El mundo de la ciberseguridad está lleno de jerga técnica. Incluso nosotros a veces necesitamos repasar el significado exacto de una palabra o expresión específica. Por eso se ha creado este glosario, que incluye algunas de las palabras y expresiones más comunes (y no tan comunes) que habitualmente usamos en nuestras publicaciones, y explicaciones de cómo y por qué las utilizamos.
Amenaza persistente avanzada (APT, Advanced persistent threat )
Una amenaza persistente avanzada (APT) suele clasificarse como un hacker o grupo de hackers que obtiene y mantiene acceso no autorizado a un sistema objetivo. El objetivo principal de un intruso APT es pasar desapercibido durante largos períodos de tiempo, a menudo para realizar espionaje y vigilancia, robar datos o sabotear sistemas críticos.
Los APT suelen ser hackers con muchos recursos, incluidos los fondos para pagar sus campañas maliciosas y el acceso a herramientas de hacking que suelen estar reservadas a los gobiernos. Como tal, muchos de los grupos APT están asociados con estados nacionales, como China, Irán, Corea del Norte y Rusia. En los últimos años, se han visto ejemplos de grupos cibercriminales no pertenecientes a estados nacionales que tienen motivaciones económicas (como el robo y el lavado de dinero) y que llevan a cabo ciberataques similares en términos de persistencia y capacidades a algunos grupos APT tradicionales respaldados por gobiernos.
Ejecución de código arbitrario
La capacidad de ejecutar comandos o códigos maliciosos en un sistema afectado, a menudo debido a una vulnerabilidad de seguridad en el software del sistema. La ejecución de código arbitrario se puede lograr de forma remota o con acceso físico a un sistema afectado (como el dispositivo de alguien). En los casos en que la ejecución de código arbitrario se puede lograr a través de Internet, los investigadores de seguridad generalmente lo denominan ejecución de código remoto.
A menudo, la ejecución de código se utiliza como una forma de instalar una puerta trasera para mantener un acceso persistente y a largo plazo a ese sistema, o para ejecutar malware que se puede utilizar para acceder a partes más profundas del sistema u otros dispositivos en la misma red.
Botnet
Las botnets son redes de dispositivos conectados a Internet pirateados, como cámaras web y enrutadores domésticos, que han sido atacados por malware (o, a veces, contraseñas débiles o predeterminadas) con el fin de utilizarlos en ciberataques. Las botnets pueden estar formadas por cientos o miles de dispositivos y, por lo general, están controladas por un servidor de comando y control que envía comandos a los dispositivos interceptados. Las botnets se pueden utilizar por diversos motivos maliciosos, como usar la red distribuida de dispositivos para enmascarar y proteger el tráfico de Internet de los cibercriminales, distribuir malware o aprovechar su ancho de banda colectivo para bloquear de forma maliciosa sitios web y servicios en línea con enormes cantidades de tráfico basura de Internet.
Bug
Un bug es esencialmente la causa de un fallo de software, como un error o un problema que hace que el software se bloquee o se comporte de forma inesperada. En algunos casos, un bug también puede ser una vulnerabilidad de seguridad.
El término «bug» se originó en 1947, en una época en la que las primeras computadoras tenían el tamaño de una habitación y estaban compuestas por equipos mecánicos y móviles pesados. El primer incidente conocido de un error encontrado en una computadora fue cuando una polilla interrumpió la electrónica de una de estas computadoras del tamaño de una habitación.
Servidor de comando y control (Servidores C2)
Los ciberdelincuentes utilizan servidores de comando y control (también conocidos como Servidores C2) para administrar y controlar de forma remota el conjunto de dispositivos comprometidos y lanzar ciberataques, como la distribución de malware a través de Internet y el lanzamiento de ataques distribuidos de denegación de servicio.
Cryptojacking
El cryptojacking es cuando se utiliza la potencia computacional de un dispositivo, con o sin el permiso del propietario, para generar criptomonedas. Los desarrolladores a veces agrupan código en aplicaciones y sitios web, para luego utilizar los procesadores del dispositivo para completar cálculos matemáticos complejos necesarios para crear una nueva criptomoneda. La criptomoneda generada luego se deposita en billeteras virtuales propiedad del desarrollador.
Algunos piratas informáticos malintencionados utilizan malware para comprometer deliberadamente una gran cantidad de computadoras involuntarias para generar criptomonedas a gran escala y distribuida.
Violación de datos (Data breach)
Cuando hablamos de violaciones de datos, en última instancia nos referimos a la eliminación indebida de datos de donde deberían haber estado. Pero las circunstancias importan y pueden alterar la terminología que usamos para describir un incidente en particular.
Una violación de datos es cuando se confirma que los datos protegidos han salido indebidamente de un sistema desde donde estaban almacenados originalmente y, por lo general, se confirma cuando alguien descubre los datos comprometidos. La mayoría de las veces, nos referimos a la exfiltración de datos por parte de un ciberatacante malintencionado o que se detecta de otro modo como resultado de una exposición inadvertida. Dependiendo de lo que se sepa sobre el incidente, podremos describirlo en términos más específicos cuando se conozcan los detalles.
Exposición de datos
Una exposición de datos (un tipo de filtración de datos) se produce cuando los datos protegidos se almacenan en un sistema que no tiene controles de acceso, por ejemplo, debido a un error humano o una configuración incorrecta. Esto puede incluir casos en los que un sistema o una base de datos está conectado a Internet, pero sin una contraseña. El hecho de que los datos hayan quedado expuestos no significa que se hayan descubierto de forma activa, pero aun así podría considerarse una filtración de datos.
Fuga de datos
Una fuga de datos (un tipo de violación de datos) se produce cuando los datos protegidos se almacenan en un sistema de forma que se permite que se filtren, por ejemplo, debido a una vulnerabilidad previamente desconocida en el sistema o mediante el acceso interno (como un empleado). Una fuga de datos puede significar que los datos podrían haber sido exfiltrados o recopilados de otra manera, pero es posible que no siempre existan los medios técnicos, como los registros, para saberlo con certeza.
Denegación de servicio distribuida (distributed denial-of-service, o DDoS)
Un ataque de denegación de servicio distribuido, o DDoS, es un tipo de ciberataque que consiste en inundar los objetivos en Internet con tráfico web basura para sobrecargar y bloquear los servidores y provocar la caída de un servicio, como un sitio web, una tienda en línea o una plataforma de juegos.
Los ataques DDoS son lanzados por botnets, que están formadas por redes de dispositivos conectados a Internet pirateados (como enrutadores domésticos y cámaras web) que pueden ser controlados de forma remota por un operador malicioso, generalmente desde un servidor de comando y control. Las botnets pueden estar formadas por cientos o miles de dispositivos secuestrados.
Si bien un DDoS es una forma de ciberataque, estos ataques de inundación de datos no son «piraterías» en sí mismos, ya que no implican la violación y exfiltración de datos de sus objetivos, sino que provocan un evento de «denegación de servicio» al servicio afectado.
Encriptación
El cifrado es la forma y el medio por el cual se codifica información, como archivos, documentos y mensajes privados, para que no puedan ser leídos por nadie más que su propietario o destinatario. Los datos cifrados se codifican normalmente mediante un algoritmo de cifrado (esencialmente, un conjunto de fórmulas matemáticas que determina cómo deben cifrarse los datos) junto con una clave privada, como una contraseña, que se puede utilizar para descifrar (o “descifrar”) los datos protegidos.
Casi todos los algoritmos de cifrado modernos que se utilizan hoy en día son de código abierto, lo que permite que cualquier persona (incluidos los profesionales de la seguridad y los criptógrafos) revise y compruebe el algoritmo para asegurarse de que no tenga fallos. Algunos algoritmos de cifrado son más fuertes que otros, lo que significa que los datos protegidos por algunos algoritmos más débiles se pueden descifrar aprovechando grandes cantidades de potencia computacional.
El cifrado es diferente de la codificación, que simplemente convierte los datos a un formato diferente y estandarizado, generalmente con el fin de permitir que las computadoras lean los datos.
Encriptación extremo a extremo (End-to-end encryption, E2EE)
El cifrado de extremo a extremo (o E2EE) es una función de seguridad integrada en muchas aplicaciones de mensajería y de intercambio de archivos, y se considera ampliamente una de las formas más sólidas para proteger las comunicaciones digitales a medida que se transmite por Internet.
El E2EE codifica el archivo o mensaje en el dispositivo del remitente antes de enviarlo de una manera que solo permite que el destinatario previsto descifre su contenido, lo que hace que sea casi imposible para cualquier persona, incluido un pirata informático malintencionado o incluso el creador de la aplicación, espiar las comunicaciones privadas de alguien. En los últimos años, el E2EE se ha convertido en el estándar de seguridad predeterminado para muchas aplicaciones de mensajería, incluidas iMessage de Apple, Facebook Messenger, Signal y WhatsApp.
El E2EE también se ha convertido en objeto de frustración gubernamental en los últimos años, ya que el cifrado hace imposible que las empresas de tecnología o los proveedores de aplicaciones entreguen información a la que ellos mismos no tienen acceso.
Escalada de privilegios
La mayoría de los sistemas modernos están protegidos con múltiples capas de seguridad, incluida la capacidad de configurar cuentas de usuario con acceso más restringido a las configuraciones y ajustes del sistema subyacente. Esto evita que estos usuarios (o cualquier persona con acceso indebido a una de estas cuentas de usuario) alteren el sistema subyacente principal. Sin embargo, un evento de «escalada de privilegios» puede implicar la explotación de un error o engañar al sistema para que le otorgue al usuario más derechos de acceso de los que debería tener.
El malware también puede aprovechar errores o fallas causadas por la escalada de privilegios al obtener un acceso más profundo a un dispositivo o una red conectada, lo que potencialmente permite que el malware se propague.
Exploit
Un exploit es la forma y el medio mediante el cual se abusa o se aprovecha una vulnerabilidad, generalmente con el fin de entrar en un sistema.
Extorsión
En términos generales, la extorsión es el acto de obtener algo, generalmente dinero, mediante el uso de la fuerza y la intimidación. La extorsión cibernética no es diferente, ya que generalmente se refiere a una categoría de delito cibernético mediante la cual los atacantes exigen un pago a las víctimas amenazando con dañar, interrumpir o exponer su información confidencial.
La extorsión se utiliza a menudo en ataques de ransomware, donde los piratas informáticos suelen filtrar datos de la empresa antes de exigir el pago de un rescate a la víctima pirateada. Pero la extorsión se ha convertido rápidamente en su propia categoría de delito cibernético, y muchos piratas informáticos, a menudo jóvenes y con motivaciones económicas, optan por llevar a cabo ataques exclusivamente de extorsión, que desdeñan el uso del cifrado en favor del simple robo de datos.
Hacker
No existe una definición única de “hacker”. El término tiene su propia historia, cultura y significado dentro de la comunidad de seguridad. Algunos confunden incorrectamente a los hackers, o al hackeo, con las malas prácticas.
Según nuestra definición y uso, nos referimos en términos generales a un “hacker” como alguien que “rompe cosas”, generalmente alterando el funcionamiento de algo para que funcione de manera diferente con el fin de cumplir sus objetivos. En la práctica, eso puede ser algo tan simple como reparar una máquina con partes no oficiales para que funcione de manera diferente a la prevista, o incluso mejor.
En el sentido de ciberseguridad, un hacker es típicamente alguien que rompe un sistema o rompe la seguridad del mismo. Eso podría ser cualquier cosa, desde un sistema informático conectado a Internet hasta una simple cerradura de puerta. Pero las intenciones y motivaciones de la persona (si se conocen) importan en y guían cómo describir con precisión a la persona o su actividad.
Existen diferencias éticas y legales entre un hacker que trabaja como investigador de seguridad, que tiene la tarea profesional de entrar en los sistemas de una empresa con su permiso para identificar debilidades de seguridad que se pueden solucionar antes de que un individuo malintencionado tenga la oportunidad de explotarlas, y un hacker malintencionado que obtiene acceso no autorizado a un sistema y roba datos sin obtener el permiso de nadie.
Como el término “hacker” es inherentemente neutral, generalmente aplicamos descripciones en nuestros artículos para proporcionar contexto sobre quién estamos hablando. Si sabemos que una persona trabaja para un gobierno y tiene un contrato para robar datos malintencionadamente de un gobierno rival, es probable que la describamos como un hacker de un estado-nación o de un gobierno (o, si corresponde, una amenaza persistente avanzada), por ejemplo. Si se sabe que una banda usa malware para robar fondos de las cuentas bancarias de las personas, podemos describirlos como hackers con motivaciones financieras, o si hay evidencia de criminalidad o ilegalidad (como una acusación), podemos describirlos simplemente como ciberdelincuentes.
Y, si no conocemos las motivaciones o intenciones, o una persona se describe a sí misma como tal, podemos simplemente referirnos a un sujeto de manera neutral como un “hacker”, cuando sea apropiado.
Infosec
Abreviatura de “seguridad de la información” (information security), término alternativo utilizado para describir la ciberseguridad defensiva centrada en la protección de datos e información. “Infosec” puede ser el término preferido por los veteranos de la industria, mientras que el término “ciberseguridad” ha ganado amplia aceptación. En los tiempos modernos, ambos términos se han vuelto prácticamente intercambiables.
Ladrones de datos (infostealers)
Los ladrones de datos son malware capaces de robar información del ordenador o dispositivo de una persona. Suelen estar incluidos en software pirateado, como Redline, que, cuando se instala, busca principalmente contraseñas y otras credenciales almacenadas en el navegador o el administrador de contraseñas de la persona y, luego, carga subrepticiamente las contraseñas de la víctima en los sistemas del atacante. Esto le permite al atacante iniciar sesión con esas contraseñas robadas. Algunos ladrones de datos también son capaces de robar tokens de sesión del navegador de un usuario, lo que le permite al atacante iniciar sesión en la cuenta online de una persona como si fuera ese usuario, pero sin necesidad de su contraseña o código de autenticación multifactor.
Jailbreaking
El término jailbreaking se utiliza en varios contextos para referirse al uso de exploits y otras técnicas de piratería informática para burlar la seguridad de un dispositivo o eliminar las restricciones que un fabricante impone al hardware o al software. En el contexto de los iPhone, por ejemplo, un jailbreak es una técnica para eliminar las restricciones de Apple a la hora de instalar aplicaciones fuera de su “zona amurallada” o para obtener la capacidad de realizar investigaciones de seguridad en los dispositivos de Apple, que normalmente están muy restringidas. En el contexto de la IA, jailbreaking significa encontrar una forma de lograr que un chatbot proporcione información que no debería.
Kernel (núcleo)
El kernel, como su nombre indica, es la parte central de un sistema operativo que conecta y controla prácticamente todo el hardware y el software. Como tal, el kernel tiene el nivel más alto de privilegios, lo que significa que tiene acceso a prácticamente cualquier dato del dispositivo. Por eso, por ejemplo, las aplicaciones como los antivirus y el software antitrampas se ejecutan a nivel de kernel, ya que requieren un amplio acceso al dispositivo. Tener acceso al kernel permite a estas aplicaciones monitorear el código malicioso.
Malware
El término malware es un término genérico que describe el software malicioso. El malware puede presentarse en muchas formas y utilizarse para explotar sistemas de diferentes maneras. Por lo tanto, el malware que se utiliza para fines específicos a menudo se puede denominar como una subcategoría propia. Por ejemplo, el tipo de malware que se utiliza para realizar vigilancia en los dispositivos de las personas también se denomina «spyware», mientras que el malware que cifra archivos y exige dinero a sus víctimas se denomina «ransomware».
Metadata
Los metadatos son información sobre algo digital, más allá de su contenido. Esto puede incluir detalles sobre el tamaño de un archivo o documento, quién lo creó y cuándo, o en el caso de las fotos digitales, dónde se tomó la imagen e información sobre el dispositivo que tomó la foto. Los metadatos pueden no identificar el contenido de un archivo, pero pueden ser útiles para determinar de dónde proviene un documento o quién lo creó. Los metadatos también pueden hacer referencia a información sobre un intercambio, como quién realizó una llamada o envió un mensaje de texto, pero no al contenido de la llamada o el mensaje.
Ransomware
El ransomware es un tipo de software malicioso (o malware) que impide que los propietarios de dispositivos accedan a sus datos, generalmente cifrando los archivos de la persona. El ransomware suele ser implementado por bandas de cibercriminales que exigen el pago de un rescate (normalmente en criptomonedas) a cambio de proporcionar la clave privada para descifrar los datos de la persona.
En algunos casos, las bandas de ransomware roban los datos de la víctima antes de cifrarlos, lo que permite a los delincuentes extorsionar a la víctima aún más amenazándola con publicar los archivos online. Pagar a una banda de ransomware no es garantía de que la víctima recupere los datos robados o de que la banda los elimine.
Uno de los primeros ataques de ransomware se documentó en 1989, en el que se distribuyó malware a través de disquetes (una forma temprana de almacenamiento extraíble) a los asistentes a la conferencia sobre el SIDA de la Organización Mundial de la Salud. Desde entonces, el ransomware se ha convertido en una industria criminal multimillonaria a medida que los atacantes perfeccionan sus tácticas y se centran en víctimas corporativas de renombre.
Ejecución remota de código (remote code execution)
La ejecución remota de código se refiere a la capacidad de ejecutar comandos o códigos maliciosos (como malware) en un sistema desde una red, a menudo Internet, sin requerir interacción humana alguna por parte del objetivo. Los ataques de ejecución remota de código pueden variar en complejidad, pero pueden ser muy dañinos cuando se explotan las vulnerabilidades.
Sanciones
Las sanciones relacionadas con la ciberseguridad funcionan de manera similar a las sanciones tradicionales, ya que hacen que sea ilegal que las empresas o los individuos realicen transacciones con una entidad sancionada. En el caso de las sanciones cibernéticas, se sospecha que estas entidades llevan a cabo actividades maliciosas habilitadas por el ciberespacio, como ataques de ransomware o el lavado de dinero de los pagos de rescates realizados a piratas informáticos.
La Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de los Estados Unidos administra las sanciones en EE.UU. El Programa de Sanciones Cibernéticas del Tesoro se estableció en 2015 como parte de la respuesta de la administración Obama a los ciberataques dirigidos contra agencias gubernamentales y entidades del sector privado de los Estados Unidos.
Si bien son una adición relativamente nueva al arsenal burocrático del gobierno de los Estados Unidos contra los grupos de ransomware, las sanciones se utilizan cada vez más para obstaculizar y disuadir a los actores estatales maliciosos de realizar ciberataques. Las sanciones se utilizan a menudo contra piratas informáticos que están fuera del alcance de las acusaciones o las órdenes de arresto de Estados Unidos, como los grupos de ransomware con sede en Rusia.
Spyware (comercial, gubernamental)
Un término amplio, como malware, que cubre una variedad de software de monitoreo de vigilancia. El spyware se usa generalmente para referirse al malware creado por compañías privadas, como Pegasus de NSO Group, Predator de Intellexa y Remote Control System de Hacking Team, entre otros, que las compañías venden a agencias gubernamentales. En términos más genéricos, estos tipos de malware son como herramientas de acceso remoto, que permiten a sus operadores, en general agentes gubernamentales, espiar y monitorear a sus objetivos, dándoles la capacidad de acceder a la cámara y el micrófono de un dispositivo o filtrar datos. El spyware también se conoce como spyware comercial o gubernamental, o spyware mercenario.
Stalkerware
Stalkerware es un tipo de malware de vigilancia (y una forma de spyware) que generalmente se vende a consumidores comunes bajo la apariencia de software de monitoreo de niños o empleados, pero a menudo se usa con el propósito de espiar los teléfonos de individuos involuntarios, a menudo cónyuges y parejas de hecho. El spyware otorga acceso a los mensajes, la ubicación y más información del objetivo. El stalkerware generalmente requiere acceso físico al dispositivo del objetivo, lo que le da al atacante la capacidad de instalarlo directamente en el dispositivo del objetivo, a menudo porque el atacante conoce la contraseña del objetivo.
Modelo de amenaza (threat model)
¿Qué intenta proteger? ¿Quién le preocupa que pueda atacarlo o a sus datos? ¿Cómo podrían estos atacantes acceder a los datos? Las respuestas a este tipo de preguntas son las que le llevarán a crear un modelo de amenaza. En otras palabras, el modelado de amenazas es un proceso por el que una organización o un individuo tiene que pasar para diseñar un software que sea seguro y diseñar técnicas para protegerlo. Un modelo de amenaza puede ser específico y centrado en función de la situación. Un activista de derechos humanos en un país autoritario tiene un conjunto diferente de adversarios y datos que proteger que una gran corporación en un país democrático que está preocupada por el ransomware, por ejemplo.
Acceso no autorizado
Cuando describimos el acceso “no autorizado”, nos referimos al acceso a un sistema informático violando cualquiera de sus funciones de seguridad, como un mensaje de inicio de sesión o una contraseña, lo que se consideraría ilegal según la Ley de Abuso y Fraude Informático de los Estados Unidos (CFAA, por sus siglas en inglés). En 2021, la Corte Suprema aclaró la CFAA y determinó que acceder a un sistema que carece de cualquier medio de autorización (por ejemplo, una base de datos sin contraseña) no es ilegal, ya que no se puede violar una función de seguridad que no existe.
Vale la pena señalar que «no autorizado» es un término ampliamente utilizado y que las empresas suelen utilizar de manera subjetiva, y como tal se ha utilizado para describir a piratas informáticos maliciosos que roban la contraseña de alguien para acceder a incidentes de acceso interno o abuso por parte de los empleados
Red Privada Virtual (Virtual private network,VPN)
Una red privada virtual, o VPN, es una tecnología de red que permite a alguien acceder «virtualmente» a una red privada, como el lugar de trabajo o el hogar, desde cualquier parte del mundo. Muchos utilizan un proveedor de VPN para navegar por la web, pensando que esto puede ayudar a evitar la vigilancia online.
Hay muchas guías online sobre como configurar un servidor VPN privado y encriptado que solo el usuario controle. Si no es la solución más adecuada, hay otras herramientas de privacidad y otras medidas que se pueden tomar, documentadas en la red, para mejorar significativamente la privacidad online.
En cualquier caso hay que tomar muchas precauciones a la hora de estudiar, instalar y usar este tipo de documentación o aplicaciones ya que en numerosas ocasiones son formas para abrir nuestros equipos a terceros.
Vulnerabilidad
Una vulnerabilidad (también llamada falla de seguridad) es un tipo de error que hace que el software se bloquee o se comporte de una manera inesperada que afecta la seguridad del sistema o los datos. A veces, dos o más vulnerabilidades se pueden utilizar en conjunto (lo que se conoce como “encadenamiento de vulnerabilidades”) para obtener un acceso más profundo a un sistema específico.
Día cero (Zero-day)
Un día cero es un tipo específico de vulnerabilidad de seguridad que se ha divulgado o explotado públicamente, pero el proveedor que fabrica el hardware o software afectado no ha tenido tiempo (o “día cero”) para solucionar el problema. Por lo tanto, es posible que no haya una solución o mitigación inmediata para evitar que un sistema afectado se vea comprometido. Esto puede ser particularmente problemático para los dispositivos conectados a Internet.
