A continuación os mostramos todos los términos de glosario (wiki) de Seguridad Informática.

Alfabético

Elige del menú superior

 

Todos los términos

  • Acumulación de privilegios
    Proceso gradual por el que un sujeto va incrementando sus derechos de acceso por encima de los que estrictamente requiere para desempeñar su trabajo.
  • Administrador
    Persona responsable de la instalación y configuración de los componentes de un sistema de información.
  • Administrador de seguridad
    Persona que es responsable de la definición o aplicación de una o más partes de una política de seguridad.
  • Adware
    Aplicaciones que durante su funcionamiento despliegan publicidad en ventanas emergentes o barras de herramientas a cambio de la gratuidad en su utilización. La publicidad normalmente permite visitar la página web del anunciante, por lo que requiere conexión a Internet para funcionar. Se diferencian de los programas gratuitos (freeware) en que incorporan publicidad. La mayoría de […]
  • AES
    AES (Advanced Encryption Standard), algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits.
  • Agente Externo
    Persona que accede al sistema desde el exterior del perímetro de seguridad.
  • Agotamiento de recursos
    Ataque consistente en pedirle tantos recursos a un sistema que este queda a todos los efectos incapacitado de servir a nadie más.
  • Agregación
    Circunstancia en la que un conjunto de elementos de información es objeto de una clasificación más elevada que la de cualquiera de sus componentes vistos individualmente.
  • Agregación de datos
    Recopilación de datos no clasificados de tal forma que el conjunto, correlacionado, debiera estar clasificado por cuanto sería de utilidad para perpetrar un ataque.
  • AH Authentication Header
    AH (Authentication Header), cabecera IP que proporciona el servicio de autenticación de un paquete IP que viaje por la red.
  • AIR GAP
    Término usado para describir que dos redes están absolutamente separadas.
  • Aleatorio
    Término que indica que el resultado de un experimento sólo depende del azar, no teniendo relación con los resultados anteriores o posteriores. El fenómeno o experimento no es reproducible.
  • Alerta
    Advertencia de que se ha superado un umbral, de que algo ha cambiado, o de que hubo un Fallo. De forma regular, las alertas se crean y gestionan con herramientas de Gestión de Sistemas y administradas por el Proceso de Gestión de Eventos. Notificación de que el sistema de información es objeto de un ataque.
  • Algoritmo
    Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema.
  • Algoritmo criptográfico
    Función matemática que lleva a cabo un cierto cálculo criptográfico.
  • Algoritmo criptográfico asimétrico
    Algoritmo para ejecutar el cifrado o el descifrado correspondiente, cuyas claves para el cifrado y el descifrado son diferentes. Con algunos algoritmos criptográficos asimétricos, el descifrado del texto cifrado o la generación de una firma digital requiere la utilización de más de una clave privada.
  • Algoritmo criptográfico simétrico
    Algoritmo para realizar el cifrado o el algoritmo correspondiente para realizar el descifrado en el cual se requiere la misma clave para el cifrado y el descifrado.
  • Algoritmo de cifra
    Conjunto finito de operaciones matemáticas (en ocasiones simplemente reglas o pasos) que permiten obtener un texto cifrado a partir de un texto en claro y de ciertos parámetros iniciales, por ejemplo, la clave criptográfica y el vector de inicialización. Este término es sinónimo de «algoritmo de cifrado» y «algoritmo criptográfico».
  • Algoritmo de descifrado
    Proceso que transforma textro cifrado en texto en claro.
  • Algoritmo de Diffie-Hellman
    Primer algoritmo de clave pública, enunciado por W. Diffie y M. Hellman en 1976, que basa su seguridad en la dificultad de calcular logaritmos discretos en un campo finito. Se emplea para distribución de claves pero no para cifrar y descifrar.
  • Algoritmo irreversible
    Algoritmo que emplea o no clave y que se utiliza sólo en un sentido (por ejemplo algoritmos que proporcionan firma de claves, autenticación o integridad).
  • Algoritmo nacional de cifra
    Medio o procedimiento de cifra, material o no material, cuya realización, propiedad y garantía de seguridad pertenece al Estado Español. El órgano con que cuenta el Ministerio de Defensa para establecer esta garantía de seguridad es el Centro Superior de Información de la Defensa, según el Real Decreto 1883/1996 (BOE n° 156 de 8 de […]
  • Algoritmo personalizable o privatizable
    Algoritmo de cifra en el que el usuario puede seleccionar determinados parámetros de su funcionamiento a fin de individualizarlo para su red.
  • Algoritmo público
    Algoritmo de cifra cuyo funcionamiento no se considera información a proteger y es de general conocimiento.
  • Algoritmo reversible
    Algoritmo de cifra que se utiliza para cifrar y descifrar.
  • Algoritmo secreto
    Algoritmo de cifra cuyo funcionamiento interno es considerado por el fabricante o el usuario información a proteger.
  • Alta disponibilidad
    Configuración de los sistemas de forma que garantizan un servicio continuo incluso cuando alguno de sus componentes no se encuentra plenamente disponible. Una aproximación o diseño que minimiza u oculta a los usuarios de un servicio de TI los efectos del fallo de un elemento de configuración. Las soluciones de alta disponibilidad se diseñan para […]
  • Amenaza
    Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización. Condición o actividad capaz de ocasionar que, intencionada o accidentalmente, la información o recursos para el procesamiento de la información se pierdan, modifiquen, queden expuestos o vuelvan inaccesibles; o que sean afectados de algún otro modo […]
  • Amenaza activa
    Amenaza de un cambio no autorizado y deliberado del estado de un sistema. Las amenazas activas suponen, de materializarse, la intrusión y posterior interacción con un sistema de información. Ejemplos de amenazas activas son la interrupción, modificación o fabricación de recursos, la modificación de mensajes, la reproducción de mensajes, la inserción de mensajes espurios, la […]
  • Amenaza avanzada persistente
    APT (Amenaza Avanzada Persistente), se trata de un ataque selectivo de ciberespionaje o cibersabotaje llevado a cabo bajo el auspicio o la dirección de un país, por razones que van más allá de las meramente financieras/delictivas o de protesta política. No todos los ataques de este tipo son muy avanzados y sofisticados, del mismo modo […]
  • Amenaza pasiva
    Amenaza de revelación no autorizada de la información sin modificar el estado del sistema. Amenaza a la confidencialidad de la información que, de materializarse, no cambia el estado del sistema. Por ejemplo, la interceptación de un canal de transmisión de datos. Estas amenazas, de materializarse, son más difíciles de detectar que las activas y la […]
  • Análisis de fallos
    Análisis de la respuesta de un dispositivo criptográfico ante diferentes fallos provocados, con el objeto de inferir información acerca de las claves usadas.
  • Análisis de impacto en el negocio
    BIA (Análisis de Impacto en el Negocio), es la actividad de la gestión de la continuidad del negocio que identifica las funciones vitales del negocio y sus dependencias. Estas dependencias pueden incluir proveedores, personas, otros procesos de negocio, servicios TI, etc. BIA define los requerimientos de recuperación para los Servicios TI. Dichos requerimientos incluyen objetivos […]
  • Análisis de paquetes TCP
    Técnica útil para detectar qué sistema operativo se usa en un cierto equipo remoto. Consiste en analizar los paquetes TCP que envía buscando características signulares peculiares de un cierto sistema.
  • Análisis de riesgos
    Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. El análisis del riesgo proporciona las bases para la evaluación del riesgo y para tomar las decisiones relativas al tratamiento del riesgo. El análisis del riesgo incluye la estimación del riesgo. Utilización sistemática de la información disponible para identificar peligros y […]
  • Análisis de seguridad de la red
    Proceso mediante el cual se buscan vulnerabilidades en los sistemas de una entidad de manera remota a través del uso de herramientas manuales o automatizadas. Análisis de seguridad que incluyen la exploración de sistemas internos y externos, así como la generación de informes sobre los servicios expuestos a la red. Los análisis pueden identificar vulnerabilidades […]
  • Análisis de tiempos
    Análisis del tiempo de procesamiento empleado por un dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas.
  • Análisis de tráfico
    Observación del tráfico de datos (presencia, ausencia, dirección, volumen y frecuencia) en un canal de transmisión para inferir información. Cuando la dificultad de descifrar los datos transmitidos por un canal es grande, este tipo de ataque puede proporcionar interesantes conjeturas sobre los mismos. Inferencia de información a partir de la observación de flujos de tráfico […]
  • Análisis diferencial de consumo
    Análisis del consumo de energía realizado por un módulo criptográfico con el objetivo de extraer información relacionada con las claves criptográficas con las que trabaja. A diferencia del análisis simple, aquí se estudian estadísticamente las variaciones de las observaciones realizadas con diferentes datos de entrada.
  • Análisis forense
    El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem. También se […]
  • Análisis heurístico
    Se hace cuando, a fin de detectar la presencia de virus, se estudia el comportamiento de los programas. El comportamiento anómalo permite inferir la infección.
  • Análisis simple de consumo
    Análisis del consumo de energía realizado por un módulo criptográfico o dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas.
  • Anonimato
    Carácter o condición de anónimo. Dicho de una obra o de un escrito: que no lleva el nombre del autor. Dicho de un autor: cuyo nombre se desconoce.
  • Anonymizer
    Servicio, dispositivo o aplicación interpuestos que impiden a los servidores web ver la dirección IP de sus usuarios.
  • Anonymous remailer
    Servidor intermedio de mensajería electrónica cuya función es reenviar los mensajes recibidos habiendo eliminado previamente la identificación del remitente.
  • Anti automatización
    Medida de seguridad de los servidores web que impiden el acceso automatizado. La técnica consiste en exigir al usuario que demuestre ser humano pasándole una prueba de difícil resolución por un robot, por ejemplo usando captcha.
  • Anti-spam
    Contramedida cuyo objetivo es la contención de correo electrónico no solicitado (spam).
  • Anti-spoof
    Medidas para prevenir el abuso de datos de identificación y autenticación, impidiendo que alguien se haga pasar por quien no es.
  • Anti-spyware
    Contramedida cuyo objetivo es evitar la infección por código malicioso de tipo spyware.
  • Antivirus
    Aplicación informática cuya finalidad es la detección, detención y eliminación de virus y demás códigos maliciosos. Programa o software capaz de detectar y eliminar los diferentes tipos de programas maliciosos (también conocidos como «malware»), incluidos virus, gusanos, troyanos o caballos troyanos, spyware, adware y rootkits, y de proteger su computadora contra estos.
  • Apéndice
    Bits formados por la signatura y una cadena de texto opcional.
  • Aplicación
    Programa informático que realiza una determinada función, directamente para el usuario sin requerir privilegios especiales.
  • Apreciación del riesgo
    Proceso global que comprende la identificación del riesgo, el análisis del riesgo y la evaluación del riesgo.
  • Arquitectura de seguridad
    Un planteamiento y un plan que cubre: Los servicios de seguridad que se le exigen a un sistema. Los componentes necesarios para proporcionar dichos servicios. Las características que se requieren de dichos componentes para enfrentarse eficazmante a las amenazas previsibles.
  • Asociación de seguridad
    SA (Asociación de Seguridad), relación establecida entre dos entidades que les permite proteger la información que intercambian.
  • Ataque
    Tentativa de destruir, exponer, alterar, inhabilitar, robar, acceder sin autorización o hacer un uso no autorizado de un activo. Explotación de una o varias vulnerabilidades utilizando un método de ataque con una oportunidad dada. Algunos ejemplos de ataques: Gran oportunidad de uso de software falsificado o copiado debido a la ausencia total de concienciación o […]
  • Ataque «Encontrarse en el medio»
    Ataque contra sistemas de doble cifrado. Para buscar las dos claves, se cifra el texto en claro con una clave, mientras se descifra el texto cifrado con otra clave. Si los resultados coinciden es que hemos hallado ambas claves.
  • Ataque a la validación de datos
    Ataques en los que el atacante introduce deliberadamente datos erróneos con el fin de confundir a la aplicación.
  • Ataque algebraico
    Ataque basado en las propiedades algebraicas del un algoritmo de cifra.
  • Ataque con sólo texto cifrado
    Variante de análisis criptográfico donde el atacante sólo dispone de texto cifrado.
  • Ataque con texto cifrado escogido
    Método criptoanalítico en el cual el atacante puede obtener el texto en claro correspondiente a cualquier texto cifrado por él elegido.
  • Ataque con texto en claro conocido
    Agresión al cifrado que pretende averiguar la clave criptográfica usada a partir del conocimiento de uno, o varios, textos cifrados y el texto en claro del, o de los, que procede, así como del algoritmo de cifra usado. Es el ataque usual a mensajes cifrados con algoritmos conocidos y transmitidos mediante protocolos normalizados (por ejemplo, […]
  • Ataque con texto en claro escogido
    Ataque consistente en elegir un texto en claro y comparar aquél con el texto cifrado obtenido, para así tratar de hallar la clave criptográfica que se está empleando. Presupone el conocimiento del algoritmo de cifra usado, o al menos el acceso al dispositivo en que está implementado. Un ejemplo típico se tiene en el usuario […]
  • Ataque controlado
    Ataque a un sistema autorizado y controlado por el propietario del sistema. Tiene como objeto adelantarse a ataques reales para descubrir vulnerabilidades antes de que sean explotadas.
  • Ataque de reproducción
    Ataque consistente en capturar una transmisión de datos correcta y reproducirla posteriormente. Es un ataque típico para capturar secuencias de autenticación correctas y reproducirlas luego para que el atacante logre los mismos derechos de acceso.
  • Ataque del cumpleaños
    Ataque de fuerza bruta que busca colisiones probando todas las combinaciones posibles de dos textos. Se basa en la paradoja del cumpleaños, que se puede resumir diciendo que la probabilidad de que dos o más personas en un grupo de individuos hayan nacido el mismo día, es superior al 50% cuando el número de personas […]
  • Ataque dirigido
    Son aquellos ataques realizados normalmente de manera silenciosa e imperceptible, cuyo objetivo es una persona, empresa o grupos de ambas. No son ataques masivos, porque su objetivo no es alcanzar al mayor número posible de ordenadores. Su peligro estriba precisamente en que son ataques personalizados, diseñados especialmente para engañar a las potenciales víctimas.
  • Ataque distribuido
    Ataque realizado mediante múltiples agentes desde diferentes lugares.
  • Ataque exhaustivo
    Caso particular de ataque sólo al texto cifrado en el que el criptoanalista, cociendo el algoritmo de cifra, intenta su descifrado probando con cada clave del espacio de claves. Si el cardinal de este último es un número muy grande, el tiempo invertido en recorrer el citado espacio es muy grande, y las probabilidades de […]
  • Ataque por deslizamiento
    Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. El ataque busca debilidades en la generación de sub-claves para cada ciclo.
  • Ataque por diccionario
    Método empleado para romper la seguridad de los sistemas basados en contraseñas (password) en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático. Generalmente se emplean programas especiales que se encargan de ello.
  • Ataque por inferencia
    Ataques que se basan en información deducida lógicamente a partir de piezas aparentemente inconexas.
  • Ataque por monitorización
    Familia de métodos de ataque que se refiere a técnicas pasivas de análisis del comportamiento de un dispositivo criptográfico mientras se ejecutan tareas normales.
  • Atributo
    Una propiedad de una entidad, física o abstracta.
  • Auditoría
    Proceso sistemático, independiente y documentado para obtener las evidencias de auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría. Una auditoría puede ser interna (de primera parte), o externa (de segunda o tercera parte), y puede ser combinada (combinando dos o más […]
  • Auditoría de la seguridad
    Revisión y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos. Estudio y […]
  • Auditoría de seguridad de sistemas de información
    Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Las auditoras de seguridad de […]
  • Auditoría de sistemas de información
    La auditoría de sistemas de información es realizada para verificar ya sea por un equipo interno o externo que analiza el funcionamiento y la distribución de los controles en los procesos de información de una empresa, organización o cualquier sistema que utilice medios de información. Principalmente se realizan para encontrar fallas en el sistema a […]
  • Autenticación
    Acción y efecto de autenticar (dar fe de la verdad de un hecho o documento con autoridad legal). Proceso para verificar la identidad de un individuo, dispositivo o proceso. Por lo general, la autenticación ocurre a través del uso de uno o más factores de autenticación, tales como: Algo que el usuario sepa, como una […]
  • Autenticación compleja o fuerte
    Tipo de autenticación utilizado en algunas aplicaciones que no se basa únicamente en la demostración de la identidad por una contraseña, sino que intercambia más información ofreciendo más seguridad. En general uno de los corresponsales genera un código que transmite y el otro corresponsal debe devolverlo procesado de un modo preestablecido. Puede ser: De un […]
  • Autenticación con dos elementos
    Utilización de dos elementos de autenticación independientes. Por ejemplo: una tarjeta inteligente activada por un PIN. La idea es que la combinación de elementos es más robusta que cada elemento por independiente.
  • Autenticación con tres elementos
    Utilización de tres elementos de autenticación independientes. Por ejemplo: una tarjeta inteligente activada por un PIN, con verificación biométrica. La idea es que la combinación de elementos es más robusta que cada elemento por independiente.
  • Autenticación de dos factores
    Método de autenticación de un usuario mediante la comprobación de dos o más factores. Estos factores incluyen algo que el usuario posee (como un token de hardware o software), algo que sabe (como una contraseña, frase de seguridad o PIN) o algo que el usuario es o algo que hace (como las huellas dactilares y […]
  • Autenticación de entidad par
    Corroboración de que una entidad par en una asociación es la pretendida.
  • Autenticación de la otra parte
    Corroboración de que entidad con la que se establece una asociación de seguridad es la que alega ser.
  • Autenticación de una entidad
    Comprobación de que una entidad es la que alega ser. Una prueba que permite a un sistema de información identificar fehacientemente a una entidad.
  • Autenticación de una entidad homologada
    Comprobación de que una de las entidades homólogas de una asociación es la alegada.
  • Autenticación fuerte
    Autenticación mediante credenciales obtenidas por técnicas criptográficas simétricas o asimétricas. La autenticación fuerte puede ser de un sentido, de dos o de tres. En la primera, un usuario, A, se identifica y autentica, mediante credenciales, ante otro, B, sin que éste haga lo mismo frente a A. En la segunda, la autenticación es mutua de […]
  • Autenticación multifactor
    Autenticación utilizando dos o más factores. Por ejemplo: Algo que se sabe (como una contraseña o un PIN). Algo que se tiene (como un dispositivo criptográfico de identificación). Algo que se es (o sea, características biométricas).
  • Autenticación simple
    Autenticación mediante contraseñas. Servicio de seguridad que previene contra transmisiones fraudulentas. Puede determinar la validez de la pareja de corresponsales (peer-entity) o del origen del mensaje recibido. Como mecanismo de seguridad, es el procedimiento que presta dicho servicio, para conseguir la autenticidad de la información (técnicas criptográficas, empleo de características o propiedades del corresponsal, contraseñas […]
  • Autenticidad
    Propiedad consistente en que una entidad es lo que dice ser.
  • Autenticidad de origen de datos
    Comprobación/confirmación de que la fuente de los datos recibidos es la alegada.
  • Auténtico
    Certificación con que se testifica la identidad y verdad de algo.
  • Autentificación
    Sinónimo de autenticación.
  • Autentificación simple
    Sinónimo de autenticación simple.
  • Autoridad
    Entidad responsable de la expedición de certificados. En esta especificación se definen dos tipos; la autoridad de certificación que expide certificados de clave pública y la autoridad de atributo que expide certificados de atributo.
  • Autoridad de atributo
    Una AA (Autoridad de Atributo) es una entidad autorizada para emitir certificados de atributos. Autoridad que asigna privilegios expidiendo certificados de atributo.
  • Autoridad de certificación
    Una AC (Autoridad de Certificación) es una entidad perteneciente a un prestador de servicios de certificación encargada, fundamentalmente, de la emisión de certificados electrónicos. En una estructura jerárquica de autoridades de certificación (PKI jerárquica), la que inicia la jerarquía es la autoridad de certificación raíz, y las que actúan bajo ella se denominan autoridades de […]
  • Autoridad de evaluación
    Organismo que implementa los CC para una comunidad específica mediante un esquema de evaluación por el que se establecen las normas y se supervisa la calidad de las evaluaciones realizadas por organismos de dicha comunidad.
  • Autoridad de registro
    La Autoridad de Registro es la responsable de verificar el enlace entre los certificados, concretamente entre la clave pública del certificado y la identidad de sus titulares. Componente opcional dentro de una PKI (Infraestructura de clave pública). Ayuda a la Autoridad de Certificación en sus relaciones con la entidad final: identificación del titular, distribución de […]
  • Autoridad de seguridad
    Entidad que es responsable de la definición, aplicación o cumplimiento de la política de seguridad.
  • Autoridad de sellado de tiempo
    Tercera parte confiable para prestar servicios de fechado electrónico. La Autoridad de sellado de tiempo (TSA, Timestamping Authority) es un prestador de servicios de certificación que proporciona certeza sobre la preexistencia de determinados documentos electrónicos a un momento dado, cuya indicación temporal junto con el hash del documento se firma por la Autoridad de sellado […]
  • Autoridad de validación
    La Autoridad de Validación es el componente que tiene como tarea suministrar información sobre la vigencia de los certificados electrónicos que, a su vez, hayan sido registrados por una Autoridad de Registro y certificados por la Autoridad de Certificación. La Autoridad de Validación es una entidad considerada opcional, encargada de comprobar la validez de los […]
  • Autorización
    En el contexto del control de acceso, la autorización es el otorgamiento de derechos de acceso u otros derechos similares a un usuario, programa o proceso. La autorización define lo que un individuo o programa puede hacer después de un proceso de autenticación satisfactorio. En lo que se refiere a una transacción con tarjeta de […]
  • Autoservicio de recuperación de contraseña
    Proceso que permite a los usuarios recuperar el acceso a un sistema tras haber perdido su contraseña, sin recurrir al centro de ayuda de usuarios. Es habitual que el usuario proporcione una dirección de correo electrónico a la que le será enviada una contraseña temporal de desbloqueo. Mediante esta contraseña temporal, y durante un periodo […]
  • Árbol de ataque
    Estructura de datos en forma de árbol donde a partir de un objetivo final (representado como la raíz) se identifican (como ramificaciones) objetivos secundarios que nos permitirían alcanzar el objetivo final. Los árboles de ataque se utilizan para modelar las posibles vías por las que puede perpetrarse un ataque.
  • Área confidencial
    Todo centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan, procesen o transmiten datos de titulares de tarjetas. No se incluyen las áreas en las que se encuentran presentes terminales de punto de venta, tales como el área de cajas en un comercio.
  • Backorifice
    Back Orifice es un programa de control remoto de ordenadores que funciona bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar cualquier función del ordenador remoto, entre los que destaca abrir y cerrar programas, controlar el CD, leer y modificar ficheros o borrar parte […]
  • Barrido de IP
    Sinónimo de Barrido de puertos.
  • Barrido de puertos
    Acción por la cual se chequean los puertos de comunicaciones y/o las direcciones IP de un ordenador, para localizarlos y obtener información sobre su estado.
  • Base de datos de gestión de la configuración CMDB
    Base de datos usada para almacenar registros de configuración durante todo su ciclo de vida. El Sistema de Gestión de la Configuración mantiene una o más CMDB, y cada CMDB contiene atributos de CI y relaciones con otros CI.
  • Bastión
    Equipos de frontera que, situados fuera de la red interna, ofrecen servicios al exterior. Estos equipos hacen virtud de la necesidad de estar bien asegurados pues están muy expuestos a ataques externos. Se dice que un equipo está «fortificado» cuando se le han aplicado todas las protecciones conocidas, de forma que no adolece de ninguna […]
  • Bastionado
    Implementar todas las medidas de seguridad posibles para proteger un sistema.
  • Basuring en memoria
    Acceso a información residual en la memoria de los dispositivos o sistemas con el ánimo de acceder a secretos.
  • Big endian
    Ordenación de los bytes en memoria: byte más significativo primero.
  • Biométrico
    Procedimiento de autenticación basado en la medición de alguna característica física o biológica de una persona. Por extensión, también se aplica a la autenticación mediante la comprobación de algún hábito o rasgo personal de un individuo. Por ejemplo, en sentido estricto son procedimientos biométricos: El reconocimiento de la huella dactilar. La geometría de la mano. […]
  • Blowfish
    Blowfish es un codificador de bloques simétricos, diseñado por Bruce Schneier en 1993 e incluido en un gran número de conjuntos de codificadores y productos de cifrado. Aunque ningún analizador de cifrados de Blowfish efectivo ha sido encontrado hoy en día, se ha dado más atención a la decodificación de bloques con bloques más grandes, […]
  • Bomba lógica
    Clase de virus que carece de la capacidad de replicación y que consiste en una cadena de código que se ejecuta cuando una determinada condición se produce, por ejemplo, tras encender el ordenador una serie de veces, o pasados una serie de días desde el momento en que la bomba lógica se instaló en nuestro […]
  • Borrado
    Eliminación de la información de un sistema de información, sus equipos de almacenamiento y demás periféricos. El borrado debe ser sistemático y garantizar que la información no es recuperable por medio alguno. Por si fuera posible recuperar información de equipos teóricamente borrados, los soportes de información no deberían ser reutilizados sino con información del mismo […]
  • Borrado seguro
    También llamada «limpieza segura», es un método de sobrescritura de los datos que se encuentran en un disco duro o en otro medio digital, lo que impide la recuperación de los datos.
  • Botnet
    Red de equipos infectados por un atacante remoto. Los equipos quedan a su merced cuando desee lanzar un ataque masivo, tal como envío de spam o denegación distribuida de servicio. Conjunto de ordenadores controlados remótamente por un atacante que pueden ser utilizados en conjunto para realizar actividades maliciosas como envío de spam, ataques de DDoS, […]
  • Bóveda electrónica
    La bóveda electrónica o e-vaulting es el proceso de transferencia de datos por vía electrónica a un sitio de copia de seguridad, a diferencia del envío físico de cintas o discos con copias de seguridad. Los criterios principales en materia de e-vaulting son la capacidad de ancho de banda, de almacenamiento y del coste. La […]
  • Bug
    Error generalmente de diseño de un programa o producto que es descubierto después de ser lanzado al mercado.
  • Bulo
    Mensaje de correo electrónico (o por otros medios como las redes sociales) creado para su reenvío masivo que intenta hacer creer al remitente algo que es falso. El bulo más común es para alertar de virus inexistentes. Pueden ser varias las motivaciones para crear dicho mensaje, algunas de ellas son para recopilar gran cantidad de […]
  • Bypass
    Modo de funcionamiento de un equipo de cifra de datos en el que permite el paso de información en claro a través de él sin modificarla. Este modo de funcionamiento está previsto para poder efectuar pruebas de línea desde el equipo terminal de datos hasta el equipo de comunicación de datos (módem) próximo o lejano, […]
  • Caballo de Troya
    Introducción subrepticia en un medio no propicio, con el fin de lograr un determinado objetivo. También denominado “caballo de Troya”. Una clase de software malicioso que al instalarse permite al usuario ejecutar funciones, mientras los troyanos ejecutan funciones maliciosas sin que este lo sepa. Programa que no se replica ni hace copias de sí mismo. […]
  • Cadena de certificados de seguridad
    Secuencia ordenada de certificados de seguridad, en la cual el primer certificado de seguridad contiene información pertinente a la seguridad y cada certificado de seguridad subsiguiente contiene información de seguridad que se puede utilizar para verificar certificados de seguridad previos.
  • Cadena de delegación
    Secuencia ordenada de certificados que permite verificar la correcta delegación de un privilegio de una entidad a otra.
  • Cámara de seguridad electrónica
    Procedimiento de copia de seguridad consistente en que se copian los datos modificados en un servidor y se transmiten a un lugar fuera de las instalaciones mediante un proceso por lotes.
  • Cambio de clave
    Cambio de la clave de un sistema criptográfico.
  • Camelia
    Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits.
  • Canal confiable
    Medio por el que se pueden comunicar, con la confianza necesaria, la TSF y un producto de TI confiable remoto.
  • Canal oculto
    Mecanismo no proyectado para comunicaciones, que es usado para transferir información violando la seguridad (ITSEC). Canal de transmisión que permite a un proceso transmitir datos violando la política de seguridad del sistema (TCSEC). Puede presentarse como canal de almacenamiento (storage channel) o como canal de tiempo (timing channel). El primero sucede cuando un proceso puede […]
  • Canal subliminal
    Transmisión de información de manera oculta sobre un canal que transmite información. Se aplica especialmente a algunos esquemas de firma digital.
  • Capacidad
    Testigo (token) usado como identificador de un recurso, tal que la posesión del mismo por una entidad le confiere derechos de acceso sobre dicho recurso. Mecanismo de control de acceso que asocia a cada sujeto los objetos y los derechos de acceso que posee sobre estos últimos.
  • Capacidad de supervivencia
    Capacidad de un sistema para continuar prestando un servicio activamente bajo condiciones adversas. Se consideran tanto desastres naturales, como accidentes y ataques deliberados.
  • CAPI – Cryptographic Application Programming Interface
    Interfaz normalizada para que los programas usen servicios criptográficos facilitados por diferentes proveedores bajo una interfaz homogénea.
  • CAPTCHA
    Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos). Se trata de una prueba desafío-respuesta utilizada en computación para determinar cuándo el usuario es o no humano. El término se empezó a utilizar en el año […]
  • Capturador de pulsaciones de teclado
    Programa que intercepta todas las pulsaciones realizadas en el teclado (e incluso a veces también el ratón), y las guarda en un archivo para obtener datos sensibles como contraseñas, usuarios, etc.. Posteriormente puede ser enviado a un tercero sin conocimiento ni consentimiento del usuario.
  • Carga remota de claves
    Transmisión de un equipo criptográfico a otro de una clave criptográfica cifrada, que una vez descifrada operará en este último. La transmisión cifrada evita el compromiso de la clave criptográfica. Técnica por la que un equipo de cifra puede transmitir a otro compatible una clave cifrada que, una vez descifrada, puede utilizar en operaciones de […]
  • Cargador de claves
    Unidad electrónica autocontenida capaz de almacenar, al menos, una clave criptográfica y transmitir esta, bajo petición, al equipo criptográfico.
  • Cartas nigerianas
    Las conocidas como cartas nigerianas son una forma de estafa tradicional que empleando las nuevas tecnologías, en particular el correo electrónico, consisten en el envío de comunicaciones o cartas en las que el remitente pone a disposición del destinatario ofertas “falsas” para participar en negocios supuestamente rentables, o con la intención de involucrar a la […]
  • CAST
    Algoritmo de cifra basado en un secreto compartido (clave). CAST-128: cifra el texto en bloques de 64 bits. Utiliza claves de 40 a 128 bits. CAST-256: cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits.
  • CAST-128
    CAST-128 (o también CAST5) es un cifrador por bloques usado en un gran número de productos, notablemente como cifrador por defecto en algunas versiones de GPG y PGP. Ha sido aprobado por el gobierno canadiense para ser usado por el Communications Security Establishment. El algoritmo fue creado en 1996 por Carlisle Adams y Stafford Tavares […]
  • CAST-256
    CAST-256 (o también CAST6) es un algoritmo de cifrado por bloques publicado en junio de 1998 y propuesto como candidato para el programa Advanced Encryption Standard (AES). Es una extensión de algoritmo de cifrado CAST-128; ambos fueron diseñados siguiendo la metodología de diseño «CAST» inventada por Carlisle Adams y Stafford Tavares. Howard Heys y Michael […]
  • Catástrofe
    Suceso que produce gran destrucción o daño. Cambio brusco de estado de un sistema dinámico, provocado por una mínima alteración de uno de sus parámetros.
  • Categoría de un sistema
    Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.
  • CBC Cipher Block Chaining
    Cifrado de información tal que cada bloque de texto cifrado es criptográficamente dependiente del precedente. Modalidad de cifrado de bloques en la cual cada bloque cifrado se realimenta a la entrada del cifrador para componerse o-exclusivo con el siguiente texto en claro, cifrándose seguidamente el resultado. Su aplicación más frecuente se encuentra en el almacenamiento […]
  • CCM – Counter with cipher block chaining-message authentication code
    Modo de operación de un cifrador que garantiza confidencialidad y autenticidad.
  • Ceguera
    Ceguera (blinding) es una técnica de ocultación de tráfico importante en una red. La técnica consiste en inyectar tráfico masivo que provoque una saturación en los detectores que pudieran estar al acecho.
  • Centro de distribución de claves
    Instalación que genera y entrega claves criptográficas para su distribución. Equipo utilizado en una red de cifra para generar y distribuir física o electrónicamente claves a los equipos de la misma, pudiendo crear diversas subredes a base de asignar distintas claves a diversos grupos de cifradores.
  • Centro de generación de claves
    Tercero en el que confían las partes para que genere claves privadas de firma.
  • CERT Equipo de reacción rápida ante incidentes informáticos
    CERT (Computer Emergency Response Team), organización especializada en responder inmediatamente a incidentes relacionados con la seguridad de las redes o los equipos. También publica alertas sobre amenazas y vulnerabilidades de los sistemas. En general tiene como misiones elevar la seguridad de los sistemas de los usuarios y atender a los incidentes que se produzcan.
  • Certificación
    Emisión de un certificado que acredita la Conformidad con un Estándar. La Certificación incluye una Auditoría formal realizada por un organismo independiente y acreditado. El término «Certificación» también se usa para denotar la concesión de un certificado que acredita que una persona ha logrado una cualificación determinada.
  • Certificación de la seguridad
    Determinación positiva de que un producto o sistema tiene capacidad para proteger la información según un nivel de seguridad y de acuerdo a unos criterios establecidos en el procedimiento o metodología de evaluación correspondiente. Confirmación del resultado de una evaluación, y que los criterios de evaluación utilizados fueron correctamente aplicados. Emisión de un informe formal […]
  • Certificado
    En un sistema de clave pública, clave pública de un usuario más alguna otra información, todo ello cifrado con la clave privada de la autoridad de certificación, para hacerlo infalsificable. Documento, expedido por la autoridad competente, que concede a un equipo de cifra una determinada habilitación de seguridad.
  • Certificado autoexpedido
    Certificado de clave pública en el que el expedidor y el sujeto son la misma autoridad de certificación (CA). Una CA podría utilizar certificados autoexpedidos, por ejemplo, durante una operación de renovación de clave para pasar la confianza de la clave antigua a la clave nueva.
  • Certificado autofirmado
    Constituye un caso especial de certificados autoexpedidos en los que la clave privada utilizada por la autoridad de certificación (CA) para firmar el certificado corresponde a la clave pública que está certificada en el certificado. Una CA podría utilizar un certificado autofirmado, por ejemplo, para anunciar su clave pública u otra información sobre sus operaciones. […]
  • Certificado cruzado
    Clave pública o certificado de atributo en el que el expedidor y el sujeto/titular son respectivamente dos CA o dos AA diferentes. Las CA y las AA expiden respectivamente certificados cruzados a otras CA o AA como mecanismo para autorizar la existencia de la CA sujeto (por ejemplo, en una jerarquía estricta) o para reconocer […]
  • Certificado de AC
    Certificado para una CA expedido por otra CA.
  • Certificado de Administración Pública
    En España, la Fábrica Nacional de Moneda y Timbre, a través de la Entidad Pública de Certificación CERES hace la distinción de varios tipos de certificado. En el caso del Certificado de Administración pública, corresponde a uno de los sistemas de identificación de las Administraciones Públicas, así como los sistemas de firma electrónica del personal […]
  • Certificado de atributo
    Estructura de datos, firmada digitalmente por una autoridad de atributo, que vincula algunos valores de atributo con información de identificación de su titular.
  • Certificado de atributo autoexpedido
    Certificado de atributo (AC) en el que el expedidor y el sujeto son la misma autoridad de atributo. Una autoridad de atributo podría utilizar un AC autoexpedido, por ejemplo, para publicar información de políticas.
  • Certificado de autenticación
    Información de autenticación en forma de certificado, avalado por una Autoridad de Certificación, que puede ser usado para confirmar la identidad de una entidad. Tiene como finalidad garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. El Certificado de Autenticación asegura que la comunicación electrónica se realiza con la persona que dice que […]
  • Certificado de autoridad
    Certificado expedido a una autoridad (por ejemplo, puede ser a una Autoridad de Certificación o a una Autoridad de Atributo).
  • Certificado de clave pública
    Es la pieza central de la infraestructura PKI, y es la estructura de datos que enlaza la clave pública con los datos que permiten identificar al titular. Su sintaxis, se define empleando el lenguaje ASN.1 (Abstract Syntax Notation One), y los formatos de codificación más comunes son DER (Distinguish Encoding Rules) o PEM (Privacy Enhanced […]
  • Certificado de clave pública
    Clave pública de un usuario, junto con alguna otra información, hecha infalsificable por firma digital con la clave privada de la Autoridad de Certificación que la emitió.
  • Certificado de firma
    El propósito de este certificado es permitir al ciudadano firmar trámites o documentos. Este certificado permite sustituir la firma manuscrita por la electrónica en las relaciones del ciudadano con terceros.
  • Certificado de Persona Física
    El Certificado FNMT de Persona Física, que se emite sin coste a cualquier ciudadano que esté en posesión de su DNI o NIE, es la certificación electrónica expedida por la FNMT-RCM que vincula a su Suscriptor con unos Datos de verificación de Firma y confirma su identidad personal. Este certificado le permitirá identificarse de forma […]
  • Certificado de Representante
    En España, la Fábrica Nacional de Moneda y Timbre, a través de la Entidad Pública de Certificación CERES hace la distinción de varios tipos de certificado. Para el caso de los certificados de representante, existen los siguientes tipos de certificados de Representante: Representante de Administrador Único o Solidario. Representante de Persona Jurídica. Representante de Entidad […]
  • Certificado de revocación
    Certificado de seguridad expedido por una Autoridad de Seguridad para indicar que un determinado certificado de seguridad ha sido revocado.
  • Certificado de seguridad
    Conjunto de datos pertinentes a la seguridad expedida por una Autoridad de Seguridad o tercera parte confiable, junto con información de seguridad que se utiliza para proporcionar servicios de integridad y autenticación de origen de los datos para los datos. Se considera que todos los certificados son certificados de seguridad. Se adopta el término certificado […]
  • Certificado de usuario
    Clave pública de un usuario, junto con alguna otra información adicional, que se hace infalsificable cifrándola con la clave privada de la Autoridad de Certificación que las emite (X.509). A menudo se denomina simplemente Certificado.
  • Certificado digital
    Documento electrónico que permite asociar una clave criptográfica pública a una entidad propietaria de dicha clave, y que está protegido criptográficamente para garantizar su integridad y su autenticidad. Un Certificado Digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o […]
  • Certificado electrónico
    Documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma (clave pública) a un firmante y confirma su identidad. Un certificado electrónico es emitido y firmado por una entidad con capacidad para ello y sirve para identificar a una persona. A esa entidad se le suele llamar […]
  • Certificados de Componente
    En España, la Fábrica Nacional de Moneda y Timbre, a través de la Entidad Pública de Certificación CERES hace la distinción de varios tipos de certificado. En el caso del Certificado de Componente, son certificados electrónicos para la identificación de servidores o aplicaciones informáticas, heredando la confianza de la FNMT-RCM como Autoridad de Certificación.
  • Certificados de empresa
    En el caso de personas jurídicas, es decir, empresas, se requiere el uso de otro tipo de certificados electrónicos para relacionarse con las Administraciones Públicas, relaciones que deben ser obligatoriamente electrónicas, a diferencia de los ciudadanos que pueden elegir si se comunican con las Administraciones Públicas o no. Podemos diferenciar tres tipos de certificados digitales […]
  • Certificados reconocidos
    Son los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten. Los certificados reconocidos incluirán, al menos, los […]
  • CFB Cipher Feedback Mode
    Modalidad de cifrado de bloques que realimenta el texto cifrado, o parte del mismo para ser nuevamente cifrado operando el resultado o-exclusivo con el texto el claro, para obtener el siguiente bloque del texto cifrado. Si se realimentan n bits, el cifrado se denomina en modo realimentado de n bits. Su aplicación más frecuente se […]
  • CHAP Challenge-Handshake Authentication Protocol
    Protocolo de reto-respuesta por el que el receptor del reto es capaz de generar una respuesta válida, sólo si es quien dice ser. El reto debe cambiarse continuamente, sin repeticiones, para evitar ataques de «replay».
  • Ciberamenaza
    Amenaza a los sistemas y servicios presentes en el ciberespacio o alcanzables a través de éste.
  • Ciberataque
    Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan. Uso del ciberespacio para atacar a los sistemas y servicios presentes en el mismo o alcanzables a […]
  • Ciberdefensa
    Concepto que engloba todas las actividades ofensivas y defensivas en las que se utilizan como medio aquellos relacionados con las infraestructuras TIC (por ejemplo, redes de ordenadores, ordenadores, programas informáticos, etc.), y cuyo “campo de batalla” es el Ciberespacio. Las actividades de desarrollo de la ciberdefensa van encaminadas hacia la capacitación de los gobiernos y […]
  • Ciberdelincuencia
    Actividades delictivas llevadas a cabo mediante el empleo del ciberespacio, ya sea para dirigirlas hacia los sistemas y servicios presentes en el mismo o alcanzables a través de él.
  • Ciberdelito
    Actividad delictiva que emplea el ciberespacio como objetivo, herramienta o medio. Algunos ejemplos de ciberdelitos: fraude, suplantación de personalidad, robo, crimen organizado, etc..
  • Ciberespacio
    Dominio global y dinámico compuesto por infraestructuras de tecnología de la información, incluyendo internet, redes de telecomunicaciones y sistemas de información. Espacio virtual que engloba todos los sistemas TIC, tanto sistemas de información como sistemas de control industrial. El ciberespacio se apoya en la disponibilidad de Internet como red de redes, enriquecida con otras redes […]
  • Ciberguerra
    Lucha armada (en este caso las armas son las TIC) entre dos o más naciones o entre bandos de una misma nación, en la que se utiliza el Ciberespacio como campo de batalla.
  • Ciberincidente
    Incidente relacionado con la seguridad de las TIC que se produce en el Ciberespacio. Este término engloba aspectos como los ataques a sistemas TIC, el fraude electrónico, el robo de identidad, el abuso del Ciberespacio, etc.
  • Ciberinfraestructura
    Agregado de sistemas, procesos y personas que constituyen el ciberespacio.
  • Ciberseguridad
    Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y la información que manejan. Conjunto de actuaciones orientadas a asegurar, en la medida de lo posible, las redes y sistemas de que constituyen el ciberespacio: Detectando y enfrentándose a intrusiones. Detectando, reaccionando […]
  • Ciberterrorismo
    El ciberterrorismo o terrorismo electrónico es el uso de medios de tecnologías de información, comunicación, informática, electrónica o similar con el propósito de generar terror o miedo generalizado en una población, clase dirigente o gobierno, causando con ello una violación a la libre voluntad de las personas. Los fines pueden ser económicos, políticos o religiosos […]
  • Ciclo de Deming
    Ciclo de gestión de procesos en cuatro etapas, atribuido a Ed-ward Deming. Plan-Do-Check-Act es también conocido como el Ciclo de Deming: PLAN: diseñar o revisar procesos que soportan servicios de TI. DO: implementación del Plan y gestión de los Procesos. CHECK: medición de los procesos y de los servicios de TI, comparación con los objetivos […]
  • Cifra de clave pública
    Véase Criptografía de clave pública.
  • Cifra de clave secreta o cifra simétrica
    Sistema en el que las claves para cifrar son iguales a las de descifrar, y en el que la totalidad o la mayor parte de las claves permanecen en secreto (clave secreta).
  • Cifra en serie o en flujo
    Procedimiento de cifrado por sustitución en el que a cada carácter del texto en claro se le suma un carácter de la serie cifrante para obtener el texto cifrado. Si la serie cifrante es independiente del texto claro, se denomina síncrona, mientras que si un número determinado de caracteres de la serie cifrante son función […]
  • Cifra encubierta
    Procedimientos encaminados a ocultar la existencia de un mensaje (tintas invisibles, micropunto, disimulación de archivos…).
  • Cifra estratégica o de alto nivel
    Cifra orientada a proporcionar confidencialidad durante un largo periodo de tiempo, aún ante criptoanálisis con medios especializados.
  • Cifra simétrica
    Veáse Criptografía de clave secreta.
  • Cifra táctica o de bajo nivel
    Cifra orientada a proporcionar confidencialidad durante un tiempo limitado.
  • Cifrado
    Proceso para convertir información en un formato ilegible, a excepción de los titulares de una clave criptográfica específica. El cifrado se utiliza para proteger la información entre el proceso de cifrado y el proceso de descifrado (lo contrario del cifrado) de la divulgación no autorizada. Cifrado o cifra, escritura en que se usan signos, guarismos […]
  • Cifrado a nivel de enlace
    Aplicación individual de cifrado de datos en cada enlace de un sistema de comunicación. Cifrado de información realizado en el segundo nivel (enlace) del modelo OSI (Open System Interconnection). En este cifrado tanto el propio mensaje, obtenido en el nivel de aplicación, como los datos añadidos en los niveles comprendidos entre el sexto (presentación) y […]
  • Cifrado analógico de voz
    Procedimiento impropiamente llamado cifrado, consistente en alterar alguna de las características de la señal eléctrica resultante de la audible. Por ejemplo, se pueden invertir las frecuencias de dicha señal, o dividir la banda de frecuencias y permutar las subbandas entre sí, o realizar una multiplexación en el tiempo de la misma.
  • Cifrado asimétrico
    Aquel basado en técnicas criptográficas asimétricas, cuya clave pública se usa para cifrar y cuya clave privada se emplea para descifrar. Es término sinónimo de «criptosistema de clave pública».
  • Cifrado autenticado
    Transformación de los datos con el objetivo de proteger la confidencialidad y la integridad, así como de garantizar el origen de los datos.
  • Cifrado autoclave
    Cifrado de flujo que utiliza como serie cifrante una sucesión de símbolos predeterminada seguidos, o bien de los símbolos del propio texto en claro, o bien de los que se van obteniendo del texto cifrado. En aquel caso, el algoritmo se denomina primer cifrado de Vigenère (Blaise de Vigenère, 1523-1596) y en éste, segundo cifrado […]
  • Cifrado autosíncrono
    Cifrado de flujo que utiliza una serie cifrante tal que cada uno de sus símbolos se obtiene a partir de un cierto número de símbolos previos del texto en claro.
  • Cifrado de archivos
    Técnica o tecnología (ya sea software o hardware) para cifrar todo el contenido de archivos específicos.
  • Cifrado de columnas en bases de datos
    Técnica o tecnología (ya sea software o hardware) para cifrar el contenido de una columna específica de una base de datos y no todo el contenido de toda la base de datos.
  • Cifrado de disco
    Técnica o tecnología (ya sea de software o hardware) que se utiliza para cifrar todos los datos almacenados en un dispositivo (por ejemplo, un disco duro o una unidad flash). También se utiliza el cifrado a nivel de archivo y el cifrado de bases de datos a nivel de columna para cifrar el contenido de […]
  • Cifrado de enlace
    Cifrado de la información que circula por un enlace.
  • Cifrado de enlace a enlace (link-by-link)
    Cifrado existente en una red en la que la información circula cifrada por los enlaces de la red y en claro por sus nodos.
  • Cifrado de flujo
    Algoritmo de cifra que opera sobre el texto en claro símbolo a símbolo (sea éste un bit o un carácter), por contraste con el modo de operar del cifrado de bloque. Habitualmente esta operación es un simple o-exclusivo entre un símbolo en claro y uno de la clave (serie cifrante), en cuyo caso este cifrado […]
  • Cifrado de flujo síncrono
    Cifrador de flujo en el que la serie de símbolos de cifra depende exclusivamente de la clave, siendo independiente del texto en claro o del texto cifrado.
  • Cifrado de grupo
    Cifrado simultáneo de todos los canales del multicanal de un enlace.
  • Cifrado enlace por enlace
    Aplicación individual del cifrado a datos en cada enlace de un sistema de comunicación. Véase también cifrado de extremo a extremo.
  • Cifrado extremo a extremo
    Cifrado de información entre los extremos emisor y receptor del canal de transmisión. Más concretamente, se denomina así al cifrado realizado en los niveles superiores (aplicación o presentación) del modelo OSI. Presenta la ventaja de no precisar el descifrado al atravesar los sucesivos nodos de la red. Cifrado de datos en el extremo origen de […]
  • Cifrado irreversible
    Aquél basado en un algoritmo irreversible. Se emplea, principalmente, para almacenar de manera segura contraseñas de usuarios de un sistema. Últimamente se usa también para la generación de contraseñas desechables.
  • Cifrado masivo
    Proceso de cifrado en el cual un único dispositivo criptográfico cifra dos o más canales de un sistema de telecomunicación.
  • Cifrado reversible
    Aquél basado en un algoritmo invertible en algún sentido. En ocasiones, como el caso del cifrado asimétrico, el algoritmo inverso se obtiene con el concurso de un parámetro, clave privada, distinto del empleado para el algoritmo directo, clave pública. En el cifrado simétrico, el mismo parámetro, denominado clave secreta, se emplea para el algoritmo directo […]
  • Cifrado reversible
    Sinónimo de Algoritmo reversible.
  • Cifrado simétrico
    Algoritmo de cifra basado en una función invertible, tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clave secreta. También recibe este nombre aquel algoritmo de cifra que depende de un parámetro diferente del de su inverso, pero tal que el conocimiento de uno permite, en un tiempo […]
  • Cifrado Vernam
    Cifrado de flujo que usa una clave constituida por una sucesión de símbolos (bits o caracteres) llamada serie cifrante, operando o-exclusivo cada símbolo de ésta con el correspondiente del texto en claro. Debido a la definición de la función o exclusivo, el descifrado se realiza, igualmente, operando con dicha función cada bit de la misma […]
  • Cifrador
    Sistema de cifrado.
  • Cifrar
    Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje cuyo contenido se quiere ocultar.
  • Cl@ve
    Cl@ve es un sistema orientado a unificar y simplificar el acceso electrónico de los ciudadanos a los servicios públicos. Su objetivo principal es que el ciudadano pueda identificarse ante la Administración mediante claves concertadas (usuario más contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios. Cl@ve complementa los actuales sistemas de […]
  • Clasificación
    Procedimiento(s) a seguir para establecer el nivel de clasificación bajo el que se tratará una cierta información. Ejecución de los procedimientos de clasificación de la información, por los que se le asigna un cierto nivel de protección. Asignación de un nivel de sensibilidad (sea de confidencialidad o de integridad) a una información, dispositivo o equipo […]
  • Clasificación de la información
    La Organización dispone de una normativa adecuada para realizar la clasificación y tratamiento de la información atendiendo a la criticidad de la misma según los criterios más adecuados para su actividad. La normativa de seguridad contempla también los aspectos de parámetros, algoritmos, etc. de los elementos orientados a mantener los requisitos de seguridad.
  • Clave
    Secuencia de caracteres, usualmente dígitos binarios aleatorios o pseudoaleatorios, usados inicialmente para configurar las operaciones realizadas por un equipo de cifra, determinar la señal de salida en dispositivos TRANSEC, o producir otras claves. Secuencia de símbolos que controla las operaciones de cifrado y descifrado.
  • Clave auto-clave
    Procedimiento que utiliza una clave anterior para producir otra clave.
  • Clave criptográfica
    Parámetro usado por un algoritmo para validar, autenticar, cifrar o descifrar un mensaje. Sucesión de símbolos que controlan las operaciones de cifrado y descifrado. Parámetro usado por un algoritmo criptográfico para cifrar y descifrar datos, obtener la firma digital de unos datos, verificar ésta o calcular un código de autenticación de mensajes o una función […]
  • Clave custodiada
    Sistema de gestión de claves que supone la existencia de una institución (pública o privada) confiable que almacenan una clave criptográfica, custodiándola en nombre de su legítimo propietario. Usualmente, el sistema conlleva el uso de claves criptográficas constituidas por dos, o más, componentes, que aisladamente no permiten la reconstrucción de la clave. Cada una de […]
  • Clave de acceso
    Sinónimo de Contraseña.
  • Clave de arranque
    Clave que modifica o desbloquea las claves contenidas en un equipo por lo que, cuando no se prevé la utilización del equipo y dicha clave no está cargada, no se precisa borrar el resto de claves por motivos de seguridad pues el equipo no está activado. Suele estar contenida en un módulo de claves.
  • Clave de cifrado de claves
    Clave criptográfica que se emplea para cifrar otras claves. Es de utilidad en la protección de estas últimas sea durante su almacenamiento o transmisión. Es término sinónimo de clave maestra.
  • Clave de sesión
    Clave criptográfica que se usa sólo durante un tiempo limitado. Generalmente, es transportada a través de una red de transmisión cifrada bajo otra clave. Clave, habitualmente generada de forma aleatoria y transmitida en claro o cifrada a través de la línea al principio del mensaje, que modifica las claves cargadas en el equipo o determina […]
  • Clave débil
    Valor particular de una clave criptográfica de la que resulta un criptosistema más vulnerable que el obtenido con claves no débiles. Existen también claves débiles para las funciones resumen y los algoritmos de firma digital.
  • Clave efímera
    Dícese de las claves criptográficas de corta duración o que simplemente sólo se usan una vez.
  • Clave fragmentada
    Protocolo de compartición de secretos mediante el cual una Tercera Parte Confiable divide en partes una información secreta inicial y las distribuye de modo seguro a varias entidades, de modo que se cumple que conociendo a partir de un número determinado de dichas partes, umbral, es posible recuperar fácilmente la información secreta mientras que el […]
  • Clave maestra
    Clave criptográfica cuyo cometido es cifrar otras claves durante la transmisión de las mismas, o bien durante su almacenamiento. Clave de menor jerarquía que la clave estructural, pero de máxima jerarquía entre las que se cambian.
  • Clave para envolver claves
    Cómo proteger una clave con otra para proteger su seguridad.
  • Clave privada
    En un criptosistema asimétrico, clave criptográfica de un usuario conocida por el mismo. La denominación de secreta para esta clave está en desuso, pues da lugar a confusión con la clave de los criptosistemas simétricos denominada, con más propiedad, secreta. Clave que se utiliza con un algoritmo criptográfico asimétrico y cuya posesión está restringida (usualmente […]
  • Clave pública
    En un critposistema de claves públicas, clave de un par de claves de usuario que es conocida públicamente. En un criptosistema asimétrico, clave criptográfica de un usuario que se hace de público conocimiento. Clave que se utiliza con un algoritmo criptográfico asimétrico y que puede estar disponible públicamente.
  • Clave secreta
    En un criptosistema simétrico, clave criptográfica compartida por dos entidades. Clave que se utiliza con un algoritmo criptográfico simétrico. La posesión de una clave secreta está restringida (usualmente a dos entidades).
  • Clave simétrica
    Clave secreta que se usa en criptografía de secreto compartido (criptografía simétrica).
  • Claves encapsuladas
    Técnica utilizada para recuperar claves de cifra. Consiste en proteger una clave criptográficamente de forma que una tercera persona pueda recuperarla.
  • CMAC Authentication Mode
    Mecanismo de autenticación de mensajes basado en el empleo de un elemento cifrador.
  • CMS Cryptographic Message Syntax
    Formato estándar que se emplea para firmar electrónicamente, transportar resúmenes, autenticar a las partes o cifrar datos.
  • Codificación segura
    El proceso de creación e implementación de aplicaciones resistentes a alteración y/o exposición a riesgos.
  • Codificar
    Transformar mediante las reglas de un código la formulación de un mensaje.
  • Código
    Conjunto de reglas que transforman los elementos de un conjunto de símbolos en los elementos de otro. Los símbolos pueden ser bits, caracteres o ristras de ambos. A diferencia de la cifra, que es función al menos de una clave criptográfica, esta transformación no depende más que de los símbolos. A pesar de ello, algunos […]
  • Código de autenticación de mensajes
    Campo de datos (código) usado para validar la fuente y parte, o todo, del texto de un mensaje. El código es el resultado de una operación preconvenida. Valor de verificación criptográfico usado como mecanismo de integridad de datos. Sucesión de bits obtenidos de un conjunto de datos (en claro o cifrados) con el concurso de […]
  • Código de detección de errores
    Valor derivado de unos datos que consiste en una información adicional que permite detectar alteraciones accidentales de la información, sin llegar a poder corregirla.
  • Código malicioso
    Software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado propósito de ser perjudicial.
  • Código móvil
    Los programas o partes de programas descargados de sistemas remotos a través de una red, y que se ejecuta en un sistema de información local sin necesidad de instalación explícita parte del usuario. Algunos ejemplos de tecnologías relacionadas: Java, JavaScript, ActiveX y VBScript.
  • Colisión
    Situación que se produce cuando una función hash, operando sobre entradas distintas, genera una misma salida. Puede ser de dos tipos: Débil: cuando dado un mensaje se encuentra otro que produce el mismo hash. Fuerte: cuando se encuentra una pareja de mensajes que producen el mismo hash.
  • Comité de Seguridad de la Información
    Órgano colegiado que coordina las actividades de la organización en materia de Seguridad de la Información. En particular asume los roles de Responsable de la Información y Responsable de los Servicios.
  • COMP128-1
    Algoritmo propietario utilizado en los primeros módulos SIM de telefonía GSM. Es un conjunto de algoritmos «hash» para generar una respuesta a un reto de identificación y para generar una clave de sesión.
  • Compartimento
    Agrupación de información sensible que comparte unos ciertos requisitos de protección frente al acceso no autorizado.
  • Compatibilidad electromagnética
    La aptitud de un dispositivo, de un aparato o de un sistema para funcionar de forma satisfactoria en su entorno electromagnético, sin producir por sí mismo perturbaciones electromagnéticas intolerables en otros aparatos que se encuentren en dicho entorno. REAL DECRETO 444/1994, de 11 de marzo, por el que se establece los procedimientos de evaluación de […]
  • Comprometer
    Soslayar o violar los mecanismos o procedimientos de seguridad de un sistema, recurso o activo con el resultado de desproteger a los mismos.
  • Compromiso de seguridad
    Resultado de un incumplimiento o violación de las medidas de seguridad, por el que determinada información ha quedado desprotegida. Documento en el que una persona reconoce haber sido instruida en las medidas de seguridad vigentes y se compromete a aplicarlas.
  • COMPUSEC
    Sinónimo de Seguridad de los ordenadores.
  • Concentrador
    Elemento de red en el que se concentra el tráfico antes de ser distribuido a los sistemas conectados a la red.
  • Concepto de operación
    Declaración expresa que realiza el AOSTIC sobre el objeto o función del Sistema, el tipo de información que va a ser manejada, las condiciones de explotación (perfil de seguridad de los usuarios, clasificación de la información, modo de operación, etc.), y las amenazas a las que estará sometido.
  • Concienciación en seguridad
    Actividad continuada y recurrente en la que todas las personas relacionadas con el Sistema de Información se familiarizan con los aspectos de seguridad del mismo a fin de que no provoquen fallos gratuitos por ignorancia, descuido o negligencia. La concienciación incluye conocer cual es el funcionamiento correcto, identificar comportamientos anómalos y saber cómo reportar lo […]
  • Confianza
    Se dice que A confía en B cuando A presume que B se comportará de una determinada forma. La confianza suele estar limitada a una determinada función de B y no necesariamente se extiende a otras funciones. Se dice que la entidad X confía en la entidad Y para un conjunto de actividades solamente si […]
  • Confidencialidad
    Propiedad de la información que se mantiene inaccesible y no se revela a individuos, entidades o procesos no autorizados. Principio de seguridad que requiere que los datos deberían únicamente ser accedidos por el personal autorizado a tal efecto. Propiedad de los elementos esenciales de ser accesibles sólo para los usuarios autorizados cuando éstos lo requieran. […]
  • Confidencialidad de los datos
    Este servicio se puede utilizar para obtener la protección de los datos frente a buscadores no autorizados. El servicio de confidencialidad de datos está soportado por un marco de autenticación. Se puede utilizar para la protección contra la interceptación de datos.
  • Confidencialidad del tráfico de datos
    Servicio de confidencialidad que protege frente al análisis del tráfico.
  • Configuración
    Término genérico usado para describir un grupo de elementos de configuración que actúan o funcionan juntos para proveer un Servicio de TI, o un subconjunto representativo de un Servicio de TI. El término Configuración también se usa para describir los parámetros y ajustes realizados en uno o más CI.
  • Conformidad
    Aseguramiento de que se sigue un estándar o conjunto de directrices, o de que se emplean unas prácticas de seguimiento adecuadas y consistentes. Cumplimiento de un requisito.
  • Confusión
    Propiedad de un algoritmo criptográfico tal que la frecuencia de aparición de los símbolos cifrados no revela ninguna información sobre los símbolos en claro de los que proceden. De esta manera, las propiedades estadísticas de los símbolos del lenguaje en claro no proporcionan ninguna información al criptoanalista. Técnica destinada a ocultar la relación entre el […]
  • Conocimiento cero
    Protocolo que permite demostrar el conocimiento de un secreto sin revelar información alguna relativa al mismo.
  • Conocimiento parcial
    Método mediante el cual dos o más entidades separadas poseen componentes de una clave, pero que, de forma individual, no pueden descifrar la clave criptográfica resultante. Condición bajo la cual dos o más partes, separada y confidencialmente, custodian los componentes de una clave criptográfica. Dichos componentes, aisladamente, no permiten conocer esta última. Propiedad de un […]
  • Consecuencia
    Resultado de un suceso que afecta a los objetivos. Un suceso puede conducir a una serie de consecuencias. Una consecuencia puede ser cierta o incierta y normalmente es negativa en el contexto de la seguridad de la información. Las consecuencias se pueden expresar de forma cualitativa o cuantitativa. Las consecuencias iniciales pueden convertirse en reacciones […]
  • Constructor de virus
    Es un programa malicioso que permite crear nuevos virus sin necesidad de tener conocimientos de programación, mediante una interfaz a través de la cual se eligen las características del malware creado: tipo, efectos, archivos que infectar, encriptación, polimorfismo, etc..
  • Contenido activo
    Programa empotrado en una página web. Cuando se accede a la página con un navegador, dicho programa se descarga y ejecuta automáticamente en el equipo del usuario. Ejemplos: applets java, ActiveX.
  • Continuidad
    Prevenir, mitigar y recuperarse de una interrupción. Los términos «planear la reanudación del negocio», «planear la recuperación después de un desastre» y «planear contingencias» también se pueden usar en este contexto; todos se concentran en los aspectos de recuperación de la continuidad.
  • Contramedida
    Puede ser usado para referirse a algún tipo de control. El término Contramedida es muy usado cuando se refiere a medidas que incrementan la Resistencia, Tolerancia a fallos o Confiabilidad de un Servicio TI.
  • Contraseña
    Seña secreta que permite el acceso a algo, a alguien o a un grupo de personas antes inaccesible. Palabra o signo que, juntamente con el santo y seña, asegura el mutuo reconocimiento de personas, rondas y centinelas. Información confidencial, a menuco compuesta de una cadena de caracteres, que puede ser usada en la autenticación de […]
  • Contraseña de un solo uso
    Sinónimo de Contraseña desechable.
  • Contraseña desechable
    Datos usados como medio de autenticación, cuyo uso no se repite más de una vez. Habitualmente el ordenador ante el que se desea autenticar un usuario le lanza una pregunta (en ocasiones conocida como reto), diferente de vez en vez, constituida por un conjunto de caracteres numéricos obtenidos por un generador de números seudoaleatorios. Estos […]
  • Contraseña predeterminada
    Contraseña de las cuentas de usuario, servicio o administración de sistemas predefinidas en un sistema, aplicación o dispositivo asociado con la cuenta predeterminada. Las contraseñas y cuentas predeterminadas son de dominio público y, en consecuencia, es fácil averiguarlas.
  • Control
    Medida que modifica un riesgo. Los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen un riesgo. Un medio de gestión de riesgo, asegurando que el Objetivo de Negocio es alcanzado, o asegurando que un proceso es seguido. Ejemplos de controles incluyen políticas, procedimientos, roles, RAID, door-locks, etc.. Un control es llamado, […]
  • Control de acceso
    Medios para asegurar que el acceso a los activos está autorizado y restringido en función de los requisitos de negocio y de seguridad. Mecanismo que limita la disponibilidad de información o de los recursos necesarios para su procesamiento sólo a personas o aplicaciones autorizadas. El proceso que limita y controla el acceso a los recursos […]
  • Control de acceso basado en atributos
    Control de acceso que se basa en atributos relacionados con sujetos, objetos, objetivos, iniciadores, recursos, o con el entorno. Una regla de control de acceso permite o deniega el acceso en base a un conjunto de valores de los atributos.
  • Control de acceso basado en identidad
    Control de acceso basado en la identidad del usuario. Típicamente se emplea alguna característica del proceso que requiere el acceso actuando en nombre del usuario final. Los derechos de acceso se conceden en base a la identidad declarada.
  • Control de acceso basado en reglas
    Control de acceso definido por medio de reglas que se imponen a los que acceden.
  • Control de acceso discrecional
    Procedimiento para restringir el acceso a los objetos de un sistema basado en la identidad de los sujetos. El control se denomina discrecional, pues un sujeto con ciertos derechos de acceso puede pasar éstos, quizás indirectamente y siempre que no lo impida un control de acceso obligatorio, a otro sujeto cualquiera (TCSEC). Se instrumenta para […]
  • Control de acceso obligatorio
    Procedimiento para restringir el acceso a los objetos de un sistema. Está basado en la sensibilidad de la información contenida o tratada en éstos (expresada en una etiqueta de seguridad) y la autorización (denominada habilitación) de los sujetos que pretenden acceder (TCSEC). Se instrumenta para aplicar una política de seguridad basada en reglas. Modelo de […]
  • Control de acceso por roles
    Método de control de acceso en el que los derechos concedidos a un usuario dependen del role (o roles) a los que esté adscrito.
  • Control de configuración
    En términos de Transición del Servicio, se trata de la actividad responsable de asegurar que la adición, modificación o eliminación de un CI se gestiona adecuadamente, por ejemplo enviando una petición de cambio o una petición de servicio. Sistema de control de cambios de los objetos durante el desarrollo, producción y mantenimiento del Objeto de […]
  • Control de detección
    Un control que se usa para identificar eventos (indeseables o deseados), errores u otras ocurrencias con efecto material sobre un proceso o producto final, de acuerdo a lo definido por la empresa. Control utilizado para identificar incidentes o errores que la organización ha determinado como de interés en base a que hay posibles consecuencias en […]
  • Control de encaminamiento
    Aplicación de las reglas oportunas durante el proceso de encaminamiento para escoger o evitar determinadas redes, enlaces o repetidores. Es un control de utilidad cuando se sospecha el compromiso de alguno de los elementos citados. Aplicación de reglas durante el proceso de encaminamiento con el fin de elegir o evitar redes, enlaces o relevadores específicos.
  • Control de gestión
    Controles o salvaguardas de un sistema de información relacionados con la gestión de riesgos y de la seguridad de la información.
  • Control dual
    Proceso que consiste en utilizar dos o más entidades distintas (por lo general, personas) de manera coordinada para proteger funciones o información confidenciales. Ambas entidades son igualmente responsables de la protección física de los materiales que intervienen en transacciones vulnerables. Ninguna persona tiene permitido obtener acceso a o utilizar estos materiales (por ejemplo, la clave […]
  • Control general
    Control que afecta al funcionamiento global de la organización. También conocido como Control General de TI. Un control que se aplica al funcionamiento general de los sistemas de TI de la organización y a un conjunto amplio de soluciones automatizadas (aplicaciones).
  • Control interno
    Conjunto de políticas, procedimientos y estructuras organizativas diseñado para garantizar que se alcanzarán los objetivos de negocio, así como que los potenciales incidentes serán evitados o detectados y corregidos. Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos […]
  • Control operativo
    Controles o salvaguardas de seguridad implementados y ejecutados por medio de personas. Se diferencias de los controles técnicos o automatizados.
  • Control preventivo
    Un control interno que se usa para prevenir eventos indeseables, errores u otras ocurrencias que pudieran tener un efecto material negativo sobre un proceso o producto final, de acuerdo a la organización.
  • Control técnico
    Salvaguarda o contramedida que básicamente está implementada con medios técnicos (equipos o programas).
  • Controles de compensación
    Es posible que los controles de compensación se consideren cuando una entidad no puede cumplir un requisito de manera explícita según lo establecido, debido a limitaciones técnicas legítimas o comerciales documentadas, pero ha mitigado de manera suficiente el riesgo asociado con el requisito a través de la implementación de controles. Los controles de compensación deben: […]
  • Cookie
    Pequeña cantidad de información que se le manda al navegador del cliente y que permite que éste quede identificado en conexiones sucesivas.
  • Copia de seguridad
    Copia duplicada de datos que se realiza con el fin de archivarla o protegerla de daños o pérdidas. En Diseño del Servicio y Operación del Servicio, se trata de copiar los datos para proteger los originales de pérdidas de Integridad o Disponibilidad. Réplicas de datos que nos permiten recuperar la información original en caso de […]
  • Corrección
    Cumplimiento de las exigencias de seguridad desde el punto de vista de construcción del sistema, incluyendo el entorno, el proceso de desarrollo y el funcionamiento del sistema.
  • Correspondencia de políticas
    Reconocimiento de que, cuando una autoridad de certificación en un dominio certifica una autoridad de certificación en otro dominio, una determinada política de certificación en el segundo dominio puede ser considerada por la autoridad del primer dominio como equivalente (pero no necesariamente idéntica en todos los aspectos) a una determinada política de certificado en el […]
  • Cortafuegos
    Tecnología de hardware y/o software que protege los recursos de red contra el acceso no autorizado. Un firewall autoriza o bloquea el tráfico de computadoras entre redes con diferentes niveles de seguridad basándose en un conjunto de reglas y otros criterios. Dispositivo de red físico o lógico que se utiliza para permitir, denegar o analizar […]
  • Cortafuegos de sistema
    Cortafuegos centrado en el control de acceso local de un determinado nodo.
  • Cortafuegos personal
    Cortafuegos de sistema utilizado en estaciones de usuario. Cortafuegos para equipos personales.
  • Cortafuegos transparente
    Propiedad de un equipo cortafuegos que le permite ser «invisible» a los clientes y servidores de la comunicación residiendo en la capa de enlace de datos aunque sea capaz de intervenir a nivel de red.
  • Cortafuegos virtuales
    Plataforma que permite la definición de cortafuegos lógicos o virtuales sobre un solo sistema físico pudiendo implementarse en ellos políticas de seguridad diferentes y ser gestionados individualmente.
  • CPS Declaración de Prácticas de Certificación
    Declaración de las prácticas que aplica una autoridad de certificación para la expedición de certificados.
  • Cracker
    El cracker es una figura emparentada con el hacker. Su conducta va dirigida al acceso a sistemas informáticos de forma no autorizada, del mismo modo que los hackers, y con una finalidad clara: menoscabar la integridad, la disponibilidad y el acceso a la información disponible en dicho sitio web o en el sistema informático. El […]
  • Credencial
    Conjunto de datos transferidos entre entidades para comprobar la identidad alegada por una de ellas. Datos que se transfieren para establecer la identidad alegada de una entidad.
  • Credenciales de autenticación
    Combinación del ID de usuario o ID de la cuenta más el (los) factor(es) utilizado(s) para autenticar a un individuo, dispositivo o proceso.
  • Criptoanálisis
    Análisis de un sistema criptográfico, sus entradas y salidas, o ambas, para obtener variables o datos sensibles, incluyendo el texto en claro. Pasos y operaciones orientadas a transformar un criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la clave. Análisis de un sistema criptográfico y/o sus entradas […]
  • Criptoanálisis diferencial
    Técnica criptoanalítica de tipo estadístico, consistente en cifrar parejas de texto en claro escogidas con la condición de que su producto o-exclusivo obedezca a un patrón definido previamente. Los patrones de los correspondientes textos cifrados suministran información con la que conjeturar la clave criptográfica. Se aplica en los cifrados de tipo DES, aunque es de […]
  • Criptoanálisis lineal
    Técnica criptoanalítica de tipo estadístico, consistente en operar o-exclusivo dos bits del texto en claro, hacer lo mismo con otros dos del texto cifrado y volver a operar o-exclusivo los dos bits obtenidos. Se obtiene un bit que es el resultado de componer con la misma operación dos bits de la clave. Si se usan […]
  • Criptocustodio
    Responsable de la inicialización y la gestión de funciones y módulos criptográficos. Persona designada como responsable de una cuenta cripto.
  • Criptofonía
    Rama de la cifra que trata la voz.
  • Criptófono
    Equipo de cifra que realiza un cifrado digital de la voz. (v. Secráfono).
  • Criptografía
    Disciplina matemática e informática relacionada con la seguridad de la información, particularmente con el cifrado y la autenticación. En cuanto a la seguridad de aplicaciones y redes, es una herramienta para el control de acceso, la confidencialidad de la información y la integridad. Disciplina que estudia los principios, métodos y medios de transformar los datos […]
  • Criptografía cuántica
    Rama incipiente de la criptografía que estudia la aplicación de la mecánica cuántica a la misma. Según el principio de indeterminación de Heisenberg toda medida en un canal –por ejemplo, una interceptación- por el que circulan fotones provoca perturbaciones que delatan dicha medida. De esta manera, se pueden intercambiar claves secretas, para ser usadas en […]
  • Criptografía de clave pública
    Sistema en el que las claves para cifrar son distintas a las de descifrar, y en el que parte de las claves son conocidas (clave pública de cada usuario), y otra parte permanece en secreto (clave privada de cada usuario). Se basa en problemas criptográficos.
  • Criptografía de clave secreta
    Sistema en el que las claves para cifrar son iguales a las de descifrar, y en el que la totalidad o la mayor parte de las claves permanecen en secreto (clave secreta).
  • Criptografía de clave secreta
    Véase Criptografía de clave secreta.
  • Criptografía de curvas elípticas
    ECC (Elliptic Curve Cryptography), método de criptografía de clave pública basado en curvas elípticas sobre campos finitos.
  • Criptografía robusta
    Veáse Criptografía sólida.
  • Criptografía sólida
    Criptografía basada en algoritmos probados y aceptados por la industria, extensiones de clave sólidas (mínimo de 112 bits de solidez efectiva de clave) y prácticas adecuadas de administración de claves. La criptografía es un método de protección de datos e incluye tanto cifrado (reversible) como hashing (no reversible o de un solo uso). Algunos ejemplos […]
  • Criptograma
    Texto cifrado formateado y listo para su transmisión. Aunque usualmente se considera sinónimo de texto cifrado, este último enfatiza el simple resultado de cifrar sin ulterior preparación para la transmisión, mientras que criptograma pone el acento en la transmisión (como ocurre con telegrama). En la actualidad es un término que está cayendo en desuso. Texto […]
  • Criptología
    Estudio de los sistemas, claves y lenguajes ocultos o secretos. Ciencia que estudia los principios, métodos y medios del cifrado y descifrado de la información. Comprende dos ramas principales: la Criptografía y el Criptoanálisis. Ciencia que estudia la ocultación, disimulación o cifrado de la información, así como el diseño de sistemas que realicen dichas funciones, […]
  • Criptológico
    Perteneciente o relativo a la criptología.
  • Criptólogo
    Persona especialista en criptología, generalmente en el campo de la cifra.
  • Criptosistema
    Véase Sistema criptográfico.
  • Criptosistema cuántico
    Criptosistema basado en aspectos de la física cuántica, utilizando la transmisión de fotones.
  • Criptosistema de uso único (One-Time-Cryptosystem)
    Criptosistema que utiliza las claves una sola vez.
  • Criptosistema electrónico
    Criptosistema en que el equipo de cifra es electrónico.
  • Criptosistema manual
    Criptosistema que carece de equipo de cifra, siendo sustituido por una serie de operaciones efectuadas manualmente.
  • Criptosistema mecánico
    Criptosistema en que el equipo de cifra es mecánico.
  • Criptosistema probabilístico
    Criptosistema basado en que al cifrar un mismo mensaje, con la misma clave, no se obtiene siempre el mismo mensaje cifrado.
  • Criterios comunes
    Este estándar, los Criterios Comunes (CC), tiene como finalidad el ser usado como base para la evaluación de las propiedades de seguridad de los productos y sistemas de Tecnologías de la Información (TI). Estableciendo esta base de criterios comunes, los resultados de una evaluación de seguridad de TI será significativa para una mayor audiencia. Los […]
  • Criterios de evaluación de riesgos
    Términos de referencia que permiten evaluar la importancia de los riesgos. Los criterios de evaluación pueden incluir los costes y los beneficios asociados, los requisitos legales o reglamentarios, los aspectos socioeconómicos y ambientales, las preocupaciones de las partes interesadas, las prioridades y otros datos utilizados en la evaluación de los riesgos.
  • Criterios de riesgo
    Términos de referencia respecto a los que se evalúa la importancia de un riesgo. Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto externo e interno. Los criterios de riesgo se pueden obtener de normas, leyes, políticas y otros requisitos.
  • CRL Completa
    Lista íntegra de todos los certificados revocados en un momento dado, en un cierto ámbito. Lista de revocación de certificados completa. Lista de revocación completa que contiene asientos para todos los certificados que han sido revocados en un ámbito determinado.
  • CRL Incremental
    Fragmento de una lista de revocación (CRL). La fragmentación se hace de tal forma que sólo incorpore los cambios respecto de la versión anterior. De esta forma se ahorra tiempo y volumen de transmisión, a costa de que el verificador debe guardar copia de las deltas previas. lista de revocación de certificados-delta (dCRL, delta-CRL). Lista […]
  • CRL Indirecto
    Lista de revocación que contiene, al menos, información de revocación de certificados emitidos por entidades diferentes de la que emite la lista de revocación en consideración. Lista de revocación de certificados indirecta. Lista de revocación que contiene por lo menos información de revocación sobre certificados expedidos por autoridades distintas de la que expidió esta lista […]
  • Cross Site Scripting XSS
    Véase Lenguaje de comandos entre distintos sitios XSS.
  • Cross-site Request Forguery CSRF
    Véase Falsificación de solicitudes entre distintos sitios CSRF.
  • Cross-zone Scripting
    Vulnerabilidad de un navegador www consistente en que páginas web con código ejecutable (scripts) ejecutan este en una zona de seguridad que no le corresponde, aprovechando que la página se abre en una zona privilegiada. Se trata de un problema de escalado de privilegios.
  • Cryptoki
    Una interfaz de programación para servicios criptográficos.
  • CTR Cifrado Modo con Contador
    Al igual que el modo OFB, el modo CTR transforma un algoritmo de cifrado por bloques en un algoritmo de cifrado de flujo. La máscara de cifrado se genera cifrando un contador. Además de las ventajas del modo OFB, permite un acceso aleatorio a la información.
  • Cuadro de mando integral
    CMI (Cuadro de Mando Integral CMI o BSC Balanced Scorecard) fue presentado en el número de Enero/Febrero de 1992 de la revista Harvard Business Review, en base a un trabajo realizado para una empresa de semiconductores. La empresa en cuestión era Analog Devices Inc.. Sus autores, Robert S. Kaplan y David P. Norton, plantean que […]
  • Cuarentena
    Dicho término, originalmente, fue utilizado para determinar el aislamiento de un virus biológico o un ente infectado por él. Tiempo más tarde, con la aparición de virus informáticos, algunos productos antivirus comenzaron a usar dicho término para indicar que un archivo infectado haba sido aislado del resto del sistema. Esto es útil cuando nuestro antivirus […]
  • Cuentas predeterminadas
    Cuenta de inicio de sesión que se encuentra predefinida en un sistema, aplicación o dispositivo que ermite obtener acceso por primera vez al momento en que el sistema comienza a funcionar. El sistema también puede generar cuentas predeterminadas adicionales como parte del proceso de instalación.
  • Curva elíptica
    Función matemática que cuando se aplica sobre campos finitos proporciona un medio adecuado sobre el que se pueden implementar algoritmos de cifra de clave pública.
  • CVSS
    Acrónimo de “Common Vulnerability Scoring System” (sistema de puntaje de vulnerabilidad común). Un estándar abierto y neutro de la industria para los proveedores cuya finalidad es transmitir la gravedad que presentan las vulnerabilidades en la seguridad de un sistema informático y ayudar a determinar tanto la urgencia como la prioridad de la respuesta.
  • Cyberslacking
    Véase Perder el tiempo.
  • Datos
    Información codificada de alguna manera para poder recuperar su significado.
  • Datos confidenciales de autenticación
    Información de seguridad (como por ejemplo códigos o valores de validación de tarjetas, datos completos de la pista [de la banda magnética o su equivalente en un chip], PIN y bloqueos de PIN) utilizada en la autenticación de titulares de tarjetas o en la autorización de transacciones realizadas con tarjeta de pago.
  • Datos de carácter personal
    Cualquier información concerniente a personas físicas identificadas o identificables. LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. (Vigente hasta el 14 de enero de 2000).
  • Datos de creación de firma
    Son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica.
  • Datos de verificación de firma
    Son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.
  • DDS – Estándar estadounidense de firma digital
    Procedimiento de firma digital elevado a la categoría de estándar federal con el nombre de Digital Signature Standard y más conocido por sus siglas DSS. Está basado en el algoritmo de El Gamal, pero el hecho de no poder ser utilizado para cifrar información (a diferencia del algoritmo RSA que puede ser usado para firmar […]
  • Declaración de aplicabilidad
    Documento formal en el que, para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido.
  • Declaración de práctica de certificación
    Véase CPS – Declaración de Prácticas de Certificación.
  • Declaración de requisitos de seguridad
    Es el documento base para la acreditación. Consiste en la exposición completa y detallada de los principios de seguridad que deben observarse y de los requisitos de seguridad que se han de implantar conforme al correspondiente análisis de riesgos realizado previamente.
  • Declaración de requisitos de seguridad de la interconexión
    Documento base para la acreditación de la interconexión de sistemas. Consiste en la exposición completa y detallada de los principios de seguridad que deben observarse en la interconexión, y de los requisitos de seguridad que se han de implantar conforme al correspondiente análisis de riesgos realizado previamente.
  • Declaración de seguridad
    Conjunto de requisitos de seguridad y especificaciones utilizados como base de la evaluación de un TOE (Target of Evaluation) identificado.
  • Defecto en programas
    Vulnerabilidad en el diseño o en la implementación. Un defecto puede no ser detectado durante años y de repente aparecer en un sistema en producción con graves consecuencias.
  • Defento en profundidad
    Estrategia de protección consistente en introducir múltiples capas de seguridad que permitan reducir la probabilidad de compromiso en caso de que una de las capas falle y en el peor de los casos minimizar el impacto.
  • Delegación
    Envío de un privilegio desde una entidad que tiene dicho privilegio a otra entidad.
  • Delegar
    Dicho de una persona: dar la jurisdicción que tiene por su dignidad u oficio a otra, para que haga sus veces o para conferirle su representación.
  • Denegación de servicio
    Se entiende como denegación de servicio, en términos de seguridad informática, a un conjunto de técnicas que tienen por objetivo dejar un servidor inoperativo. Mediante este tipo de ataques se busca sobrecargar un servidor y de esta forma no permitir que sus legítimos usuarios puedan utilizar los servicios por prestados por él. El ataque consiste […]
  • Denegación de servicio distribuida
    Ataque de denegación de servicio que se realiza utilizando múltiples puntos de ataque simultáneamente. Ataque DoS en el que participan gran cantidad de máquinas atacantes.
  • Depósito de claves
    Sistema de gestión de claves en el que una clave o partes de la misma se distribuyen entre una o varias terceras partes confiables o agentes de depósito. Posteriormente será posible que, personal autorizado y siguiendo un determinado procedimiento, obtenga, a partir de la clave depositada, la clave de cifrado empleada en una comunicación.
  • DER Distinguished Encoding Rules
    Conjunto de reglas para formatear en binario datos descritos en ASN.1.
  • Derechos de acceso
    Privilegios de acceso de sujeto a un objeto. Por ejemplo, los derechos pueden ser: escritura, lectura, ejecución, borrado, etc..
  • Derivación de una clave a partir de otra
    Proceso por el que se genera una clave a partir de cierta información secreta y, opcionalmente, alguna información adicional.
  • DES – Data Encryption Standard
    Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 64 bits. Utiliza claves de 56 bits. Algoritmo normalizado por EE UU para el cifrado de informaciones sensibles no clasificadas. Su nombre se corresponde con las siglas de Data Encryption Standard. Es un cifrado simétrico de bloque, que cifra bloques […]
  • Desanonimizar
    Estrategia de minería de datos en la que los datos anónimos se cruzan con otras fuentes de datos para volver a identificar la fuente de los datos anónimos. Cualquier información que distingue una fuente de datos de otro se puede utilizar para desanonimizar.
  • Desastre natural
    Ataque accidental a los sistemas de información cuyo origen es la propia naturaleza: fuego, inundaciones, terremotos, tormentas, viento, etc..
  • Desbordamiento de búfer
    Estado de vulnerabilidad que se crea por métodos de codificación poco seguros, y en el que un programa desborda el límite del buffer (búfer) y escribe datos en el espacio de memoria adyacente. Los desbordamientos de buffer son aprovechados por los atacantes para obtener acceso no autorizado a los sistemas o datos. En relación con […]
  • Desbordamiento de memoria
    Se dice que un buffer se desborda cuando, de forma incontrolada, al intentar meter en él más datos de los que caben el exceso se vierte en otras zonas del sistema causando daños y perjuicios. A veces se trata de un mero accidente con consecuencias desagradables. A veces se trata de un ataque planificado que […]
  • Descifrado
    Operación inversa de un cifrado reversible (ISO ISO-7498-2). Proceso ejecutado mediante técnicas criptográficas por el que se obtiene un texto en claro a partir del correspondiente texto cifrado.
  • Descifrar
    Declarar lo que está escrito en cifra o en caracteres desconocidos, sirviéndose de clave dispuesta para ello, o sin clave, por conjeturas y reglas críticas. Transformar un texto cifrado en el claro equivalente conociendo el procedimiento y clave de descifrado. Incluye la transformación de los textos cifrados mediante un código secreto.
  • Descodificar
    Aplicar inversamente las reglas de su código a un mensaje codificado para obtener la forma primitiva de este. Operación inversa de la codificación. Recupera la información codificada.
  • Descriptar
    Anglicismo, de uso frecuente, con el que se designa las transformaciones de descifrado de un texto sin el conocimiento de la correspondiente clave. Es por tanto la tarea propia del criptoanalista. Resultado positivo del proceso de criptoanálisis.
  • Descubrimiento electrónico
    El descubrimiento electrónico, o e-discovery, se refiere a todo proceso por el cual se buscan, ubican, aseguran y revisan datos electrónicos con el objeto de utilizarlos como evidencia en un caso legal civil o penal. El e-discovery se puede realizar fuera de línea, en un ordenador particular o dentro de la red. La piratería por […]
  • Desduplicación
    La desduplicación de datos es un método de reducción de las necesidades de almacenamiento mediante la eliminación de datos redundantes. En realidad, sólo una única instancia de datos se retiene en medios de almacenamiento, como el disco o la cinta. Los datos redundantes se reemplazan con un indicador en la única copia de datos. Por […]
  • Desencriptar
    Anglicismo que se refiere al término descifrar.
  • Desfigurar
    Ataque sobre un servidor web como consecuencia del cual se cambia su apariencia. El cambio de imagen puede ser a beneficio del atacante, o por mera propaganda (a beneficio del atacante o para causar una situación embarazosa al propietario de las páginas).
  • Desinfección
    Acción que realizan los programas antivirus cuando, tras detectar un virus, lo eliminan del sistema y, en la medida de lo posible, recuperan o restauran la información infectada.
  • Desmagnetizador
    Equipo para el borrado de los datos almacenados en soportes magnéticos. Actúa aplicando al soporte un campo magnético creciente desde cero hasta un valor máximo prefijado para volver después nuevamente a cero.
  • Destrucción magnética
    También denominada “destrucción magnética de disco”. Proceso o técnica que desmagnetiza un disco para destruir permanentemente toda la información almacenada en éste.
  • Detección de anomalía
    Detección basada en la actividad de un Sistema que coincide con la definida como anormal. Detección de desviaciones de lo que sería el comportamiento esperado de algo. Para que funcione es necesario definir previamente qué comportamiento cabe caracterizar como «normal» y así poder identificar desviaciones. La definición previa puede ser una especificación, o resultado de […]
  • Detección de manipulaciones
    Determinación automática de que un módulo criptográfico ha sido objeto de un ataque. Mecanismo que se utiliza para detectar si una unidad de datos ha sido modificada, sea accidental o intencionalmente.
  • Detección de sucesos
    Capacidad para la percepción tanto de acciones normales como de aparente violación de un sistema de información.
  • Detector de manipulación
    Mecanismo de seguridad usado para detectar las modificaciones accidentales o intencionadas de datos (ISO ISO-7498-2).
  • Día cero
    Son aquellas vulnerabilidades en sistemas o programas informáticos que son conocidas por determinados atacantes pero no lo son por los fabricantes o por los usuarios. Son las más peligrosas ya que un atacante puede explotarlas sin que el usuario sea consciente de que es vulnerable. Aprovechamiento de una vulnerabilidad inmediatamente después de haber sido descubierta. […]
  • Diario remoto
    Proceso utilizado para transmitir diario o diarios de transacciones en tiempo real a una ubicación de copia de seguridad.
  • Difusión
    Propiedad que se predica de aquellos métodos criptográficos en los que la influencia de un símbolo en claro se dispersa sobre un gran número de símbolos cifrados. De esta manera, las propiedades estadísticas de los caracteres de los mensajes se diseminan por todo el texto cifrado. Técnica destinada a disipar las características del idioma en […]
  • Diodo de datos
    Los diodos de datos son los dispositivos de protección de perímetro que aportan una mayor seguridad frente a la fuga de información sensible, dado que garantizan el flujo unidireccional de la información mediante hardware, al no existir un canal de retorno físico. Están orientados a la protección de interconexiones entre redes que manejan información con […]
  • Disponibilidad
    Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. [UNE-71504:2008] Capacidad de ser accesible y estar listo para su uso a demanda de una entidad autorizada. [UNE-ISO/IEC 27000:2014] (Diseño del Servicio) Habilidad de un elemento de configuración o de un servicio TI […]
  • Dispositivo biométrico
    Dispositivo que utiliza parámetros biológicos característicos de las personas como la huella dactilar, el iris del ojo o la voz para la autenticación.
  • Dispositivo criptográfico
    Componente electrónico de un equipo físico, o submontaje de éste, que implementa un cifrado.
  • Dispositivo de creación de firma
    Se trata de un programa o sistema informático que sirve para aplicar los datos de creación de firma
  • Dispositivo de protección de perímetro
    Hardware y/o software cuya finalidad es mediar en el tráfico de entrada y salida en los puntos de interconexión de los sistemas.
  • Dispositivo de sentido único
    Este tipo de dispositivo interconecta las redes rompiendo la continuidad de los protocolos de comunicaciones, obligando a que el flujo de información sea en un solo sentido. Un ejemplo de dispositivo de sentido único sería la interconexión de dos redes mediante un dio do basado en comunicaciones unidireccionales. El acceso a información de Internet, sería […]
  • Dispositivo de verificación de firma
    Es un programa o sistema informático que sirve para aplicar los datos de verificación de firma. Los dispositivos de verificación de firma electrónica garantizarán, siempre que sea técnicamente posible, que el proceso de verificación de una firma electrónica satisfaga, al menos, los siguientes requisitos: Que los datos utilizados para verificar la firma correspondan a los […]
  • Dispositivo seguro criptográfico
    Un conjunto de hardware, software y firmware que implementa procesos criptográficos (incluidos algoritmos criptográficos y generación de claves) y que está contenido dentro de un límite criptográfico definido. Entre los ejemplos de dispositivos criptográficos seguros se incluyen los módulos de seguridad de hardware o de host (HSM) y dispositivos de punto de interacción (POI) que […]
  • Dispositivo seguro de creación de firma
    Es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías: Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de […]
  • Distribución electrónica de claves
    Transmisión segura por medio de un sistema de comunicación eléctrica y a través del canal de transmisión de una clave a utilizar en cifrados posteriores.
  • Distribución física de claves
    Transmisión de una clave en un determinado soporte (papel, cinta perforada, disquete, inyector de claves, etc.) hasta el equipo remoto por medios ajenos al canal de transmisión, en general un mensajero.
  • DMZ – Zona desmilitarizada
    Abreviatura de «Demilitarized Zone» (zona desmilitarizada). Subred física o lógica que proporciona una capa de seguridad adicional a la red privada interna de una organización. La DMZ agrega una capa de seguridad de red adicional entre Internet y la red interna de una organización, de modo que las partes externas sólo tengan conexiones directas a […]
  • DNIe
    El Documento Nacional de Identidad electrónico (DNIe) es el documento que acredita física y digitalmente la identidad personal de su titular, permite la firma electrónica de documentos y otorga la posibilidad a su portador de utilizar la identidad electrónica en cuantos servicios digitales estén disponibles.
  • DNIe vs Certificado Digital
    El DNI electrónico y los certificados digitales son dos conceptos diferentes, aunque ambos nos permiten identificarnos a la hora de realizar trámites online. El DNIe es una tarjeta que llevamos con nosotros y que tiene un chip en su interior, dentro del cuál ya hay certificados digitales. ¿Quién los emite? A la hora de buscar […]
  • Doble factor de autenticación A2F 2FA
    2FA (Two-Factor Authentication) o  Autenticación de dos factores (A2F), es un método que confirma que un usuario es quien dice ser, combinando dos componentes diferentes de validación de su identidad, de entre los siguientes: Algo que sabe: como por ejemplo una contraseña, una frase, un PIN o cualquier otro dato que sólo el usuario conoce. […]
  • Dominio de seguridad
    Un conjunto de elementos, una política de seguridad, una autoridad de seguridad y un conjunto de actividades pertinentes a la seguridad, donde el conjunto de elementos está sujeto a la política de seguridad, para las actividades especificadas. La política de seguridad es administrada por la autoridad de seguridad para el dominio de seguridad.
  • DoS, DDoS
    Un ataque de denegación de servicios, también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la […]
  • Drive-By
    Drive-by download, también conocido como Drive-by Exploit, se refiere a un malware que se instala en tu computadora con el sólo hecho de visitar páginas en Internet que están infectadas por este tipo de amenaza. No se requiere una interacción alguna, este malware se encuentra en el mismo código HTML de las páginas infectadas y […]
  • DSA – Digital Signature Algorithm
    Algoritmo estándar estadounidense de firma digital para aplicaciones gubernamentales diseñado por el National Institute for Standards and Technology (NIST). Es una variante con apéndice del esquema de firma digital de El Gamal.
  • DSNIFF
    Conjunto de herramientas para análisis de redes: auditoría y pruebas de penetración.
  • ECDSA – Elliptic Curve Digital Signature Algorithm
    Es una modificación del algoritmo DSA que emplea operaciones sobre puntos de curvas elípticas en lugar de las exponenciaciones que usa DSA (problema del logaritmo discreto). La principal ventaja de este esquema es que requiere números de tamaños menores para brindar la misma seguridad que DSA o RSA.
  • Efectividad
    Capacidad de lograr el efecto que se desea o se espera. (Mejora Continua del Servicio) Una medida de si los objetivos de un proceso, servicio o actividad han sido alcanzados. Un efectivo proceso o actividad es uno que alcanza sus objetivos acordados. Propiedad de un Objeto de Evaluación, que representa lo adecuadamente que éste proporciona […]
  • Efecto avalancha
    Propiedad de los algoritmos de cifra en virtud de la cual pequeños cambios en el texto en claro producen cambios radicales en el texto cifrado. Rigurosamente, se dice que un algoritmo cumple el criterio de avalancha cuando, en promedio, complementa la mitad de los bits del texto cifrado al complementar un solo bit del texto […]
  • Eficacia
    Grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados. Extensión en la que se realizan las actividades planificadas y se alcanzan los resultados planificados.
  • Elemento peligroso
    Acción humana, elemento natural o ambiental que tiene consecuencias potenciales negativas para el sistema. Puede caracterizarse por su tipo (natural, humano o ambiental) y por su causa (accidental o deliberada). Cuando se trata de una causa accidental, puede caracterizarse también en función de la exposición y los recursos disponibles. Cuando se trata de una causa […]
  • Elevación de privilegios
    Proceso mediante el cual el usuario engaña al sistema para que le otorgue derechos no autorizados, usualmente con el propósito de comprometer o destruir el sistema.
  • Emanaciones
    Radiación electromagnética emitida por los equipos o líneas de comunicaciones. Pudiera ser objeto de análisis por parte de un atacante con él ánimo de acceder a la información procesada o transmitida.
  • Emanaciones comprometedoras
    Señales emitidas accidentalmente que, si son interceptadas y analizadas, podrían llevar a la revelación de la información almacenada, transmitida o presentada en un sistema de información.
  • Emergencia
    Situación de peligro o desastre que requiere una acción inmediata.
  • Emplazamiento móvil
    Sistema autocontenido ubicado en una plataforma móvil.
  • Encadenamiento criptográfico
    Modo de utilización de un algoritmo criptográfico en el cual la transformación realizada por el algoritmo depende de los valores de las entradas o salidas previas.
  • Encapsulado
    Funcionamiento del encapsulado en infraestructuras de red: La entidad de protocolo de un nivel en un dispositivo se comunica con la entidad de protocolo de ese mismo nivel en otro dispositivo, usando servicios del nivel inferior. La unidad de datos del protocolo de cada nivel utiliza cabeceras para comunicar la información relevante para ese nivel. […]
  • Encargado del tratamiento
    La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Encripción
    Véase cifrado.
  • Encriptar
    Anglicismo que parece referirse al término «cifrar«.
  • Engaño
    Conjunto de circunstancias como consecuencia del cual una entidad puede acabar dando por ciertos datos que son falsos.
  • Engaño en comunicaciones
    Transmisión, retransmisión o alteración de unas comunicaciones de forma deliberada para hacer confundir o engañar al receptor.
  • Enigma (máquina)
    La máquina Enigma era un mecanismo de cifrado rotativo utilizado tanto para cifrado como para descifrado, ampliamente utilizada de varios modos en Europa desde los años 1920 en adelante. Su fama se la debe a haber sido adoptada por muchas fuerzas militares de Alemania desde 1930 en adelante. Su facilidad de manejo y su supuesta […]
  • Entidad
    Una persona, un grupo, un dispositivo o un proceso.
  • Entidad condicionalmente confiable
    Una entidad que es confiable en el contexto de una política de seguridad, pero que no puede infringir la política de seguridad sin ser detectada.
  • Entidad confiable
    Entidad que puede infringir una política de seguridad, ya sea porque ejecuta acciones indebidas o porque no ejecuta las acciones debidas.
  • Entidad final
    Sujeto del certificado de clave pública que utiliza su clave privada para otros fines distintos que firmar certificados, o titular de certificado de atributo que utiliza sus atributos para obtener acceso a un recurso, o entidad que es una parte confiante.
  • Entidad incondicionalmente confiable
    Entidad confiable que puede infringir una política de seguridad sin ser detectada.
  • Entidades autorizadas
    Con el esquema distribuido para diferenciar las entidades de certificación y la de validación, se mantiene separada la comprobación de la vigencia de un Certificado Electrónico de los datos de identidad de su titular. Así, la autoridad de certificación (Dirección General de la Policía) no tiene en modo alguno acceso a los datos de las […]
  • Entorno
    Contexto de un desarrollo, operación y mantenimiento de un sistema de información. Incluye procedimientos, condiciones y objetos.
  • Entrenamiento
    Entrenamiento (en seguridad) específico para los responsables de llevar a cabo las funciones de seguridad del sistema. Cada persona se entrena en su misión propia.
  • Entropía
    Valor medio ponderado de la cantidad de información transmitida por un mensaje, no conocido a priori, de una fuente (conjunto) de ellos. En otras palabras, la entropía de una fuente mide la incertidumbre que, a priori, tiene un observador acerca de la aparición de un mensaje (no conocido previamente) de dicha fuente. Se mide en […]
  • Envenenamiento del DNS
    Técnica de ataque contra el servicio DNS. Consiste en enviarle información falsa haciéndole creer que procede de una fuente fiable. Si el DNS cae en el engaño, contribuirá a difundir la falsa información.
  • Envenenamiento del motor de búsqueda
    Ataque que consiste en manipular los resultados devueltos por un motor de búsqueda de contenidos en la red, redirigiendo al usuario a sitios que contienen software dañino.
  • Equipo criptográfico
    Equipo en el que se ejecutan las funciones criptográficas. Por ejemplo: cifrado, autenticación y generación de claves.
  • Equipo de cifra
    Equipo que tiene implementado mecánica o electrónicamente un algoritmo de cifra que, junto a unas claves, sirve para el cifrado o descifrado de información.
  • Equipo rojo
    Un elemento de la organización compuesta por miembros entrenados y educados que proporcionan una capacidad independiente para explorar a fondo las alternativas en los planes y actividades en el contexto del entorno operativo y desde la perspectiva de los adversarios.
  • Escáner de puertos
    Sinónimo de Barrido de puertos.
  • Escáner de vulnerabilidades
    Programa que analiza un sistema buscando vulnerabilidades. Utiliza una base de datos de defectos conocidos y determina si el sistema bajo examen es vulnerable o no.
  • Escolta
    Persona que acompaña a alguien o algo para protegerlo. Conjunto de las personas y los medios utilizados para escoltar a alguien.
  • ESP – Encapsulating Security Payload
    ESP es una cabecera IP para proporcionar a los paquetes IP que viajan por la red servicios de confidencialidad, autenticación del origen, integridad de la conexión, anti-replay y, en cierta medida, inmunidad al análisis de tráfico.
  • Espacio de claves
    Rango de valores que puede tomar loa clave criptográfica de un algoritmo de cifrado. El espacio de claves es propio de cada algoritmo de cifra. Supuesto que no se conozca ninguna vulnerabilidad intrínseca de un algoritmo, la fortaleza de éste se mide por la cardinalidad de su espacio de claves, que indica su resistencia a […]
  • Especificación de clave
    Proceso de acuerdo de una clave criptográfica entre dos o más entidades. La especificación incluye la negociación y el transporte.
  • Esquema de clasificación de datos
    Un esquema empresarial para clasificar los datos por factores tales como criticidad, sensibilidad y propiedad.
  • Esquema de El Gamal
    Algoritmo criptográfico de clave pública que puede emplearse tanto para cifrar como para obtener firmas digitales y que basa su seguridad en la dificultad de calcular logaritmos discretos en un campo finito. Es de recalcar que aunque el algoritmo citado puede emplearse también para cifrar información, su complejidad y el hecho de duplicar el texto […]
  • Esquema de evaluación
    Marco administrativo y regulador bajo el que una autoridad de evaluación aplica los CC en una comunidad específica.
  • Esteganografía
    Sinónimo de Cifra encubierta. Técnica que consiste en ocultar un mensaje u objeto, dentro de otro, llamado portador, de modo que no se perciba la existencia del mensaje que se quiere ocultar. A diferencia de la criptografía que se utiliza para cifrar o codificar información de manera que sea ininteligible para un probable intruso, a […]
  • Estimar
    Apreciar, poner precio, evaluar algo.
  • Etiqueta de clasificación
    Marca asociada a una pieza de información que califica el grado de daño que causaría su revelación a sujetos no autorizados. Puede indicar asimismo las salvaguardas de que debe ser objeto a fin de evitar su revelación no autorizada.
  • Etiqueta de seguridad
    Marca realizada implícita o explícitamente sobre cualquier tipo de recurso o sistema que nombra o designa los atributos de seguridad del mismo. Marca vinculada a un recurso (que puede ser una unidad de datos) que denomina o designa los atributos de seguridad de dicho recurso.
  • Etiqueta de sensibilidad
    Sinónimo etiqueta de clasificación.
  • Evaluación
    Valoración de un sistema o producto de tecnologías de la información respecto de un criterio de evaluación definido. Medida de la confianza que puede depositarse en un Objeto de Evaluación, consistente en una referencia a su Objetivo de Seguridad, un nivel de evaluación establecido por la valoración de la corrección de su implementación y la […]
  • Evaluación de la seguridad
    Verificación de que un elemento de seguridad se ajusta a lo especificado.
  • Evaluación de la seguridad
    Proceso de comprobación de que un producto o Sistema satisface las características de seguridad que proclama tener. Dicho proceso consiste en el examen detallado con el fin de encontrar una posible vulnerabilidad y confirmar el nivel de seguridad establecido. El examen se realiza de acuerdo a un procedimiento o metodología determinado y siguiendo unos criterios […]
  • Evaluación de vulnerabilidad
    Aspecto de la valoración de la efectividad de un Objeto de Evaluación; es decir, si las vulnerabilidades conocidas en el mismo pueden comprometer un la práctica su seguridad, tal como está especificada en el Objetivo de Seguridad. Valoración de un programa o sistema para determinar su susceptibilidad a pérdidas o uso indebido.
  • Evaluación del riesgo
    Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptables o tolerables. La evaluación del riesgo ayuda a la toma de decisiones sobre el tratamiento del riesgo.  
  • Evaluador
    Entidad independiente que lleva a cabo una evaluación.
  • Evaluar
    Señalar el valor de algo. Estimar, apreciar, calcular el valor de algo.
  • Evento
    Un cambio de estado significativo para la cuestión de un elemento de configuración o un servicio de TI. El término evento también se usa como alerta o notificación creada por un servicio de TI. Elemento de configuración o herramienta de monitorización. Los eventos requieren normalmente que el personal de operaciones de TI tome acciones, y […]
  • Evidencia
    Certeza clara y manifiesta de la que no se puede dudar. Información que, por sí misma, o en combinación con otra información, se utiliza para probar algo. Una evidencia por sí misma no necesariamente prueba la certeza o existencia de algo; pero ayuda a establecer la prueba.
  • Exploit
    Un tipo de software, un fragmento de datos, o una secuencia de comandos que aprovecha un fallo o una vulnerabilidad en el sistema de un usuario para provocar un comportamiento no deseado o imprevisto. Las acciones que se suelen realizar la violenta toma de control de un sistema, una escalada de privilegios o un ataque […]
  • Exposición
    Se dice cuando información sensible queda expuesta al acceso de entidades no autorizadas. El hecho puede ser accidental o deliberado.
  • Exposición anual a un riesgo
    Producto del daño previsto, en unidades monetarias, producido por un ataque, multiplicado por el número previsto de ocurrencias al año del citado ataque.
  • Extensible Authentication Protocol
    Protocolo marco que soporta diversos modos de autenticación remota: contraseñas, sistemas reto-respuesta, etc..
  • Extensiones de seguridad para el sistema de nombres de dominio
    Las extensiones de seguridad para el Sistema de Nombres de Dominio (Domain Name System Security Extensions o DNSSEC) es un conjunto de especificaciones de la Internet Engineering Task Force (IETF) para asegurar cierto tipo de información proporcionada por el sistema de nombre de dominio (DNS) que se usa en el protocolo de Internet (IP). Se […]
  • Externalización
    Establecer un acuerdo mediante el cual una organización externa realiza parte de una función o proceso de una organización.
  • Extorsión
    Presión que, mediante amenazas, se ejerce sobre alguien para obligarle a obrar en determinado sentido.
  • Failover
    Configuración de equipos en la que un segundo equipo se hace cargo de las funciones del principal en caso de detención de éste. De esta forma, el servicio no se verá interrumpido.
  • Falsa aceptación
    Error de un sistema de autenticación biométrico que autoriza el acceso a un impostor. Su probabilidad de ocurrencia (probabilidad de falsa aceptación) es una de sus características significativas. Habitualmente, estos sistemas pueden ajustarse para variar esta probabilidad dentro de un amplio margen. Desgraciadamente, cuanto más pequeña sea la probabilidad de falsa aceptación, mayor es la […]
  • Falsificación de solicitudes entre distintos sitios CSRF
    Estado de vulnerabilidad que se crea por métodos de codificación poco seguros, y que permiten que se ejecuten acciones no deseadas mediante una sesión que ha sido autenticada. Suele utilizarse junto con XSS o inyección SQL. El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit […]
  • Falso negativo
    Error producido cuando el sistema diagnostica como actividad normal un ataque.
  • Falso positivo
    Error producido cuando el sistema diagnostica como ataque una actividad normal.
  • Falso rechazo
    Error de un sistema de autenticación biométrico que deniega el acceso a un individuo legítimamente autorizado. Su probabilidad de ocurrencia (probabilidad de falso rechazo) es una de sus características significativas. Habitualmente, estos sistemas pueden ajustarse para variar esta probabilidad dentro de un amplio margen. Desgraciadamente, cuanto más pequeña sea la probabilidad de falso rechazo, mayor […]
  • FEAL – Fast Data Encipherment Algorithm
    Familia de algoritmos en bloque diseñada por A. Akihiro y S. Miyaguchi para NTT Japón. Transforma en N vueltas, de modo similar al DES, una entrada de 64 bits. Es importante en el desarrollo de técnicas criptoanalíticas.
  • Fiabilidad
    Cualidad de fiable. Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados.  
  • Ficheros ocultos de contraseñas
    Se trata de un fichero que almacena las contraseñas para autenticar a los usuarios del sistema. Como característica singular, estos ficheros permanecen fuera del alcance de los usuarios, previniendo su uso como fuente de información para descubrir contraseñas.
  • Fiduciario
    En general, se puede decir que una entidad acepta como «fiduciaria» a una segunda entidad cuando aquella (la primera entidad) supone que la segunda entidad se comportará exactamente como ella lo espera. Esta relación de confianza se puede aplicar solamente para alguna función específica. El cometido principal de la confianza en el marco de la […]
  • Filtrado de camino inverso
    Técnica de filtrado del tráfico entrante basada en la verificación de la dirección origen de los paquetes con la tabla de enrutamiento para comprobar que dicha red es alcanzable por dicho interfaz de entrada.
  • Filtrado de egreso
    Método que permite filtrar el tráfico saliente de una red, de modo que sólo el tráfico explícitamente autorizado pueda salir de la red.
  • Filtrado de entrada/salida
    Filtrado realizado en los puntos de comunicación del perímetro de la Organización con el exterior.
  • Filtrado de ingreso
    Método que permite filtrar el tráfico entrante de una red, de modo que sólo el tráfico explícitamente autorizado pueda ingresar a la red.
  • Filtrado de paquetes con información de estado
    Filtrado de paquetes que memoriza las comunicaciones a nivel de transporte previamente establecidas.
  • Filtrado de paquetes con información de estado e inspección
    Filtrado de paquetes que además de memorizar las comunicaciones a nivel de transporte, inspecciona el contenido de los paquetes utilizando decodificadores de protocolo para así interpretar los flujos dinámicos de comunicaciones asociados.
  • Filtrado de paquetes sin información de estado
    Filtrado de paquetes básico que trata los paquetes de manera individual sin tener en cuenta información del estado de la comunicación.
  • Firewall
    Sinónimo de Cortafuegos.
  • Firma ciega
    Protocolo mediante el que se obtiene un documento en claro firmado digitalmente, sin que el signatario tenga medio de conocerlo en el momento de estampar su firma. Constituye la base de otros protocolos criptográficos, como el de votación electrónica o el del dinero electrónico. Protocolo de firma digital en el que una entidad solicita a […]
  • Firma de un virus
    Ristra de caracteres característica del código de un virus, o conjunto de ellos, que permite su identificación. Se distingue la firma de contaminación, cadena de caracteres que el virus usa para reconocer los programas que ya ha contaminado; y la firma de diagnóstico insertos en el código del virus. A diferencia de la primera firma, […]
  • Firma digital
    Datos añadidos a un conjunto de datos, o transformación de éstos, que permite al receptor probar el origen e integridad del conjunto de datos recibidos, así como protegerlos contra falsificaciones; por ejemplo, del propio receptor. Datos añadidos o transformación criptográfica de una unidad de datos que prueba al receptor de dicha información la fuente y/o […]
  • Firma digital con apéndice
    Protocolo criptográfico de firma digital que requiere el mensaje original como entrada del algoritmo de verificación.
  • Firma digital con recuperación de mensaje
    Protocolo de firma digital que no requiere el mensaje original como entrada del algoritmo de verificación. En este caso, el mensaje original se recupera a partir de la propia firma.
  • Firma digital no negable
    Protocolo de firma digital en el que la verificación de la firma requiere la participación del firmante.
  • Firma electrónica
    Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son: Identificar al firmante de manera inequívoca. Asegurar […]
  • Firma electrónica avanzada
    La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
  • Firma electrónica reconocida
    Firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
  • Firmante
    El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.
  • FIRST – Forum of Incident Response and Security Teams
    Foro internacional de organismos de respuesta a incidentes de seguridad.
  • Flaw
    Defecto en un programa a nivel de arquitectura o diseño. Estos defectos pueden no ser evidentes examinando únicamente el código fuente.
  • Formal
    Expreso, preciso, determinado.
  • Fortaleza criptográfica
    Una cifra, relacionada con la cantidad de trabajo requerido para violar un algoritmo o dispositivo criptográfico. Es frecuente expresar la fortaleza de un sistema de cifra en bits: 80, 112, 128, 192, 512, ….
  • Frase de acceso
    Frase larga (por ejemplo, de 80 caracteres) pero fácil de recordar por el usuario, que realiza las mismas funciones de autenticación que una contraseña, con la ventaja de ser más difícil de conjeturar.
  • Fraude de identidad
    Acto delictivo basado en la usurpación de la identidad de otra persona. La mayoría de los fraudes de identidad se realizan con ayuda de ordenadores.
  • Frontend
    Lado del cliente, es la parte de la aplicación que interactúa con los usuarios, se muestra en la pantalla del navegador y genera la experiencia de usuario. El desarrollo web front-end (frontend) consiste en la conversión de datos en una interfaz gráfica para que el usuario pueda ver e interactuar con la información mediante el […]
  • Función de verificación criptográfica
    Función que obtiene una información realizando un proceso criptográfico en la unidad de datos. Es término sinónimo de «función resumen».
  • Función unidireccional
    Función (matemática) f que es fácil de calcular, pero que para un valor y en la gama es difícil de calcular para hallar un valor x en el dominio de modo que f(x) = y. Puede haber unos pocos valores y para los cuales hallar x no sea fácil computacionalmente.
  • Gestión de la configuración
    Conjunto de procedimientos que regulan el almacenamiento y la modificación de la configuración y juego de reglas de los dispositivos.
  • Grado de clasificación
    Representación de la sensibilidad de una información mediante la combinación de una clasificación jerárquica y parámetros no jerárquicos.
  • Hacking ético
    Se denomina a la realización de un análisis de seguridad de una infraestructura TIC ayudándose de técnicas de hacking. Su finalidad es la realización de ataques controlados cuyo fin es conocer la seguridad de los sistemas y aplicaciones, así como los fallos o brechas de seguridad para que puedan ser corregidas.
  • HSM
    Acrónimo de «hardware security module» (módulo de seguridad de hardware) o «host security module» (módulo de seguridad de host). Un dispositivo de hardware protegido en forma lógica y física que proporciona un conjunto seguro de servicios cartográficos, empleados en funciones de administración de claves criptográficas o el descifrado de los datos de cuentas. Es un […]
  • Hub
    Sinónimo de Concentrador.
  • ICANN
    ICANN (Internet Corporation for Assigned Names and Numbers) es la organización que coordina la asignación de nombres, direcciones IP y otros identificadores utilizados en protocolos (por ejemplo, puertos de nivel de transporte). Además, se ocupa de coordinar el sistema de servidores DNS raíz. ICANN delega la asignación de prefijos a organizaciones que los solicitan en […]
  • Identidad digital
    Todos los usuarios de internet poseen una identidad digital. Se trata de un ‘yo’ en la red que incluye no solo los datos que vamos dejando en la red como consumidores de contenidos online y/o productos, sino también cómo queremos que nos vean los otros usuarios (Redes sociales, perfiles, etc.).
  • Impacto
    Consecuencia de la materialización de una amenaza.
  • Información de identificación personal
    Información que se puede utilizar para identificar a una persona incluyendo, pero sin limitarse a, nombre, dirección, número del seguro social, número de teléfono, etc..
  • Infraestructura de Clave Pública (PKI)
    Una Infraestructura de Clave Pública (PKI) es una combinación de hardware y software, políticas y procedimientos de seguridad que permite la ejecución con garantía de operaciones criptográficas, como el cifrado, la Firma Digital o el no repudio de transacciones electrónicas. Concretamente, el término de Infraestructura de Clave Pública se utiliza para referirse a la Autoridad […]
  • Inspección completa
    También denominada «dynamic packet filtering» (filtrado dinámico de paquetes). Firewall que, al realizar un seguimiento del estado de las conexiones de la red, proporciona una seguridad mejorada. Al estar programado para distinguir los paquetes legítimos de las diversas conexiones, el firewall permitirá solamente aquellos paquetes que coinciden con una conexión establecida, y rechazará a todos […]
  • Integridad
    Es la cualidad que posee un documento/archivo que no ha sido alterado y que además permite comprobar que no se ha manipulado el documento original. Se realiza mediante encriptación pero esto lo veremos en la siguiente unidad.
  • IP spoofing
    Véase Simular ataque IP spoofing y cómo evitarlo con filtro anti-IP-spoofing.
  • Keylogger
    Es un tipo de troyano que se caracteriza por capturar y almacenar las pulsaciones efectuadas sobre el teclado. Posteriormente esta información (que puede contener información sensible) se envía a un atacante, que las puede utilizar en su propio provecho. Las ultimas versiones de este tipo de programas maliciosos también hacen capturas de pantalla del equipo […]
  • Lenguaje de comandos entre distintos sitios XSS
    Estado de vulnerabilidad que se crea por métodos de codificación poco seguros, y que tiene como resultado una validación de entradas inapropiada. Suele utilizarse junto con CSRF o inyección SQL. Secuencias de comandos en sitios cruzados (Cross-site Scripting) es una brecha de seguridad que se produce en páginas Web generadas dinámicamente. En un ataque por […]
  • Libro electrónico de códigos
    Modalidad de cifrado de bloques en la cual cada bloque se cifra independientemente de los demás, sin realimentación del texto cifrado sobre el propio dispositivo criptográfico.
  • Limpieza segura
    Sinónimo de Borrado Seguro.
  • LUKS
    LUKS (Linux Unified Key Setup) es una especificación de cifrado de disco creado por Clemens Fruhwirth, originalmente destinado para Linux. Mientras la mayoría del software de cifrado de discos implementan diferentes e incompatibles formatos no documentados, LUKS especifica un formato estándar en disco, independiente de plataforma, para usar en varias herramientas. Esto no sólo facilita […]
  • Medidas de seguridad
    Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.
  • Memoria perdida
    Se dice cuando un programa o proceso solicita recursos de memoria; pero no los libera, quedando inútiles recursos que pudieran ser valiosos. La consecuencia suele ser que el sistema agota los recursos insensatamente.
  • Mensaje disimulado
    Sinónimo de Cifra encubierta.
  • Método de ataque
    Medio típico (acción o acontecimiento) con el que un elemento peligroso realiza sus ataques. Algunos ejemplos: Robo de soportes informáticos o de documentos. Alteración de programas. Atentado contra la disponibilidad del personal. Escucha pasiva. Inundación …
  • Modo de soslayo (By-pass mode)
    Modalidad de trabajo de un dispositivo criptográfico en la cual el texto en claro pasa a su través sin sufrir ningún cifrado. Es un procedimiento útil en ciertas pruebas de funcionamiento de una línea de transmisión. Por precaución, este modo de trabajo debe estar bloqueado mediante una llave de seguridad.
  • Motivación
    Motivo de un elemento peligroso. Puede tener un carácter estratégico, ideológico, terrorista, codicioso, lúdico o vengador y varía según se trate de un acto accidental (curiosidad, aburrimiento) o deliberado (espionaje, afán de lucro, intención de perjudicar, ideología, juego, fraude, robo, piratería, desafío intelectual, venganza, chantaje, extorsión monetaria).
  • Netfilter
    Netfilter (Proyecto Netfilter) es una comunidad de desarrolladores de software conocidos principalmente por el framework disponible en el núcleo de Linux que permite interceptar y manipular paquetes de red. Dicho framework permite interactuar con paquetes en diferentes etapas del procesamiento dentro del sistema operativo, ofreciendo funcionalidades de cortafuegos y otras utilidades relacionadas. Netfilter es el […]
  • Nivel de Seguridad
    El ENS (Esquema Nacional de Seguridad) prescrive que cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles: bajo, medio o algo. Nivel de seguridad BAJO Un sistema tendrá un nivel bajo cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio […]
  • Niveles de madurez
    Dentro del análisis diferencial de los sistemas respecto al cumplimiento con el ENS (Esquema Nacional de Seguridad), nos encontramos con los Nivles de Madurez. Se trata del estado actual de aplicación de las diferentes medidas de seguridad. Los niveles de madurez son: L0 (Inexistente): salvaguarda no aplicada. No existe un proceso que soporte el servicio […]
  • No repudio
    Es la irrenunciabilidad, es decir, permite probar la participación de las diferentes partes en una comunicación. La diferencia con la autenticación es que la primera se produce entre las partes que establecen la comunicación y el servicio de no repudio se produce frente a un tercero.
  • Partes utilizadoras
    Las Partes Utilizadoras son aplicaciones que verifican los certificados, las firmas electrónicas y los caminos de certificación.
  • Pasarela de intercambio seguro
    Las pasarelas de intercambio seguro de información son dispositivos de protección de perímetro más complejos que un cortafuegos o un proxy. Están orientadas a la protección de interconexiones entre redes que manejan información con diferentes categorías o políticas de seguridad, con el fin de evitar la entrada o salida de información no autorizada. Para ello, […]
  • Perder el tiempo
    Dícese de los empleados que en jornada laboral se dedican a navegar por Internet por motivos diferentes de sus obligaciones laborales.
  • Persona identificable
    Persona física cuyos datos de carácter personal establezcan de forma directa o indirecta un perfil más o menos detallado de su identidad personal, familiar o profesional, tal y como establece el artículo 3 a. de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Planificar Ejecutar Comprobar y Actuar
    Sinónimo de Ciclo de Deming.
  • Políticas de Aplicación Específicas
    Al desarrollar la Política de Seguridad a situaciones concretas o recursos diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y lo denegado en la organización, lo que en ocasiones se denomina Políticas de Aplicación Específicas. Las políticas específicas son documentos que describen la […]
  • Políticas de Seguridad
    Conjunto de directrices plasmadas en un documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos. Según se dispone en el Anexo IV del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito […]
  • Prestador de Servicios de certificación
    Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Las entidades emisoras de certificados son aquéllas que han sido autorizadas a prestar servicio de certificación, y por tanto las encargadas de emitir estos certificados a los diferentes usuarios de certificación.
  • Proceso de clasificación/Desclasificación
    Mecanismo definido en la normativa de clasificación a través del cual se asigna/modifica un determinado nivel de clasificación a un documento. Este mecanismo conlleva una serie de acciones de registro indicadas en el procedimiento establecido por la Organización.
  • Proxy (Intermediario)
    Se trata de un dispositivo que se sitúa en la red actuando de intermediario para prestar un servicio determinado. Su función es recibir todas las peticiones de los usuarios de una organización, a un determinado protocolo, y distribuir las entradas y salidas de información de acuerdo con unos filtros. Los intermediarios o proxies trabajan a […]
  • PSeudoaleatorio
    Término que indica que un suceso, aún no siendo estrictamente aleatorio, se puede considerar aleatorio debido a que satisface unas determinadas condiciones y test. El suceso puede repetirse si se producen idénticas condiciones iniciales a las que lo originaron.
  • RARP
    RARP (Reverse Address Resolution Protocol), al contrario que el protocolo ARP, se encarga de permitir a los distintos dispositivos de red encontrar, dada la dirección de nivel dos correspondiente (dirección MAC), su dirección de nivel tres (dirección IP). Al igual que el tráfico ARP, el tráfico RARP es tráfico local a un segmento de red […]
  • Recuperación gradual
    En Diseño del Servicio, una Opción de Recuperación, también conocida como Reserva fría, la Recuperación Gradual normalmente emplea facilidades portátiles o fijas que tienen soporte medioambiental y cableado de red, pero no sistemas informáticos. El hardware y software se instalan dentro del Plan de Continuidad del Servicio de TI.
  • Redigitación de clave
    Proceso que consiste en el cambio de las claves criptográficas. La redigitación periódica de clave limita la cantidad de datos que pueden cifrarse con una misma clave.
  • Repositorios (directorios)
    Los Repositorios o Directorios son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son: Repositorio de certificados. Repositorio de listas de revocación de certificados.
  • Responsable de seguridad
    Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
  • Riesgo inherente
    Es el riesgo intrínseco de cada activo, sin tener en cuenta los controles (salvaguardas/medidas) de mitigación que se hayan implementado. Este riesgo surge de la exposición que los activos presenten y de la probabilidad de que una amenaza le afecte debido a sus vulnerabilidades.
  • Riesgo inicial
    Es aquel riesgo que tiene en cuenta los controles (salvaguardas, medidas) existentes actualmente, en el momento de realizar la apreciación (valoración) del riesgo. Coincidirá con el riesgo inherente en algunos activos que no tuvieran salvaguardas implementadas.
  • Riesgo residual
    Es aquel riesgo que persisten después de haber implementado los controles (salvaguardas, medidas) para su mitigación. Es importante advertir que el nivel de riesgo al que está sometido un activo nunca (o casi nunca) puede erradicarse completamente.
  • Salt
    Dato aleatorio que se combina con una clave para que el resultado de una función criptográfica quede razonablemente disperso y protegido frente a ataques de diccionario.
  • Seguridad de los ordenadores (COMPUSEC)
    Resultado de un conjunto de medidas aplicadas a un sistema informático y orientadas a evitar accesos, manipulaciones, pérdidas, modificaciones o conocimiento de la información que contiene por personal no autorizado.
  • SELinux
    Security-Enhanced Linux (SELinux) es una arquitectura de seguridad para los sistemas Linux que otorga a los administradores mayor control sobre quién puede acceder al sistema. La Agencia de Seguridad Nacional (NSA) de Estados Unidos desarrolló este producto originalmente como una serie de parches para el kernel de Linux utilizando los módulos de seguridad de Linux […]
  • Seudoaleatorio
    Sucesión de datos generados por un algoritmo pero que pasan las pruebas habituales de aleatoriedad. Los números aleatorios son necesarios en gran número de técnicas y protocolos criptográficos, como generación de claves criptográficas, sistemas de autenticación fuerte, etc..
  • Sistema criptográfico
    Colección de transformaciones de texto claro en texto cifrado y viceversa, en la que la transformación o transformaciones que se han de utilizar son seleccionadas por claves. Las transformaciones son definidas normalmente por un algoritmo matemático. Conjunto de claves y equipos de cifra que utilizados coordinadamente ofrecen un medio para cifrar y descifrar.
  • Software malicioso o malware
    Software o firmware desarrollado para infiltrarse en una computadora o dañarla sin conocimiento ni consentimiento del propietario, con la intención de comprometer la confidencialidad, integridad o disponibilidad de los datos, las aplicaciones o el sistema operativo del propietario. Por lo general, esta clase de software se infiltra en una red durante diversas actividades aprobadas por […]
  • Stateful Firewall
    La condición «stateful» se refiere a la capacidad de guardar registro de las conexiones establecidas y establecer reglas de filtrado en base a la correcta secuencia de las mismas.
  • Suceso
    Ocurrencia o cambio de un conjunto particular de circunstancias. Un suceso puede ser único o repetirse, y se puede deber a varias causas. Un suceso puede consistir en algo que no se llega a producir. Algunas veces, un suceso se puede calificar como un «incidente» o un «accidente». Ocurrencia o cambio de un conjunto particular […]
  • Suceso de seguridad de la información
    Ocurrencia detectada en el estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un fallo de los controles o una situación desconocida hasta el momento y que puede ser relevante para la seguridad.
  • Superficie de ataque
    La superficie de ataque es el número total de vectores de ataque que podrían usarse como punto de entrada para lanzar un ataque cibernético u obtener acceso no autorizado a datos confidenciales. Estas intrusiones no autorizadas podrían usar vulnerabilidades en determinados sistemas, dispositivos, aplicaciones, etc.. Puede afectar a las personas, los entornos físicos, de red […]
  • Técnica criptográfica simétrica
    Aquella que usa la misma clave, secreta, para el algoritmo de cifrado y descifrado. Sin el conocimiento de la clave secreta es computacionalmente inviable calcular ni el algoritmo de cifrado ni el de descifrado.
  • Técnica de conocimiento nulo
    Técnica de autenticación basada en un cifrado asimétrico. Se caracteriza porque un único inter-cambio de información de autenticación no es suficiente para avalar la autenticidad de una enti-dad, pero dicha información puede bastar para delatar una suplantación
  • Titulares de Certificados
    Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la terminología PKI (para validar firmas digitales, cifrar documentos para otros usuarios…). Ejemplo: un servidor web es una entidad final cuando obtiene […]
  • Trayecto de certificación
    Secuencia ordenada de certificados de clave pública de objetos en el árbol de información de directorio que, junto con la clave pública del objeto inicial en el trayecto, puede ser procesada para obtener la del objeto final en el trayecto.
  • Trayecto de delegación
    Secuencia ordenada de certificados que, junto con la autenticación de una identidad de asertor de privilegios, puede ser procesada para verificar la autenticidad de un privilegio de asertor de privilegios.
  • Trayectoria de certificación
    Sucesión ordenada de certificados de objetos pertenecientes al Árbol de Información del Directorio que, junto con la clave pública del objeto inicial en la trayectoria, puede ser procesada para obtener la del objeto final de la misma.
  • Troyano
    Sinónimo de Caballo de Troya.
  • Valor de comprobación criptográfico
    Información que se obtiene realizando una transformación criptográfica (véase criptografía) sobre una unidad de datos. Nota: el valor de comprobación puede obtenerse en uno o más pasos y es el resultado de una función matemática de la clave y una unidad de datos. Suele utilizarse para verificar la integridad de una unidad de datos.
  • Vector de ataque
    Un punto de origen o vector de ataque es una vía o punto de entrada que utiliza un ciberdelincuente para acceder a un sistema. Un vector de ataque informático es el medio escogido por los ciberdelincuentes, hackers o crackers informáticos para transmitir al objetivo (equipo informático o cualquier otro dispositivo conectado a la red local […]
  • VPN
    VPN (Virtual Private Network) o Red Privada Virtual (RPV) es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. VPN es una simulación virtual de una red privda en Internet. VPN permite, por ejemplo, la posibilidad de conectar dos o más […]
  • Vulnerabilidad
    Fallo en el diseño de un programa que permite a los atacantes provocar un funcionamiento erróneo que compromete la seguridad de los Sistema de información y las comunicaciones. Se trata de una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información, pudiendo permitir que un atacante pueda […]
  • WAF (Web Application Firewall)
    WAF (Firewall de aplicaciones web) es un tipo de firewall que supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web. Se diferencia de un firewall normal en que puede filtrar el contenido de aplicaciones web específicas, mientras que un firewall de red protege el tráfico entre los servidores. Al inspeccionar el […]
  • Zero-Day
    Véase Día cero.