Glosario de ciberseguridad para empresas

Servicio de directorio de Microsoft usado para gestionar usuarios, grupos, equipos y políticas.

Active Directory centraliza autenticación, autorización y administración de identidades en entornos Windows. Un compromiso del directorio puede abrir acceso a sistemas críticos, privilegios elevados y servicios corporativos.

Elemento con valor para la organización que debe protegerse.

Un activo puede ser información, un sistema, una aplicación, una base de datos, una identidad, un proceso, un proveedor o incluso la reputación de la empresa. En seguridad, identificar activos es el primer paso para priorizar controles y riesgos.

Ataque que se sitúa entre usuario y servicio para interceptar o robar credenciales y sesiones.

AiTM suele aprovechar proxies maliciosos o páginas intermedias para capturar credenciales, tokens o códigos MFA y reutilizarlos contra servicios legítimos.

Listado explícito de elementos autorizados, como aplicaciones, IPs, dominios o usuarios.

Un enfoque allowlist parte de negar por defecto y permitir solo lo necesario. Suele aportar más control que los modelos basados únicamente en bloqueo de elementos conocidos como maliciosos.

Proceso para identificar amenazas, vulnerabilidades, impacto y probabilidad.

El análisis de riesgos permite entender qué escenarios pueden afectar a la organización, qué impacto tendrían y qué medidas conviene priorizar. Es la base de marcos como ISO 27001, ENS, NIS2 o DORA.

Interfaz que permite que aplicaciones y sistemas se comuniquen entre sí.

Las APIs intercambian datos y funciones entre aplicaciones. Desde el punto de vista de ciberseguridad, deben protegerse con autenticación, autorización, validación, registro y controles contra abuso, fuga de información o exposición indebida.

Actor o campaña sofisticada que mantiene acceso prolongado y opera con objetivos estratégicos.

Una APT suele combinar sigilo, persistencia, movimiento lateral y robo de información durante largos periodos. No se trata solo de malware, sino de una operación sostenida con objetivos claros y alta capacidad de adaptación.

Intento repetido de adivinar credenciales o claves probando múltiples combinaciones.

Los ataques de fuerza bruta buscan acceder a cuentas, servicios o sistemas mediante pruebas automáticas de contraseñas o claves. Se mitigan con MFA, bloqueo inteligente, limitación de intentos y credenciales robustas.

Disciplina orientada a descubrir y controlar la superficie de exposición externa.

ASM identifica activos expuestos a Internet como dominios, subdominios, IPs, paneles, servicios cloud y aplicaciones. Ayuda a detectar exposición no controlada antes de que un atacante la aproveche.

Revisión técnica y organizativa del estado real de la seguridad.

Una auditoría de seguridad evalúa controles, configuraciones, exposición y procesos para identificar brechas y priorizar mejoras. Puede centrarse en infraestructura, cloud, Microsoft 365, red, cumplimiento o postura global.

Proceso para verificar que una identidad es quien dice ser.

La autenticación puede basarse en algo que el usuario sabe, tiene o es. Es distinta de la autorización: primero se comprueba la identidad y después se decide a qué puede acceder.

Mecanismo que exige más de un factor para verificar una identidad.

La MFA añade una o más pruebas adicionales además de la contraseña, como un código, una app autenticadora, una llave física o biometría. Es una de las medidas más eficaces para reducir compromiso de cuentas.

Proceso por el que un sistema decide a qué recursos puede acceder una identidad.

La autorización determina permisos, roles y alcance de acceso tras la autenticación. Una mala autorización puede generar accesos excesivos incluso cuando la identidad se ha validado correctamente.

Herramienta diseñada para detectar y bloquear malware conocido y ciertos comportamientos maliciosos.

El antivirus tradicional se basa mucho en firmas y patrones conocidos. Sigue siendo útil, pero normalmente debe complementarse con EDR, monitorización y otros controles modernos.

Copia de seguridad de datos, configuraciones o sistemas para permitir recuperación.

Un backup protege frente a borrado accidental, corrupción, fallo técnico o ransomware. Debe diseñarse con frecuencia adecuada, validación, protección frente a manipulación y pruebas periódicas de restauración.

Copia de seguridad protegida contra modificación o borrado durante un periodo definido.

La inmutabilidad evita que un backup sea alterado por error, malware o un atacante con privilegios. Es especialmente importante frente a ransomware y en estrategias de continuidad y recuperación.

Sistema endurecido usado como punto controlado de acceso administrativo a entornos sensibles.

Un bastion host centraliza accesos privilegiados y facilita trazabilidad, control de sesiones, segmentación y reducción de exposición directa sobre servidores críticos.

Plan de continuidad de negocio orientado a mantener operativos los procesos críticos.

El BCP define cómo continuar prestando servicios o sosteniendo operaciones esenciales durante una crisis. Abarca personas, procesos, comunicación, proveedores, sedes y dependencias de TI.

Análisis de impacto en negocio para identificar criticidades y tolerancia a la indisponibilidad.

El BIA cuantifica el impacto de una interrupción sobre procesos, servicios y recursos. A partir de él se definen prioridades, tiempos tolerables y objetivos de recuperación como RTO y RPO.

Equipo o función defensiva encargada de detectar, contener y mejorar la seguridad.

Blue Team agrupa capacidades de monitorización, detección, respuesta, hardening, hunting y mejora continua. Su objetivo es reducir exposición y elevar la capacidad de defensa de la organización.

Red de sistemas comprometidos controlados por un atacante.

Una botnet agrupa equipos, servidores o dispositivos infectados que pueden usarse para lanzar ataques distribuidos, fraude, envío de spam, minado ilícito o propagación de malware.

Incidente que compromete confidencialidad, integridad o disponibilidad de información o servicios.

Una brecha puede implicar acceso no autorizado, fuga de datos, manipulación de información o indisponibilidad de sistemas. Su impacto depende de los activos afectados, la rapidez de detección y la capacidad de respuesta.

Programa por el que investigadores externos reportan vulnerabilidades a cambio de reconocimiento o recompensa.

Un bug bounty bien diseñado puede ampliar cobertura de descubrimiento de fallos, pero necesita alcance claro, reglas, validación y capacidad interna de remediación.

Modelo en el que empleados usan dispositivos personales para acceder a recursos corporativos.

BYOD aporta flexibilidad, pero también complica control de seguridad, separación de datos, cumplimiento, borrado remoto y gestión de identidades y aplicaciones.

Canal usado por un atacante para comunicarse con sistemas comprometidos y dar instrucciones.

El C2 permite descargar cargas, mover lateralmente, exfiltrar datos o mantener persistencia. Detectarlo suele requerir visibilidad de red, endpoints y comportamiento anómalo.

Capa de control que aporta visibilidad y políticas de seguridad sobre servicios cloud.

CASB ayuda a descubrir uso de SaaS, aplicar políticas de acceso y protección de datos, reforzar cumplimiento y reducir riesgo en servicios cloud corporativos o no autorizados.

Documento electrónico que vincula una identidad con una clave pública.

Los certificados digitales sirven para autenticar sitios web, usuarios, servicios o dispositivos y para soportar cifrado, firma digital y confianza entre sistemas.

Conjunto de procesos y herramientas para integrar, probar y desplegar cambios de software de forma continua.

Desde el punto de vista de seguridad, CI/CD debe proteger pipelines, secretos, dependencias, runners, artefactos y controles de aprobación para evitar compromisos de la cadena de entrega.

Riesgo o actor con capacidad de causar daño sobre activos digitales.

Una ciberamenaza puede ser un actor malicioso, una campaña, una técnica, un malware o incluso un error humano que ponga en riesgo confidencialidad, integridad o disponibilidad.

Proceso de convertir información legible en un formato protegido.

El cifrado protege datos en tránsito y en reposo para que solo puedan ser leídos por quien disponga de las claves adecuadas. Es una medida básica frente a fuga de información y acceso no autorizado.

Cifrado basado en una pareja de clave pública y clave privada.

Se usa en certificados, firma digital, intercambio seguro de claves y autenticación. La clave pública puede compartirse; la privada debe permanecer protegida.

Cifrado en el que la misma clave sirve para cifrar y descifrar.

Es rápido y eficiente para proteger grandes volúmenes de datos, pero exige proteger adecuadamente la clave compartida.

Conjunto de controles y prácticas para proteger entornos cloud.

La seguridad cloud abarca identidades, permisos, configuración, cifrado, exposición pública, monitorización, registros, segmentación, resiliencia y control de servicios desplegados en nube pública o híbrida.

Enfoque unificado para proteger aplicaciones y cargas cloud nativas.

CNAPP reúne capacidades como CSPM, CWPP, gestión de identidades cloud y priorización de riesgos para mejorar visibilidad y protección sobre entornos cloud modernos.

Uso indebido o robo de credenciales válidas por parte de un atacante.

El compromiso de credenciales permite acceso legítimo en apariencia, lo que dificulta detección y acelera movimiento lateral, fraude o exfiltración de datos.

Propiedad que asegura que la información solo sea accesible por quien está autorizado.

La confidencialidad protege datos, comunicaciones y evidencias frente a acceso no autorizado. Es uno de los pilares clásicos de la seguridad junto con integridad y disponibilidad.

Unidad ligera de despliegue que empaqueta una aplicación y sus dependencias.

Los contenedores facilitan despliegue y portabilidad, pero requieren controles de imagen, configuración, secretos, permisos, aislamiento y monitorización para no introducir riesgos.

Medida alternativa que reduce un riesgo cuando no puede implantarse el control ideal.

Un control compensatorio no elimina la necesidad original, pero permite gestionar el riesgo de forma razonable mientras se justifican limitaciones técnicas, operativas o temporales.

Mecanismo para limitar quién puede acceder a qué recurso y bajo qué condiciones.

El control de acceso combina identidad, autenticación, autorización, contexto y reglas para reducir exposición y aplicar mínimo privilegio sobre sistemas, datos y servicios.

Equipo especializado en gestionar y coordinar respuesta ante incidentes de seguridad.

Un CSIRT puede ser interno o externo y suele encargarse de análisis, coordinación, contención, comunicación y lecciones aprendidas durante incidentes relevantes.

Capacidad para evaluar y corregir configuraciones inseguras en cloud.

CSPM ayuda a detectar permisos excesivos, almacenamiento expuesto, configuraciones débiles y desviaciones respecto a buenas prácticas de seguridad en entornos cloud.

Actividades orientadas a cumplir requisitos legales, regulatorios, contractuales y de estándares.

En ciberseguridad, el cumplimiento traduce obligaciones en controles, responsables, evidencias, revisiones y trazabilidad. No se limita a producir documentos: debe apoyarse en una realidad operativa y técnica.

Identificador público de una vulnerabilidad conocida.

CVE permite referenciar de manera unificada vulnerabilidades de software y sistemas, facilitando análisis, seguimiento, priorización y remediación.

Sistema de puntuación usado para estimar severidad técnica de vulnerabilidades.

CVSS ayuda a clasificar la severidad técnica de una vulnerabilidad, pero no sustituye al contexto del negocio, exposición real ni criticidad del activo para priorizar remediación.

Clasificación estandarizada de tipos de debilidades de software y diseño.

CWE no identifica vulnerabilidades concretas como CVE, sino categorías de errores comunes, como validación insuficiente, control de acceso defectuoso o exposición de información.

Conjunto de controles para proteger cargas de trabajo en cloud.

CWPP se centra en servidores, contenedores, máquinas virtuales y otras cargas cloud, aportando visibilidad, detección, hardening y protección en tiempo de ejecución.

Disciplina orientada a diseñar, probar y mejorar reglas y lógica de detección.

Detection engineering transforma amenazas, TTP e hipótesis en reglas útiles, correlaciones, alertas y validaciones, buscando reducir ruido y aumentar detección accionable.

Enfoque que integra la seguridad en desarrollo, operaciones y entrega continua.

DevSecOps busca introducir seguridad desde etapas tempranas: revisión de código, dependencias, secretos, pipelines, infraestructura como código y despliegues.

Propiedad que garantiza que información y servicios estén accesibles cuando se necesitan.

La disponibilidad se ve afectada por caídas técnicas, ataques, errores operativos, dependencia de terceros o falta de capacidad de recuperación. Es esencial en continuidad, OT y servicios críticos.

Controles y tecnologías para prevenir fuga o salida no autorizada de información.

DLP ayuda a detectar y bloquear transferencias de datos sensibles por correo, web, endpoints, almacenamiento o servicios cloud. Suele combinar clasificación, políticas, inspección y registro.

Sistema que traduce nombres de dominio en direcciones IP.

DNS es esencial para la operación de servicios en red. Un fallo, secuestro o manipulación en DNS puede provocar indisponibilidad, redirección maliciosa o pérdida de control sobre aplicaciones y webs.

Modelo de ransomware en el que se cifra la información y además se amenaza con publicarla.

La doble extorsión aumenta presión sobre la víctima porque combina indisponibilidad con riesgo reputacional, contractual y regulatorio por posible fuga de datos.

Reglamento europeo de resiliencia operativa digital para entidades financieras y parte de su ecosistema TIC.

DORA exige gobierno del riesgo TIC, gestión de incidentes, resiliencia operativa, pruebas y control de terceros tecnológicos. Afecta especialmente a entidades financieras y condiciona también la relación con proveedores TIC.

Plan de recuperación ante desastres centrado en restaurar sistemas, datos e infraestructura TI.

El DRP define cómo recuperar servicios tecnológicos tras incidentes como ransomware, caída de CPD, fallo cloud o corrupción de datos. Incluye prioridades, runbooks, backups, conmutación y objetivos RTO/RPO.

Visión específica de la superficie de ataque externa expuesta a Internet.

EASM se centra en descubrir y vigilar activos públicos, exposiciones olvidadas, servicios cloud, dominios y configuraciones accesibles desde fuera de la organización.

Tecnología orientada a detectar y responder a actividad sospechosa en endpoints.

EDR monitoriza procesos, memoria, comportamiento y eventos en equipos y servidores para detectar actividad maliciosa y facilitar investigación y contención.

Gestión corporativa de dispositivos, aplicaciones y políticas móviles.

EMM ayuda a administrar móviles y tablets corporativos o mixtos, aplicando políticas de seguridad, borrado remoto, control de apps y cumplimiento.

Dispositivo final conectado a la red, como un portátil, servidor o móvil.

Los endpoints son un punto crítico de exposición porque ejecutan usuarios, aplicaciones y sesiones. Su protección suele combinar hardening, EDR, cifrado, inventario y control de acceso.

Marco español de seguridad aplicable al sector público y a muchos de sus proveedores.

El ENS establece principios, requisitos y medidas para proteger sistemas y servicios vinculados al sector público español. Obliga a definir controles, riesgos, categorización y evidencias verificables.

Servicio de identidad y acceso de Microsoft para entornos cloud y Microsoft 365.

Entra ID centraliza autenticación, acceso condicional, federación, MFA y gobierno de identidades. Es una pieza crítica en seguridad de Microsoft 365 y cloud híbrida.

Técnica para obtener permisos superiores a los inicialmente disponibles.

El escalado de privilegios permite a un atacante pasar de usuario limitado a administrador o a otros niveles de acceso que amplían el impacto del compromiso.

Salida no autorizada de información sensible fuera del entorno controlado.

La exfiltración puede producirse por malware, abuso interno, configuraciones débiles, robo de credenciales o canales no controlados. Afecta a confidencialidad, cumplimiento y reputación.

Aprovechamiento efectivo de una vulnerabilidad o debilidad para lograr un objetivo.

No toda vulnerabilidad se explota. La explotación implica que un actor logra usar esa debilidad para acceder, ejecutar código, escalar privilegios o afectar al activo.

Nivel de visibilidad o accesibilidad de un activo ante amenazas.

La exposición describe hasta qué punto un sistema, identidad, servicio o dato está al alcance de un atacante. No toda vulnerabilidad tiene la misma exposición ni el mismo riesgo real.

Alerta o hallazgo que parece indicar un problema real, pero finalmente no lo es.

Los falsos positivos consumen tiempo operativo y pueden degradar la confianza en las alertas. Reducirlos es una prioridad clave en SOC, SIEM, MDR y gestión de vulnerabilidades.

Modelo en el que una identidad validada por un proveedor puede usarse en múltiples servicios.

La federación reduce credenciales dispersas y mejora gobierno de acceso, pero también concentra riesgo en el proveedor de identidad y en la correcta configuración de confianza.

Control de seguridad que filtra tráfico de red según reglas definidas.

Un firewall permite o bloquea comunicaciones entre redes, equipos, servicios o zonas. Puede estar en perímetro, nube, host o entornos internos y suele integrarse con segmentación y monitorización.

Mecanismo criptográfico que acredita autoría e integridad de un contenido.

La firma digital permite demostrar que un documento o mensaje no ha sido alterado y que procede de quien dice haberlo emitido, siempre que se haya protegido adecuadamente la clave privada.

Disciplina que preserva, analiza e interpreta evidencias digitales.

El análisis forense ayuda a reconstruir qué ocurrió, cuándo, cómo entró el atacante, qué sistemas fueron afectados y qué evidencias sostienen la investigación. Debe hacerse preservando integridad y trazabilidad.

Pérdida o exposición no autorizada de información sensible.

La fuga puede originarse por error humano, configuraciones incorrectas, servicios expuestos, terceros, malware o abuso interno. No siempre implica una intrusión sofisticada.

Proceso para controlar modificaciones en sistemas, servicios o configuraciones.

La gestión de cambios reduce riesgo operativo y de seguridad estableciendo evaluación, aprobación, trazabilidad, pruebas y reversión antes de alterar entornos productivos.

Disciplina para proteger contraseñas técnicas, tokens, certificados y claves de servicio.

La gestión de secretos evita que credenciales sensibles queden expuestas en código, scripts, pipelines o configuraciones, y facilita rotación, control y auditoría.

Proceso continuo de descubrimiento, priorización, remediación y validación de vulnerabilidades.

No consiste solo en escanear. La gestión de vulnerabilidades conecta hallazgos con criticidad de activo, contexto, exposición y capacidad de remediación para reducir riesgo real.

Conjunto de decisiones, responsabilidades y mecanismos de supervisión para dirigir la seguridad.

La gobernanza define quién decide, quién aprueba, qué se mide, cómo se reporta y cómo se integra la seguridad con negocio, IT, riesgo, continuidad y cumplimiento.

Práctica autorizada de evaluar sistemas y aplicaciones simulando técnicas de ataque controladas.

El hacking ético busca descubrir debilidades antes de que lo haga un atacante real. Puede abarcar aplicaciones, APIs, redes, identidad, cloud o escenarios más avanzados como Red Team.

Proceso de reforzar configuraciones para reducir superficie de ataque y exposición innecesaria.

Incluye eliminar servicios no usados, reforzar autenticación, ajustar permisos, limitar exposición, revisar configuraciones por defecto y aplicar buenas prácticas sobre sistemas, cloud, identidad o aplicaciones.

Valor resumido generado a partir de un contenido mediante una función criptográfica.

Los hashes se usan para verificar integridad, almacenar contraseñas de forma derivada y comparar artefactos. Un cambio mínimo en el contenido produce un valor hash distinto.

Recurso señuelo diseñado para atraer, detectar o estudiar actividad maliciosa.

Un honeypot puede simular servicios o sistemas vulnerables para obtener señales sobre atacantes, tácticas o exploración no autorizada. Su despliegue debe controlarse para no introducir riesgo adicional.

Procesos y tecnologías para gestionar identidades, autenticación y autorizaciones.

IAM busca garantizar que cada usuario o sistema tenga acceso solo a lo que necesita y con controles adecuados durante todo su ciclo de vida. Es clave en cloud, Microsoft 365, Zero Trust y cumplimiento.

Sistemas de control industrial usados en procesos de planta, energía, agua o fabricación.

Los ICS gestionan procesos físicos y operativos. Su seguridad tiene particularidades distintas a IT tradicional por disponibilidad, seguridad física, legado y dependencia de OT y SCADA.

Representación de un usuario, sistema o servicio dentro de un entorno tecnológico.

La identidad digital incluye atributos, credenciales, roles, permisos y relaciones con otros sistemas. Es una pieza central para acceso, trazabilidad y seguridad.

Sistema diseñado para detectar actividad sospechosa o patrones de ataque sin bloquear directamente.

Un IDS genera alertas sobre tráfico, comportamiento o eventos anómalos. Normalmente complementa a otras capacidades como IPS, SIEM o NDR.

Conjunto de procesos para gobernar altas, bajas, revisiones y segregación de accesos.

IGA ayuda a controlar el ciclo de vida de identidades, certificaciones de acceso, conflictos de segregación y trazabilidad sobre quién tiene permisos y por qué.

Señales de comportamiento que indican una posible secuencia de ataque.

A diferencia de los IoC, los IoA se centran en acciones o patrones sospechosos, como abuso de credenciales, movimientos laterales o persistencia, aunque no exista todavía un artefacto conocido.

Evidencias observables asociadas a actividad maliciosa, como hashes, IPs o dominios.

Los IoC ayudan a detectar campañas o incidentes conocidos, buscar rastros en sistemas y enriquecer monitorización. Son útiles, pero no sustituyen a la detección basada en comportamiento.

Técnicas de manipulación para conseguir información, acceso o acciones no autorizadas.

La ingeniería social aprovecha confianza, urgencia, autoridad o desconocimiento para obtener credenciales, pagos, acceso o datos sensibles. Incluye phishing, vishing, smishing o suplantación.

Propiedad que asegura que la información no ha sido alterada indebidamente.

La integridad es uno de los pilares de la seguridad. Garantiza que datos, registros, configuraciones o evidencias permanecen correctos, completos y sin modificaciones no autorizadas.

Registro estructurado de activos relevantes para la organización.

El inventario de activos permite saber qué debe protegerse, dónde está, quién es responsable y qué criticidad tiene. Sin inventario, la seguridad se vuelve reactiva e incompleta.

Sistema que detecta y bloquea automáticamente ciertos tipos de tráfico malicioso.

Un IPS analiza comunicaciones en tiempo real para identificar patrones de ataque o comportamientos anómalos y tomar acciones de bloqueo o contención.

Norma internacional para sistemas de gestión de continuidad de negocio.

ISO 22301 estructura cómo planificar, implantar, probar y mejorar la continuidad de negocio. Es uno de los marcos más sólidos para BCP, DRP, simulacros y evidencias de resiliencia.

Norma internacional para implantar y auditar un sistema de gestión de seguridad de la información.

ISO 27001 estructura gobierno, análisis de riesgos, controles, responsables, evidencias y mejora continua. No es solo una certificación: es un marco de gestión para sostener la seguridad de forma ordenada y auditable.

Modelo que describe etapas de un ataque desde la preparación hasta la acción final.

La kill chain ayuda a entender en qué fase puede interrumpirse un ataque: reconocimiento, acceso inicial, ejecución, persistencia, escalado o exfiltración, según el modelo usado.

Principio según el cual cada identidad debe tener solo los permisos estrictamente necesarios.

Aplicar mínimo privilegio reduce impacto de credenciales comprometidas, errores humanos y movimiento lateral. Es especialmente importante en cuentas de administrador, cloud, directorio y cuentas de servicio.

Registro de eventos generado por sistemas, aplicaciones, red o servicios.

Los logs permiten saber qué ha ocurrido, cuándo y dónde. Son esenciales para monitorización, auditoría, detección, troubleshooting, cumplimiento y análisis forense.

Software diseñado para dañar, espiar, cifrar, alterar o comprometer sistemas.

Malware es un término amplio que incluye ransomware, troyanos, spyware, rootkits, descargadores y otros tipos de código malicioso que persiguen objetivos distintos según la campaña.

Gestión centralizada de dispositivos móviles corporativos.

MDM permite aplicar políticas de seguridad, cifrado, inventario, borrado remoto y control de configuración sobre móviles y tablets usados por la organización.

Servicio gestionado de detección y respuesta que combina tecnología y analistas.

MDR aporta capacidad operativa para detectar actividad sospechosa, investigar alertas, escalar incidentes y responder con criterios definidos. Suele apoyarse en EDR/XDR, SIEM e inteligencia.

Técnica de segmentación fina para aislar cargas, servicios o zonas.

La microsegmentación limita movimientos laterales y comunicaciones no necesarias dentro del entorno, aplicando reglas específicas entre sistemas, aplicaciones o grupos de activos.

Controles y mejoras de seguridad aplicables a Microsoft 365, Entra ID, Exchange, Teams y servicios relacionados.

Incluye identidades, MFA, acceso condicional, hardening, Defender, correo, compartición, permisos, protección de datos y postura general del tenant.

Base de conocimiento que clasifica tácticas y técnicas usadas por atacantes.

MITRE ATT&CK ayuda a mapear comportamientos ofensivos reales y a evaluar cobertura defensiva, detección, hunting y validación de controles.

Desplazamiento de un atacante dentro de la red tras obtener acceso inicial.

El movimiento lateral busca ampliar control, acceder a activos críticos o llegar a identidades privilegiadas. Suele aprovechar credenciales, confianza interna o segmentación insuficiente.

Capacidad de detección y respuesta apoyada en tráfico y comportamiento de red.

NDR ayuda a descubrir patrones anómalos, comunicaciones sospechosas, movimiento lateral o actividad de C2 a partir de telemetría de red y análisis de comportamiento.

Directiva europea que eleva exigencias de ciberseguridad, gobierno y notificación.

NIS2 obliga a muchas organizaciones a implantar medidas de seguridad, continuidad, gestión de terceros, respuesta y gobernanza. También aumenta la responsabilidad directiva y la necesidad de evidencia.

Marco de autorización que permite a una aplicación acceder a recursos de otra en nombre de un usuario.

OAuth se usa ampliamente en integraciones, apps SaaS y APIs. Su mala implementación o abuso de consentimientos puede generar riesgos relevantes de identidad y acceso.

Capa de identidad construida sobre OAuth 2.0.

OIDC permite autenticación federada y transmisión de información de identidad entre aplicaciones y proveedores de identidad.

Obtención y análisis de información a partir de fuentes abiertas.

OSINT puede emplearse para investigación defensiva, análisis de exposición, inteligencia de amenazas o reconocimiento ofensivo, según el contexto y el uso.

Tecnología que monitoriza o controla procesos físicos u operativos.

OT incluye sistemas industriales, automatización, control y supervisión. Sus prioridades de seguridad suelen centrarse especialmente en disponibilidad y seguridad física.

Controles para gestionar, restringir y supervisar accesos privilegiados.

PAM reduce el riesgo asociado a administradores, cuentas root, accesos críticos y break-glass mediante vaulting, rotación, control de sesiones, aprobaciones y trazabilidad.

Proceso de aplicar actualizaciones para corregir vulnerabilidades o errores.

El parcheo reduce exposición frente a fallos conocidos, pero debe priorizarse según criticidad, explotación conocida, dependencias y riesgo operativo para no convertirse en una actividad puramente administrativa.

Técnica que reutiliza hashes de autenticación para moverse por sistemas sin conocer la contraseña en texto claro.

Pass-the-Hash es especialmente relevante en entornos Windows comprometidos y demuestra por qué credenciales, segmentación y privilegios deben protegerse con rigor.

Evaluación técnica autorizada que intenta explotar vulnerabilidades para medir exposición real.

Un pentest valida debilidades en aplicaciones, APIs, redes, entornos cloud o identidad para entender impacto real de una explotación. Debe terminar en remediación priorizada y, cuando conviene, revalidación.

Técnicas para mantener acceso en un sistema comprometido a lo largo del tiempo.

La persistencia puede implicar tareas programadas, servicios, claves de registro, cuentas ocultas, web shells o mecanismos equivalentes para que el atacante regrese tras reinicios o limpiezas parciales.

Técnica de engaño diseñada para robar credenciales o inducir acciones no autorizadas.

El phishing suele llegar por correo, pero también por SMS, llamadas o suplantaciones web. Aprovecha urgencia, confianza o contexto para obtener acceso inicial o información sensible.

Estado real de madurez, exposición y control de una organización.

La postura de seguridad combina configuración, procesos, capacidades de detección, gobierno, continuidad, identidad y exposición. Es una visión más amplia que una simple lista de herramientas.

Intermediario entre un usuario o sistema y otro servicio de red.

Un proxy puede servir para filtrar tráfico, inspeccionar conexiones, ocultar origen, aplicar políticas o mejorar rendimiento. También puede ser usado por atacantes para anonimizar o redirigir actividad.

Matriz de responsabilidades usada para asignar quién ejecuta, aprueba, consulta o es informado.

RACI se usa en gobierno, continuidad, respuesta a incidentes y cumplimiento para aclarar responsabilidades y reducir ambigüedad operativa.

Ataque que cifra, bloquea o exfiltra información para exigir un rescate.

El ransomware actual no solo cifra. A menudo combina robo de datos, extorsión, movimiento lateral, abuso de identidad y destrucción de backups. Su impacto afecta continuidad, reputación, cumplimiento y operación.

Ejercicio avanzado que simula un adversario real para medir detección y resiliencia defensiva.

A diferencia de un pentesting clásico, un Red Team busca validar qué capacidad tiene la organización para detectar, contener y responder ante un ataque realista, combinando técnicas, sigilo y objetivos definidos.

Guía operativa paso a paso para gestionar un tipo concreto de incidente.

Un playbook define criterios de activación, roles, decisiones, acciones, evidencias, comunicación y cierre para incidentes como phishing, ransomware o compromiso cloud.

Malware diseñado para ocultar presencia y mantener acceso privilegiado.

Un rootkit busca dificultar la detección del compromiso alterando funciones del sistema, procesos o herramientas de visibilidad.

Pérdida máxima de datos aceptable medida en tiempo.

RPO indica cuánto dato puede perderse como máximo tras un incidente. Depende de la criticidad del servicio, frecuencia de backup, replicación y viabilidad técnica real.

Tiempo máximo tolerable para restaurar un servicio tras una interrupción.

El RTO define en cuánto tiempo debe recuperarse un sistema, proceso o servicio. Debe fijarse a partir de impacto de negocio, dependencia tecnológica y capacidad real de recuperación.

Procedimiento operativo detallado para ejecutar una recuperación o acción técnica concreta.

Un runbook describe pasos, prerequisitos, validaciones, dependencias y responsables para ejecutar tareas críticas bajo presión, como restaurar un servicio o contener un incidente.

Estándar de intercambio de información de autenticación y autorización.

SAML se usa en federación de identidad y single sign-on entre aplicaciones y proveedores de identidad. Su configuración correcta es clave para seguridad y experiencia de acceso.

Entorno aislado usado para ejecutar, analizar o probar elementos sospechosos o cambios controlados.

Una sandbox permite observar comportamiento de archivos, código o procesos sin afectar directamente a producción, ayudando a investigación, pruebas o validación de seguridad.

Inventario estructurado de componentes y dependencias de una aplicación.

Un SBOM facilita visibilidad sobre librerías, versiones, dependencias y exposición a vulnerabilidades en la cadena de software.

Análisis de dependencias y componentes de software para detectar riesgos y vulnerabilidades.

SCA ayuda a identificar librerías vulnerables, dependencias obsoletas, licencias problemáticas y exposición en aplicaciones modernas.

Sistema de supervisión y control usado en entornos industriales y de infraestructuras.

SCADA permite monitorizar y controlar procesos industriales distribuidos. Su seguridad requiere un enfoque específico por impacto operativo, disponibilidad y convergencia IT/OT.

Separación lógica o física de redes y zonas para limitar comunicaciones.

La segmentación reduce exposición y dificulta movimientos laterales, separando entornos, sistemas críticos, usuarios o servicios según riesgo y necesidad operativa.

Principio por el que tareas críticas se reparten entre distintas personas o roles.

La segregación de funciones reduce fraude, errores y abuso de privilegios evitando que una sola identidad controle procesos sensibles de extremo a extremo.

Uso de tecnología, aplicaciones o servicios no aprobados formalmente por la organización.

Shadow IT incrementa exposición, dificulta cumplimiento y complica visibilidad sobre datos, accesos, terceros y configuraciones reales.

Plataforma que centraliza, correlaciona y analiza eventos de seguridad.

Un SIEM recoge logs de sistemas, identidad, red, endpoints, nube o aplicaciones para correlacionarlos y generar reglas, alertas y visibilidad. Es una pieza importante dentro de un SOC.

Mecanismo que permite autenticarse una sola vez para acceder a varios servicios.

SSO mejora experiencia de usuario y control centralizado de acceso, pero también convierte el sistema de identidad en un punto crítico de seguridad y disponibilidad.

Ataque de phishing realizado por SMS o mensajería móvil.

El smishing busca inducir clics, robo de credenciales, códigos MFA o instalación de malware a través de mensajes que simulan ser legítimos.

Capacidad para orquestar, automatizar y coordinar respuestas de seguridad.

SOAR conecta herramientas, playbooks y flujos de trabajo para acelerar tareas repetitivas, enriquecer alertas y reducir tiempos operativos en SOC o respuesta.

Función o servicio dedicado a monitorizar, detectar e investigar amenazas.

El SOC combina personas, procesos, tecnología y reporting para operar la defensa de forma continuada. Puede ser interno o gestionado y suele apoyarse en SIEM, EDR/XDR e inteligencia.

Suplantación de identidad técnica o visual de un origen, sistema o remitente.

El spoofing puede afectar a correo, DNS, IP, dominios o interfaces para engañar a usuarios o sistemas y facilitar fraude, phishing o acceso no autorizado.

Software malicioso orientado a espiar actividad o capturar información.

El spyware puede registrar pulsaciones, capturar pantallas, vigilar navegación o extraer datos sin conocimiento del usuario.

Mecanismo para que los usuarios restablezcan sus credenciales sin intervención manual del soporte.

SSPR mejora operativa, pero debe configurarse con controles de verificación adecuados para no abrir una vía de secuestro de cuentas.

Conjunto de puntos de entrada potenciales que un atacante puede intentar explotar.

La superficie de ataque incluye dominios, aplicaciones, puertos, identidades, dispositivos, APIs, cloud, proveedores y configuraciones expuestas. Reducirla es una medida básica de seguridad preventiva.

Simulación en sala de un incidente o crisis para validar decisiones y planes.

En un tabletop no siempre se tocan sistemas, pero sí se prueban gobernanza, escalado, responsabilidades, tiempos de decisión y coordinación de equipos frente a un escenario plausible.

Búsqueda proactiva de actividad maliciosa o anómala que ha podido evadir controles automáticos.

Threat hunting parte de hipótesis, señales débiles o comportamiento anómalo para investigar indicios de compromiso que no necesariamente generan una alerta clara.

Prueba avanzada dirigida por inteligencia de amenazas.

TLPT va más allá del pentesting tradicional: usa escenarios, técnicas y objetivos basados en amenazas plausibles para medir capacidad de defensa, detección y respuesta.

Elemento digital usado para autenticar, autorizar o representar una sesión o permiso.

Los tokens pueden dar acceso a aplicaciones, APIs o sesiones sin necesidad de contraseña en cada petición. Por ello deben protegerse adecuadamente y tratarse como credenciales sensibles.

Capacidad de reconstruir acciones, cambios y eventos relevantes.

La trazabilidad permite entender qué ocurrió, quién hizo qué, cuándo y sobre qué activo. Es esencial en auditoría, cumplimiento, investigación y control interno.

Tácticas, técnicas y procedimientos usados por actores de amenaza.

Las TTP describen cómo operan los atacantes en lugar de limitarse a artefactos concretos. Son muy útiles para detección, inteligencia y validación defensiva.

Análisis de comportamiento de usuarios y entidades para detectar anomalías.

UEBA ayuda a identificar desvíos respecto a comportamientos normales, como accesos anómalos, abuso de privilegios o actividad atípica de cuentas y sistemas.

Servicio de dirección de ciberseguridad bajo demanda.

El vCISO ayuda a priorizar riesgos, definir roadmap, establecer KPIs, coordinar proveedores, impulsar comités y traducir la seguridad a decisiones de negocio sin incorporar un CISO a tiempo completo.

Ataque de ingeniería social realizado por voz o llamada telefónica.

En vishing, el atacante suplanta a un proveedor, banco, soporte técnico o directivo para conseguir credenciales, códigos, pagos o acciones urgentes no autorizadas.

Canal cifrado que conecta usuarios o sedes con una red privada.

Las VPN permiten acceso remoto protegido, pero deben diseñarse con autenticación fuerte, segmentación y control de privilegios para no convertirse en una vía amplia de acceso.

Debilidad explotable en un sistema, aplicación, configuración o proceso.

Una vulnerabilidad puede permitir acceso no autorizado, ejecución de código, escalado de privilegios, fuga de datos o indisponibilidad. Su criticidad depende de contexto, exposición y facilidad de explotación.

Control diseñado para filtrar y proteger tráfico HTTP/HTTPS hacia aplicaciones web.

Un WAF ayuda a mitigar ataques comunes contra aplicaciones web, como inyección, explotación automatizada o abuso de parámetros. No sustituye al desarrollo seguro ni al pentesting.

Tipo de phishing dirigido a perfiles de alto nivel directivo o financiero.

El whaling busca engañar a ejecutivos o responsables con capacidad de decisión o firma, usando contextos muy personalizados para inducir pagos, cesión de credenciales o aprobación de acciones críticas.

Enfoque o tecnología que amplía detección y respuesta correlando señales de múltiples capas.

XDR integra eventos de endpoints, identidad, correo, red, cloud y otros controles para mejorar correlación, visibilidad y respuesta. Su valor depende de la calidad de integración y de la operación que lo acompaña.

Modelo de seguridad basado en no confiar por defecto en usuarios, dispositivos o redes.

Zero Trust refuerza verificación continua, identidad, contexto, segmentación, mínimo privilegio y control de acceso adaptativo. No es un producto único, sino un enfoque de arquitectura y operación.