titulaciones profesionales o cualificaciones requeridas, la publicidad registral, las autorizaciones administrativas o colegiales precisas, los regímenes de notificación a cualquier órgano u organismo público o privado, y 2.º Posterior ejercicio de dicha actividad, como los requisitos referentes a la actuación del prestador de servicios, a la calidad, seguridad y contenido del servicio, o los que afectan a la publicidad y a la contratación por vía electrónica y a la responsabilidad del prestador de servicios. No quedan incluidos en este ámbito las condiciones relativas a las mercancías y bienes tangibles, a su entrega ni a los servicios no prestados por medios electrónicos. (Ley 34/2002, de 11 de julio).

Amenaza

Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.

Amenaza activa

Amenaza de un cambio no autorizado y deliberado del estado de un sistema.

Amenaza externa

Entidad no autorizada fuera del dominio de seguridad que tiene el potencial de dañar un sistema de información a través de la destrucción, divulgación, modificación de datos y / o denegación de servicio.

Amenaza interna

Entidad con acceso autorizado (es decir, en el dominio de seguridad) que tiene el potencial de dañar un sistema de información o de la empresa a través de la destrucción, divulgación, modificación de datos y / o denegación de servicio.

Amenaza persistente avanzada (APT)

Ataque cibernético que emplea técnicas avanzadas de ocultación para permanecer desapercibidos durante largos períodos, generalmente gubernamental o comercial, dirigido a penetrar la seguridad informática de una entidad específica.

Ampliación

La adición de uno o más requisitos a un paquete.

Análisis de comportamiento de red

Una solución de seguridad informática que monitorea continuamente los datos de flujo de los routers para detectar un comportamiento anómalo de la red como ataques de denegación de servicio, ciertas formas de malware y violaciones a políticas de red.

Analisis de fallos

Análisis de la respuesta de un dispositivo criptográficos antes diferentes fallos provocados, con el objeto de inferir información acerca de las claves usadas.

Analisis de impacto del negocio

Actividad de la Gestión de la Continuidad del Negocio que identifica las Funciones Vitales del Negocio y sus dependencias.

Analisis de paquetes TCP

Técnica útil para detectar qué sistema operativo se usa en un cierto equipo remoto. Consiste en analizar los paquetes TCP que envía buscando características singulares peculiares de un cierto sistema.

Análisis de riesgos

Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. (Real Decreto 3/2010, de 8 de enero).

      • Proceso que comprende la identificación de activos de información, sus vulnerabilidades y las amenazas a los que se encuentran expuestos.

Análisis de tiempos

Análisis del tiempo de procesamiento empleado por un dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas.

Análisis de tráfico

Observación del tráfico de datos (presencia, ausencia, dirección, volumen y frecuencia) en un canal de transmisión para inferir información. Cuando la dificultad de descifrar los datos transmitidos por un canal es grande, este tipo de ataque puede proporcionar interesantes conjeturas sobre los mismos.

Análisis diferencial de consumo

Análisis del consumo de energía realizado por un módulo criptográfico con el objetivo de extraer información relacionada con las claves criptográficas con las que trabaja. A diferencia del análisis simple, aquí se estudian estadísticamente las variaciones de las observaciones realizadas con diferentes datos de entrada.

Análisis forense

Análisis que se realiza una vez que hemos sufrido un incidente para determinar sus causas, origen y ramificaciones. Los trabajos de análisis forense son de lo más variado, suelen ser muy caros y siempre están rodeados de secretismo. Muchos análisis forenses que se contratan tienen como objetivo reconstruir las acciones que ha realizado un empleado sospechoso y recoger evidencias que sirvan para denunciarlo. Hay otros análisis forenses más constructivos. Por ejemplo, poder conocer el modus operandi de un APT sufrido, o hacer una ingeniería de una pieza de software malicioso, o colaborar en una investigación policial que desarticule una red de pederastas.

Análisis Heurístico

Se hace cuando, a fin de detectar la presencia de virus, se estudia el comportamiento de los programas. El comportamiento anómalo permite inferir la infección.

Análisis simple de consumo

Análisis del consumo de energía realizado por un módulo criptográfico dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas.

Antispam

Herramienta que identifica y filtra correo no deseado, con el objetivo de evitar que llegue al usuario. De esta forma, se evita la pérdida de productividad que estos correos producen y se minimizan los riesgos en cuanto a las amenazas que por estos circulan (como malware o phishing). Las técnicas de filtrado van desde detección de palabras comunes del spam hasta listas de correo basura definidas por el usuario o listas mayores ubicadas en servidores remotos.

Anonimato

Carácter o condición de anónimo.

Anonymizer

Servicio, dispositivo o aplicación interpuestos que impiden a los servidores web ver la dirección IP de sus usuarios.

Anonymous remailer

Servidor intermedio de mensajería electrónica cuya función es reenviar los mensajes recibidos habiendo eliminado previamente la identificación del remitente.

Anti automatización

Medida de seguridad de los servidores web que impiden el acceso automatizado. La técnica consiste en exigir al usuario que demuestre ser humano pasándole una prueba de difícil resolución por un robot.

Antispoof

Medidas para prevenir el abuso de datos de identificación y autenticación, impidiendo que alguien se haga pasar por quien no es.

Antispyware

Contramedida cuyo objetivo es evitar la infección por código malicioso de tipo spyware.

Antivirus

Es un programa informático específicamente diseñado para detectar, bloquear y eliminar código malicioso (virus, troyanos, gusanos, etc.).

Apéndice

Bits formados por la signatura y una cadena de texto opcional.

Aplicación

Programa o conjunto de programas cuyo objeto es la resolución de un problema mediante el uso de informática. (Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica).

Aplicación de fuentes abiertas

Aquella que se distribuye con una licencia que permite la libertad de ejecutarla, de conocer el código fuente, de modificarla o mejorarla y de redistribuir copias a otros usuarios. (Real Decreto 4/2010, de 8 de enero).

Appliance

Dispositivo hardware donde se instala una aplicación software de ciberseguridad. Estos, suelen ser dispositivos compatibles con softwares de distintos fabricantes y están optimizados para ofrecer almacenamiento y conectividad a esas aplicaciones además de fácil gestión del propio dispositivo.

Apreciación del Riesgo

Proceso global que comprende la identificación del riesgo, el análisis del riesgo y la evaluación del riesgo.

Arbol de ataque

Estructura de datos en forma de árbol donde a partir de un objetivo final (representado como la raíz) se identifican (como ramificaciones) objetivos secundarios que nos permitirían alcanzar el objetivo final. Los árboles de ataque se utilizan para modelar las posibles vías por las que puede perpetrarse un ataque.

Arbol de llamadas

Relación de personas que deben ser contactadas en caso de declaración de emergencia.

Area confidencial

Todo centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan, procesen o transmiten datos de titulares de tarjetas. No se incluyen las áreas en las que se encuentran presentes terminales de punto de venta, tales como el área de cajas en un comercio.

Area de acceso controlado

Área o espacio para los que la organización tiene la confianza de que las protecciones físicas y de procedimiento previstas son suficientes para cumplir los requisitos establecidos para la protección de la información y/o del sistema de información.

Arquitectura de seguridad

Un planteamiento y un plan que cubre: (a) los servicios de seguridad que se le exigen a un sistema, (b) los componentes necesarios para proporcionar dichos servicios y (c) las características que se requieren de dichos componentes para enfrentarse eficazmente a las amenazas previsibles.

ARP (Protocolo de resolución de direcciones)

Es un protocolo de capa de enlace responsable de encontrar la dirección de hardware que corresponda con una determinada dirección IP. El ARP es la segunda de las siete capas del Modelo OSI, que establece las fases por las que han de pasar los datos para viajar de un dispositivo a otro sobre una red de comunicaciones

ARP Spoofing

El atacante envía paquetes ARP falsos, con información maliciosa, pudiendo asociar una dirección MAC inexistente con la dirección IP de la víctima. También es conocido como envenenamiento de las tablas ARP, o ARP poisoning.

Asignación de frecuencias

Autorización administrativa para que una estación radioeléctrica utilice una frecuencia o un canal radioeléctrico determinado en condiciones especificadas. (Ley 9/2014, de 9 de mayo).

Asociacion de seguridad

Relación establecida entre dos entidades que les permite proteger la información que intercambian.

Ataque activo

Ataque que altera el sistema o los datos.

Ataque a la validacion de datos

Ataques en los que el atacante introduce deliberadamente datos erróneos con el fin de confundir a la aplicación.

Ataque algebraico

Ataque basado en las propiedades algebraicas de un algoritmo de cifra.

Ataque combinado

Es uno de los ataques más agresivos ya que se vale de métodos y técnicas muy sofisticadas que combinan distintos virus informáticos, gusanos, troyanos y códigos maliciosos, entre otros.

Ataque con solo texto cifrado

Variante de análisis criptográfico donde el atacante sólo dispone de texto cifrado.

Ataque con texto cifrado escogido

Método cripto-analítico en el cual el atacante puede obtener el texto en claro correspondiente a cualquier texto cifrado por él elegido.

Ataque con texto en claro conocido

Agresión al cifrado que pretende averiguar la clave criptográfica usada a partir del conocimiento de un, o varios, texto cifrado y el texto en claro del, o de los, que procede, así como del algoritmo de cifra usado. Es el ataque usual a mensajes cifrados con algoritmos conocidos y transmitidos mediante protocolos normalizados (por ejemplo, EDI).

Ataque con texto en claro escogido

Ataque consistente en elegir un texto en claro y comparar aquél con el texto cifrado obtenido, para así tratar de hallar la clave criptográfica que se está empleando. Presupone el conocimiento del algoritmo de cifra usado, o al menos el acceso al dispositivo en que está implementado. Un ejemplo típico se tiene en el usuario de un cripto-sistema asimétrico, que conoce por tanto la clave pública del mismo. También en el usuario de un ordenador con acceso a la tabla de contraseñas cifradas. Cambiando repetidamente su contraseña y examinando en cada ocasión la misma cifrada puede recopilar gran cantidad de pares contraseña en claro-contraseña cifrada.

Ataque controlado

Ataque a un sistema autorizado y controlado por el propietario del sistema. Tiene como objeto adelantarse a ataques reales para descubrir vulnerabilidades antes de que sean explotadas.

Ataque del cumpleaños

Ataque de fuerza bruta que busca colisiones probando todas las combinaciones posibles de 2 textos. Se basa en la paradoja del cumpleaños, que se puede resumir diciendo que la probabilidad de que dos o más personas en un grupo de individuos hayan nacido el mismo día, es superior al 50% cuando el número de personas es igual o mayor que 23 sujetos.

Ataque de diccionario

Método empleado para romper la seguridad de los sistemas basados en contraseñas en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático. Generalmente se emplean programas especiales que se encargan de ello.

Ataque de repetición

Es un tipo de ataque en el cual el atacante captura la información que viaja por la red.

Ataque de reproduccion

Ataque consistente en capturar una transmisión de datos correcta y reproducirla posteriormente. Es un ataque típico para capturar secuencias de autenticación correctas y reproducirlas luego para que el atacante logre los mismos derechos de acceso.

Ataque dirigido

Son aquellos ataques realizados normalmente de manera silenciosa e imperceptible, cuyo objetivo es una persona, empresa o grupos de ambas. No son ataques masivos, porque su objetivo no es alcanzar al mayor número posible de ordenadores. Su peligro estriba precisamente en que son ataques personalizados, diseñados especialmente para engañar a las potenciales víctimas.

Ataque distribuido

Ataque realizado mediante múltiples agentes desde diferentes lugares.

Ataque encontrarse en el medio

Ataque contra sistemas de doble cifrado. Para buscar las dos claves, se cifra el texto en claro con una clave, mientras se descifra el texto cifrado con otra clave. Si los resultados coinciden es que hemos hallado ambas claves.

Ataque de fuerza bruta que busca colisiones probando todas las combinaciones posibles de 2 textos. Se basa en la paradoja del cumpleaños, que se puede resumir diciendo que la probabilidad de que dos o más personas en un grupo de individuos hayan nacido el mismo día, es superior al 50% cuando el número de personas es igual o mayor que 23 sujetos.

Ataque de fuerza bruta

Un ataque de fuerza bruta es un procedimiento para averiguar una contraseña que consiste en probar todas las combinaciones posibles hasta encontrar la combinación correcta.

Ataque pasivo

Se dice cuando el atacante accede a la información, pero la deja como estaba sin alterar su contenido.

Ataque por arranque en frio

Un ataque de arranque en frío es un proceso para acceder a las claves de cifrado almacenadas en los chips de memoria RAM del equipo.

Ataque por deslizamiento

Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. El ataque busca debilidades en la generación de sub-claves para cada ciclo.

Ataque por inferencia

Ataques que se basan en información deducida lógicamente a partir de piezas aparentemente inconexas.

Ataque por microfragmentos de TCP-IP

Ataque consistente en fragmentar los paquetes TCP en partes IP tan pequeñas como para dividir la cabecera y engañar a los filtros que analizan la información en la cabecera para tomar decisiones respecto de los paquetes TCP.

Ataque por monitorizacion

Familia de métodos de ataque que se refiere a técnicas pasivas de análisis del comportamiento de un dispositivo criptográfico mientras se ejecutan tareas normales.

Ataque por superposicion de fragmentos TCP

Ataque basado en la característica de las trasmisiones IP en las que se permite la fragmentación de los paquetes para una transmisión más eficiente. El ataque consiste en alterar la posición relativa del segundo fragmento de forma que al reconstruirse se deteriora interesadamente el destino.

Ataque smurf

Ataque de denegación de servicio que utiliza mensajes «ping» al broadcast con spoofing para inundar un objetivo.

Ataque Zero Day

Ataque sobre una vulnerabilidad recién descubierta en un sistema o protocolo. Esta vulnerabilidad aún no tiene un parche de seguridad.

Atribución de frecuencias

La designación de una banda de frecuencias para su uso por uno o más tipos de servicios de radiocomunicación, cuando proceda, en las condiciones que se especifiquen. (Ley 9/2014, de 9 de mayo).

Atributo

Una propiedad de una entidad, física o abstracta.

Atributo de seguridad

Una abstracción que representa las propiedades básicas o características de una entidad con respecto a la protección de la información; típicamente asociados con estructuras de datos internas (por ejemplo, registros, buffers, archivos, etc.). Estos atributos típicamente se utilizan como soporte del control de acceso, políticas de control de flujo, reglas especiales de difusión, etc. En general, para implementar políticas de seguridad de la información.

Auditoria

Inspección formal para verificar si un Estándar o un conjunto de Guías se está siguiendo, que sus Registros son precisos, o que las metas de Eficiencia y Efectividad se están cumpliendo. Una Auditoría la puede realizar tanto un grupo interno como uno externo.

Auditoría de seguridad

Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales en tecnologías de la información (TI) con el objetivo de identificar, enumerar y describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones.

      • Revisión y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos. (Real Decreto 3/2010, de 8 de enero).

Autenticación

Acreditación por medios electrónicos de la identidad de una persona o ente, del contenido de la voluntad expresada en sus operaciones, transacciones y documentos, y de la integridad y autoría de estos últimos. (Ley 11/2007, de 22 de junio).

      • Procedimiento de comprobación de la identidad de un usuario. (Real Decreto 1720/2007, de 21 de diciembre).

Autenticación de origen de datos

Comprobación de que la fuente de los datos recibidos es la alegada.

Autenticidad

Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. (Real Decreto 3/2010, de 8 de enero).

Autoridad

Entidad responsable de la expedición de certificados. En esta Especificación se definen dos tipos; la autoridad de certificación que expide certificados de clave pública y la autoridad de atributo que expide certificados de atributo.

Autoridad de atributo

Una AA es una entidad autorizada para emitir certificados de atributos.

Autoridad de certificación

Entidad de confianza cuyo objeto es garantizar la identidad de los titulares de certificados digitales y su correcta asociación.

Autoridad de certificación raíz

En una estructura jerárquica de infraestructura de clave pública, es la autoridad de certificación origen de las rutas de confianza. Es decir, el origen de la confianza.

Autoridad de control

La autoridad pública independiente establecida por un Estado miembro (Reglamento (UE) 2016/679, de 27 de abril de 2016).

      • La autoridad de control a la que afecta el tratamiento de datos personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o c) se ha presentado una reclamación ante esa autoridad de control. (Reglamento (UE) 2016/679, de 27 de abril de 2016)

Autoridad de dominio de seguridad

Autoridad de seguridad que es responsable de la aplicación de una política de seguridad para un dominio de seguridad.

Autoridad de evaluación

Organismo que implementa los CC para una comunidad específica mediante un esquema de evaluación por el que se establecen las normas y se supervisa la calidad de las evaluaciones realizadas por organismos de dicha comunidad.

Autoridad Nacional de Reglamentación

El Gobierno, los departamentos ministeriales, órganos superiores y directivos y organismos públicos, que de conformidad con esta Ley ejercen las competencias que en la misma se prevén. (Ley 9/2014, de 9 de mayo).

Autoridad de registro

Entidad encargada de identificar de manera inequívoca a los usuarios.

Autoridad de seguridad

Entidad que es responsable de la definición, aplicación o cumplimiento de la política de seguridad.

Autoridad de sellado de tiempo

Tercera parte confiable para prestar servicios de fechado electrónico.

Autoridad de validación

Entidad que informa de la vigencia y validez de los certificados electrónicos

Autorizacion para operar

Decisión formal de la autoridad por la que se autoriza la entrada en producción de un sistema de información, aceptando el riesgo residual al que esté expuesta.

Autoservicio de recuperacion de contraseña

Proceso que permite a los usuarios recuperar el acceso a un sistema tras haber perdido su contraseña, sin recurrir al centro de ayuda de usuarios. Es habitual que el usuario proporcione una dirección de correo electrónico a la que le será enviada una contraseña temporal de desbloqueo. Mediante esta contraseña temporal, y durante un periodo de tiempo reducido, el usuario puede acceder y establecer una nueva contraseña. El acceso al correo electrónico se usa de prueba de autenticidad del usuario. Otros mecanismos más robustos pueden incluir mecanismos más robustos de autenticación alternativa.

Aviso Legal

Un aviso legal es un documento, en una página web, donde se recogen las cuestiones legales que son exigidas por la normativa de aplicación.

Awareness

La traducción que más se le ajusta es el de Consciencia, consciencia de las amenazas de ciberseguridad que nos acechan y de los riesgos que implican.

2

B2B

Término referido a las transacciones comerciales entre empresas. Abreviatura de «Business to Business».

B2C

Este término se refiere a la estrategia que desarrollan las empresas comerciales para llegar directamente al cliente o consumidor final. Abreviatura de «Business to Consumer».

Backdoor (Puerta trasera)

Tipo de código que permite acceder a un sistema y controlarlo de forma remota. Puede ser legítimo, pero también puede ser un medio de ataque, espionaje o robo de datos cuando se instala sin el conocimiento del usuario.

Backup

Copia de seguridad que se realiza sobre ficheros o aplicaciones contenidas en un ordenador.

Baiting

Un ataque de ingeniería social en el cual los medios físicos (como CD-ROMs o unidades flash USB) que contienen malware se dejan deliberadamente cerca de las instalaciones de una organización objetivo, donde pueden ser encontrados y posteriormente instalados por víctimas curiosas.

Barrido IP

Acción por la cual se chequean los puertos de comunicaciones y/o las direcciones IP de un ordenador, para localizarlos y obtener información sobre su estado.

Base de datos de gestion de la configuracion (CMDB)

Base de Datos usada para almacenar Registros de Configuración durante todo su Ciclo de Vida.

Base fiable de calculo

En la terminología del TCSEC (libro naranja) estadounidense, mecanismos de protección, sean físicos, lógicos o ambos, que son responsables de la seguridad del sistema.

Bastion

Equipos de frontera que, situados fuera de la red interna, ofrecen servicios al exterior. Equipos hacen virtud de la necesidad de estar bien asegurados pues están muy expuestos a ataques externos.

bastionado

Implementar todas las medidas de seguridad posibles para proteger un sistema.

Basuring en memoria

Acceso a información residual en la memoria de los dispositivos o sistemas con el animo de acceder a secretos.

BIA

Se trata de un informe que nos muestra el coste ocasionado por la interrupción de los procesos críticos de negocio. Abreviatura de «Business Impact Analysis».

Big Data

Una colección de conjuntos de datos tan grandes y complejos que son difíciles de trabajar con la gestión de bases de datos tradicionales y herramientas de análisis.

Big Data Security

Una solución basada en computadora que captura y almacena algunas o todas las fuentes de datos grandes de una organización para descubrir y mitigar las amenazas cibernéticas.

Big Endian

Ordenación de los bytes en memoria: byte más significativo primero.

Biometría

La biometría es un método de reconocimiento de personas basado en sus características fisiológicas (huellas dactilares, retinas, iris, cara, etc.) o de comportamiento (firma, forma de andar, tecleo, etc.).

BIOS

Basic Input/Output System, es un código que se encuentra en un chip ROM en la placa de los ordenadores. Son las primeras instrucciones que se ejecutan al encender un equipo. Su cometido es comprobar el estado del dispositivo antes de cargar el sistema operativo. Si todo está bien: memorias RAM correctamente conectadas, detecta disco duro, periféricos, etc., da paso al sistema operativo, si hay alguna falla, emite una señal de aviso.

BlackHat SEO

Conocido también como envenenamiento de los motores de búsqueda (SEO Poisoning), se trata de un conjunto de técnicas utilizadas para posicionar intencionalmente a un sitio webmalicioso entre los principales resultados arrojados por un buscador, con el objetivo de enlazar al usuario a contenido dañino. La ocurrencia de sucesos de alto interés público, tales como catástrofes naturales o eventos deportivos, suele generar una rápida contaminación en los resultados de las búsquedas.

Blowfish

Codificador de bloques simétricos, diseñado por Bruce Schneier en 1993 e incluido en un gran número de conjuntos de codificadores y productos de cifrado.

Bluetooth

Tecnología inalámbrica de radio de corto alcance.

Bomba Lógica

Trozo de código o texto escrito en el lenguaje de programación y que ha sido insertado intencionalmente en un programa informático, permaneciendo oculto hasta cumplirse una o más condiciones preprogramadas, momento en el que se ejecuta una acción maliciosa.

Bootkit

Su finalidad es infectar un sistema, pero aprovechando la oportunidad del arranque para lograrlo. Este tipo de software es considerado una de las variantes de malware más peligrosas y de difícil detección y eliminación.

Borrado

Eliminación de la información de un sistema de información, sus equipos de almacenamiento y demás periféricos. El borrado debe ser sistemático y garantizar que la información no es recuperable por medio alguno. Por si fuera posible recuperar información de equipos teóricamente borrados, los soportes de información no deberían ser reutilizados sino con información del mismo nivel o superior.

Malware que se aloja en el inicio original del sistema operativo y afecta al registro de arranque o de volumen. Su objetivo es la obtención de acceso total a las funciones de la computadora antes de que finalice la carga del mismo.

Bot

Programa informático que efectúa tareas repetitivas automatizadas. Este término también se utiliza describir a la computadora zombi.

Botmaster

Persona que administra una red de robots informáticos, es la responsable de mantener a los zombis online, enviando órdenes y corrigiendo posibles errores.

Botnet

Una botnet es una red de ordenadores (zombies o bots) controlados remotamente por un atacante que las utiliza en conjunto para realizar diversas actividades como envío de spam, ataques de denegación de servicio, etc. Las hay con un servidor central al que se conectan los equipos infectados (bots) para enviar información y recibir comandos. Existen también las llamadas botnets P2P que se caracterizan por carecer de un servidor único.

Browser hijacking

Ataque que secuestra el navegador web de la víctima, pudiendo inyectar publicidad no deseada, robar información o dirigirlo a sitios maliciosos.

Bucle local o bucle de abonado de la red pública de comunicaciones electrónicas fija

El circuito físico que conecta el punto de terminación de la red a un dispositivo de distribución o instalación equivalente de la red pública de comunicaciones electrónicas fija. (Ley 9/2014, de 9 de mayo).

Bufer

Espacio de memoria en el que se almacenan datos temporalmente.

Bug

Error generalmente de diseño de un programa o producto que es descubierto después de ser lanzado al mercado.

Bulo

Son noticias falsas creadas para su reenvío masivo. También llamados hoax.

3

Cabecera

En informática, cabecera (header en inglés) se refiere a la información suplementaria situada al principio de un bloque de información que va a ser almacenada o transmitida y que contiene información necesaria para el correcto tratamiento del bloque de información.

Cadena de certificados de seguridad

Secuencia ordenada de certificados de seguridad, en la cual el primer certificado de seguridad contiene información pertinente a la seguridad y cada certificado de seguridad subsiguiente contiene información de seguridad que se puede utilizar para verificar certificados de seguridad previos.

Cadena de custodia

Concepto legal que cubre la validez e integridad de las evidencias recogidas para sustentar un proceso judicial. Cubre todos los pasos desde la recogida hasta su utilización final.

Cadena de delegacion

Secuencia ordenada de certificados que permite verificar la correcta delegación de un privilegio de una entidad a otra.

Cadena de interoperabilidad

Expresión de la interoperabilidad en el despliegue de los sistemas y los servicios como una sucesión de elementos enlazados e interconectados, de forma dinámica, a través de interfaces y con proyección a las dimensiones técnica, semántica y organizativa. (Real Decreto 4/2010, de 8 de enero).

Camara de seguridad electronica

Procedimiento de copia de seguridad consistente en que se copian los datos modificados en un servidor y se transmiten a un lugar fuera de las instalaciones mediante un proceso por lotes.

Camelia

Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits.

Canales

Estructuras o medios de difusión de los contenidos y servicios; incluyendo el canal presencial, el telefónico y el electrónico, así como otros que existan en la actualidad o puedan existir en el futuro (dispositivos móviles, TDT, etc). (Ley 11/2007, de 22 de junio).

Canal confiable

Medio por el que se pueden comunicar, con la confianza necesaria, la TSF y un producto de TI confiable remoto.

Canal oculto

Mecanismo no proyectado para comunicaciones, que es usado para transferir información violando la seguridad (ITSEC).

Cancelación

Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. (Real Decreto 1720/2007, de 21 de diciembre).

Canister

Contenedor físico empleado para transportar y proteger claves criptográficas en cinta perforada o en papel.

Capacidad

Testigo usado como identificador de un recurso, tal que la posesión del mismo por una entidad le confiere derechos de acceso sobre dicho recurso.

Capacidad de supervivencia

Capacidad de un sistema para continuar prestando un servicio activamente bajo condiciones adversas. Se consideran tanto desastres naturales, como accidentes y ataques deliberados.

Capec

Iniciativa gubernamental (USA) participativa para establecer una taxonomía y un diccionario de ataques en busca de un mejor entendimiento y una mejor defensa colectiva.

Capi (Cryptographic application programming interface)

Interfaz normalizada para que los programas usen servicios criptográficos facilitados por diferentes proveedores bajo una interfaz homogénea.

Captcha

Es una prueba de comprobación para establecer si el usuario es un ser humano o una máquina. Suele consistir en responder a una pregunta o realizar una acción concreta. Captcha es el acrónimo de “Completely Automated Public Turing test to tell Computers and Humans Apart”.

Cartas nigerianas

Se trata de una comunicación inesperada mediante correo electrónico carta o mensajería instantánea en las que el remitente promete negocios muy rentables.

Cargador de claves

Unidad electrónica auto contenida capaz de almacenar, al menos, una clave criptográfica y transmitir esta, bajo petición, al equipo criptográfico.

Carga remota de claves

Transmisión de un equipo criptográfico a otro de una clave criptográfica cifrada, que una vez descifrada operará en este último. La transmisión cifrada evita el compromiso de la clave criptográfica.

Categoría de un sistema

Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.