A continuación os mostramos todos los términos de glosario (wiki) de Seguridad Informática.
Alfabético
Elige del menú superior
- Acumulación de privilegios
- Administrador
- Administrador de seguridad
- Adware
- AES
- Agente Externo
- Agotamiento de recursos
- Agregación
- Agregación de datos
- AH Authentication Header
- AIR GAP
- Aleatorio
- Alerta
- Algoritmo
- Algoritmo criptográfico
- Algoritmo criptográfico asimétrico
- Algoritmo criptográfico simétrico
- Algoritmo de cifra
- Algoritmo de descifrado
- Algoritmo de Diffie-Hellman
- Algoritmo irreversible
- Algoritmo nacional de cifra
- Algoritmo personalizable o privatizable
- Algoritmo público
- Algoritmo reversible
- Algoritmo secreto
- Alta disponibilidad
- Amenaza
- Amenaza activa
- Amenaza avanzada persistente
- Amenaza pasiva
- Análisis de fallos
- Análisis de impacto en el negocio
- Análisis de paquetes TCP
- Análisis de riesgos
- Análisis de seguridad de la red
- Análisis de tiempos
- Análisis de tráfico
- Análisis diferencial de consumo
- Análisis forense
- Análisis heurístico
- Análisis simple de consumo
- Anonimato
- Anonymizer
- Anonymous remailer
- Anti automatización
- Anti-spam
- Anti-spoof
- Anti-spyware
- Antivirus
- Apéndice
- Aplicación
- Apreciación del riesgo
- Arquitectura de seguridad
- Asociación de seguridad
- Ataque
- Ataque «Encontrarse en el medio»
- Ataque a la validación de datos
- Ataque algebraico
- Ataque con sólo texto cifrado
- Ataque con texto cifrado escogido
- Ataque con texto en claro conocido
- Ataque con texto en claro escogido
- Ataque controlado
- Ataque de reproducción
- Ataque del cumpleaños
- Ataque dirigido
- Ataque distribuido
- Ataque exhaustivo
- Ataque por deslizamiento
- Ataque por diccionario
- Ataque por inferencia
- Ataque por monitorización
- Atributo
- Auditoría
- Auditoría de la seguridad
- Auditoría de seguridad de sistemas de información
- Auditoría de sistemas de información
- Autenticación
- Autenticación compleja o fuerte
- Autenticación con dos elementos
- Autenticación con tres elementos
- Autenticación de dos factores
- Autenticación de entidad par
- Autenticación de la otra parte
- Autenticación de una entidad
- Autenticación de una entidad homologada
- Autenticación fuerte
- Autenticación multifactor
- Autenticación simple
- Autenticidad
- Autenticidad de origen de datos
- Auténtico
- Autentificación
- Autentificación simple
- Autoridad
- Autoridad de atributo
- Autoridad de certificación
- Autoridad de evaluación
- Autoridad de registro
- Autoridad de seguridad
- Autoridad de sellado de tiempo
- Autoridad de validación
- Autorización
- Autoservicio de recuperación de contraseña
- Backorifice
- Barrido de IP
- Barrido de puertos
- Base de datos de gestión de la configuración CMDB
- Bastión
- Bastionado
- Basuring en memoria
- Big endian
- Biométrico
- Blowfish
- Bomba lógica
- Borrado
- Borrado seguro
- Botnet
- Bóveda electrónica
- Bug
- Bulo
- Bypass
- Caballo de Troya
- Cadena de certificados de seguridad
- Cadena de delegación
- Cámara de seguridad electrónica
- Cambio de clave
- Camelia
- Canal confiable
- Canal oculto
- Canal subliminal
- Capacidad
- Capacidad de supervivencia
- CAPI – Cryptographic Application Programming Interface
- CAPTCHA
- Capturador de pulsaciones de teclado
- Carga remota de claves
- Cargador de claves
- Cartas nigerianas
- CAST
- CAST-128
- CAST-256
- Catástrofe
- Categoría de un sistema
- CBC Cipher Block Chaining
- CCM – Counter with cipher block chaining-message authentication code
- Ceguera
- Centro de distribución de claves
- Centro de generación de claves
- CERT Equipo de reacción rápida ante incidentes informáticos
- Certificación
- Certificación de la seguridad
- Certificado
- Certificado autoexpedido
- Certificado autofirmado
- Certificado cruzado
- Certificado de AC
- Certificado de Administración Pública
- Certificado de atributo
- Certificado de atributo autoexpedido
- Certificado de autenticación
- Certificado de autoridad
- Certificado de clave pública
- Certificado de clave pública
- Certificado de firma
- Certificado de Persona Física
- Certificado de Representante
- Certificado de revocación
- Certificado de seguridad
- Certificado de usuario
- Certificado digital
- Certificado electrónico
- Certificados de Componente
- Certificados de empresa
- Certificados reconocidos
- CFB Cipher Feedback Mode
- CHAP Challenge-Handshake Authentication Protocol
- Ciberamenaza
- Ciberataque
- Ciberdefensa
- Ciberdelincuencia
- Ciberdelito
- Ciberespacio
- Ciberguerra
- Ciberincidente
- Ciberinfraestructura
- Ciberseguridad
- Ciberterrorismo
- Ciclo de Deming
- Cifra de clave pública
- Cifra de clave secreta o cifra simétrica
- Cifra en serie o en flujo
- Cifra encubierta
- Cifra estratégica o de alto nivel
- Cifra simétrica
- Cifra táctica o de bajo nivel
- Cifrado
- Cifrado a nivel de enlace
- Cifrado analógico de voz
- Cifrado asimétrico
- Cifrado autenticado
- Cifrado autoclave
- Cifrado autosíncrono
- Cifrado de archivos
- Cifrado de columnas en bases de datos
- Cifrado de disco
- Cifrado de enlace
- Cifrado de enlace a enlace (link-by-link)
- Cifrado de flujo
- Cifrado de flujo síncrono
- Cifrado de grupo
- Cifrado enlace por enlace
- Cifrado extremo a extremo
- Cifrado irreversible
- Cifrado masivo
- Cifrado reversible
- Cifrado reversible
- Cifrado simétrico
- Cifrado Vernam
- Cifrador
- Cifrar
- Cl@ve
- Clasificación
- Clasificación de la información
- Clave
- Clave auto-clave
- Clave criptográfica
- Clave custodiada
- Clave de acceso
- Clave de arranque
- Clave de cifrado de claves
- Clave de sesión
- Clave débil
- Clave efímera
- Clave fragmentada
- Clave maestra
- Clave para envolver claves
- Clave privada
- Clave pública
- Clave secreta
- Clave simétrica
- Claves encapsuladas
- CMAC Authentication Mode
- CMS Cryptographic Message Syntax
- Codificación segura
- Codificar
- Código
- Código de autenticación de mensajes
- Código de detección de errores
- Código malicioso
- Código móvil
- Colisión
- Comité de Seguridad de la Información
- COMP128-1
- Compartimento
- Compatibilidad electromagnética
- Comprometer
- Compromiso de seguridad
- COMPUSEC
- Concentrador
- Concepto de operación
- Concienciación en seguridad
- Confianza
- Confidencialidad
- Confidencialidad de los datos
- Confidencialidad del tráfico de datos
- Configuración
- Conformidad
- Confusión
- Conocimiento cero
- Conocimiento parcial
- Consecuencia
- Constructor de virus
- Contenido activo
- Continuidad
- Contramedida
- Contraseña
- Contraseña de un solo uso
- Contraseña desechable
- Contraseña predeterminada
- Control
- Control de acceso
- Control de acceso basado en atributos
- Control de acceso basado en identidad
- Control de acceso basado en reglas
- Control de acceso discrecional
- Control de acceso obligatorio
- Control de acceso por roles
- Control de configuración
- Control de detección
- Control de encaminamiento
- Control de gestión
- Control dual
- Control general
- Control interno
- Control operativo
- Control preventivo
- Control técnico
- Controles de compensación
- Cookie
- Copia de seguridad
- Corrección
- Correspondencia de políticas
- Cortafuegos
- Cortafuegos de sistema
- Cortafuegos personal
- Cortafuegos transparente
- Cortafuegos virtuales
- CPS Declaración de Prácticas de Certificación
- Cracker
- Credencial
- Credenciales de autenticación
- Criptoanálisis
- Criptoanálisis diferencial
- Criptoanálisis lineal
- Criptocustodio
- Criptofonía
- Criptófono
- Criptografía
- Criptografía cuántica
- Criptografía de clave pública
- Criptografía de clave secreta
- Criptografía de clave secreta
- Criptografía de curvas elípticas
- Criptografía robusta
- Criptografía sólida
- Criptograma
- Criptología
- Criptológico
- Criptólogo
- Criptosistema
- Criptosistema cuántico
- Criptosistema de uso único (One-Time-Cryptosystem)
- Criptosistema electrónico
- Criptosistema manual
- Criptosistema mecánico
- Criptosistema probabilístico
- Criterios comunes
- Criterios de evaluación de riesgos
- Criterios de riesgo
- CRL Completa
- CRL Incremental
- CRL Indirecto
- Cross Site Scripting XSS
- Cross-site Request Forguery CSRF
- Cross-zone Scripting
- Cryptoki
- CTR Cifrado Modo con Contador
- Cuadro de mando integral
- Cuarentena
- Cuentas predeterminadas
- Curva elíptica
- CVSS
- Cyberslacking
- Datos
- Datos confidenciales de autenticación
- Datos de carácter personal
- Datos de creación de firma
- Datos de verificación de firma
- DDS – Estándar estadounidense de firma digital
- Declaración de aplicabilidad
- Declaración de práctica de certificación
- Declaración de requisitos de seguridad
- Declaración de requisitos de seguridad de la interconexión
- Declaración de seguridad
- Defecto en programas
- Defento en profundidad
- Delegación
- Delegar
- Denegación de servicio
- Denegación de servicio distribuida
- Depósito de claves
- DER Distinguished Encoding Rules
- Derechos de acceso
- Derivación de una clave a partir de otra
- DES – Data Encryption Standard
- Desanonimizar
- Desastre natural
- Desbordamiento de búfer
- Desbordamiento de memoria
- Descifrado
- Descifrar
- Descodificar
- Descriptar
- Descubrimiento electrónico
- Desduplicación
- Desencriptar
- Desfigurar
- Desinfección
- Desmagnetizador
- Destrucción magnética
- Detección de anomalía
- Detección de manipulaciones
- Detección de sucesos
- Detector de manipulación
- Día cero
- Diario remoto
- Difusión
- Diodo de datos
- Disponibilidad
- Dispositivo biométrico
- Dispositivo criptográfico
- Dispositivo de creación de firma
- Dispositivo de protección de perímetro
- Dispositivo de sentido único
- Dispositivo de verificación de firma
- Dispositivo seguro criptográfico
- Dispositivo seguro de creación de firma
- Distribución electrónica de claves
- Distribución física de claves
- DMZ – Zona desmilitarizada
- DNIe
- DNIe vs Certificado Digital
- Doble factor de autenticación A2F 2FA
- Dominio de seguridad
- DoS, DDoS
- Drive-By
- DSA – Digital Signature Algorithm
- DSNIFF
- ECDSA – Elliptic Curve Digital Signature Algorithm
- Efectividad
- Efecto avalancha
- Eficacia
- Elemento peligroso
- Elevación de privilegios
- Emanaciones
- Emanaciones comprometedoras
- Emergencia
- Emplazamiento móvil
- Encadenamiento criptográfico
- Encapsulado
- Encargado del tratamiento
- Encripción
- Encriptar
- Engaño
- Engaño en comunicaciones
- Enigma (máquina)
- Entidad
- Entidad condicionalmente confiable
- Entidad confiable
- Entidad final
- Entidad incondicionalmente confiable
- Entidades autorizadas
- Entorno
- Entrenamiento
- Entropía
- Envenenamiento del DNS
- Envenenamiento del motor de búsqueda
- Equipo criptográfico
- Equipo de cifra
- Equipo rojo
- Escáner de puertos
- Escáner de vulnerabilidades
- Escolta
- ESP – Encapsulating Security Payload
- Espacio de claves
- Especificación de clave
- Esquema de clasificación de datos
- Esquema de El Gamal
- Esquema de evaluación
- Esteganografía
- Estimar
- Etiqueta de clasificación
- Etiqueta de seguridad
- Etiqueta de sensibilidad
- Evaluación
- Evaluación de la seguridad
- Evaluación de la seguridad
- Evaluación de vulnerabilidad
- Evaluación del riesgo
- Evaluador
- Evaluar
- Evento
- Evidencia
- Exploit
- Exposición
- Exposición anual a un riesgo
- Extensible Authentication Protocol
- Extensiones de seguridad para el sistema de nombres de dominio
- Externalización
- Extorsión
- Failover
- Falsa aceptación
- Falsificación de solicitudes entre distintos sitios CSRF
- Falso negativo
- Falso positivo
- Falso rechazo
- FEAL – Fast Data Encipherment Algorithm
- Fiabilidad
- Ficheros ocultos de contraseñas
- Fiduciario
- Filtrado de camino inverso
- Filtrado de egreso
- Filtrado de entrada/salida
- Filtrado de ingreso
- Filtrado de paquetes con información de estado
- Filtrado de paquetes con información de estado e inspección
- Filtrado de paquetes sin información de estado
- Firewall
- Firma ciega
- Firma de un virus
- Firma digital
- Firma digital con apéndice
- Firma digital con recuperación de mensaje
- Firma digital no negable
- Firma electrónica
- Firma electrónica avanzada
- Firma electrónica reconocida
- Firmante
- FIRST – Forum of Incident Response and Security Teams
- Flaw
- Formal
- Fortaleza criptográfica
- Frase de acceso
- Fraude de identidad
- Frontend
- Función de verificación criptográfica
- Función unidireccional
- ICANN
- Identidad digital
- Impacto
- Información de identificación personal
- Infraestructura de Clave Pública (PKI)
- Inspección completa
- Integridad
- IP spoofing
- Medidas de seguridad
- Memoria perdida
- Mensaje disimulado
- Método de ataque
- Modo de soslayo (By-pass mode)
- Motivación
- Partes utilizadoras
- Pasarela de intercambio seguro
- Perder el tiempo
- Persona identificable
- Planificar Ejecutar Comprobar y Actuar
- Políticas de Aplicación Específicas
- Políticas de Seguridad
- Prestador de Servicios de certificación
- Proceso de clasificación/Desclasificación
- Proxy (Intermediario)
- PSeudoaleatorio
- RARP
- Recuperación gradual
- Redigitación de clave
- Repositorios (directorios)
- Responsable de seguridad
- Riesgo inherente
- Riesgo inicial
- Riesgo residual
- Salt
- Seguridad de los ordenadores (COMPUSEC)
- SELinux
- Seudoaleatorio
- Sistema criptográfico
- Software malicioso o malware
- Stateful Firewall
- Suceso
- Suceso de seguridad de la información
- Superficie de ataque
Todos los términos
- Acumulación de privilegios
Proceso gradual por el que un sujeto va incrementando sus derechos de acceso por encima de los que estrictamente requiere para desempeñar su trabajo. - Administrador
Persona responsable de la instalación y configuración de los componentes de un sistema de información. - Administrador de seguridad
Persona que es responsable de la definición o aplicación de una o más partes de una política de seguridad. - Adware
Aplicaciones que durante su funcionamiento despliegan publicidad en ventanas emergentes o barras de herramientas a cambio de la gratuidad en su utilización. La publicidad normalmente permite visitar la página web del anunciante, por lo que requiere conexión a Internet para funcionar. Se diferencian de los programas gratuitos (freeware) en que incorporan publicidad. La mayoría de […] - AES
AES (Advanced Encryption Standard), algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits. - Agente Externo
Persona que accede al sistema desde el exterior del perímetro de seguridad. - Agotamiento de recursos
Ataque consistente en pedirle tantos recursos a un sistema que este queda a todos los efectos incapacitado de servir a nadie más. - Agregación
Circunstancia en la que un conjunto de elementos de información es objeto de una clasificación más elevada que la de cualquiera de sus componentes vistos individualmente. - Agregación de datos
Recopilación de datos no clasificados de tal forma que el conjunto, correlacionado, debiera estar clasificado por cuanto sería de utilidad para perpetrar un ataque. - AH Authentication Header
AH (Authentication Header), cabecera IP que proporciona el servicio de autenticación de un paquete IP que viaje por la red. - AIR GAP
Término usado para describir que dos redes están absolutamente separadas. - Aleatorio
Término que indica que el resultado de un experimento sólo depende del azar, no teniendo relación con los resultados anteriores o posteriores. El fenómeno o experimento no es reproducible. - Alerta
Advertencia de que se ha superado un umbral, de que algo ha cambiado, o de que hubo un Fallo. De forma regular, las alertas se crean y gestionan con herramientas de Gestión de Sistemas y administradas por el Proceso de Gestión de Eventos. Notificación de que el sistema de información es objeto de un ataque. - Algoritmo
Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema. - Algoritmo criptográfico
Función matemática que lleva a cabo un cierto cálculo criptográfico. - Algoritmo criptográfico asimétrico
Algoritmo para ejecutar el cifrado o el descifrado correspondiente, cuyas claves para el cifrado y el descifrado son diferentes. Con algunos algoritmos criptográficos asimétricos, el descifrado del texto cifrado o la generación de una firma digital requiere la utilización de más de una clave privada. - Algoritmo criptográfico simétrico
Algoritmo para realizar el cifrado o el algoritmo correspondiente para realizar el descifrado en el cual se requiere la misma clave para el cifrado y el descifrado. - Algoritmo de cifra
Conjunto finito de operaciones matemáticas (en ocasiones simplemente reglas o pasos) que permiten obtener un texto cifrado a partir de un texto en claro y de ciertos parámetros iniciales, por ejemplo, la clave criptográfica y el vector de inicialización. Este término es sinónimo de «algoritmo de cifrado» y «algoritmo criptográfico». - Algoritmo de descifrado
Proceso que transforma textro cifrado en texto en claro. - Algoritmo de Diffie-Hellman
Primer algoritmo de clave pública, enunciado por W. Diffie y M. Hellman en 1976, que basa su seguridad en la dificultad de calcular logaritmos discretos en un campo finito. Se emplea para distribución de claves pero no para cifrar y descifrar. - Algoritmo irreversible
Algoritmo que emplea o no clave y que se utiliza sólo en un sentido (por ejemplo algoritmos que proporcionan firma de claves, autenticación o integridad). - Algoritmo nacional de cifra
Medio o procedimiento de cifra, material o no material, cuya realización, propiedad y garantía de seguridad pertenece al Estado Español. El órgano con que cuenta el Ministerio de Defensa para establecer esta garantía de seguridad es el Centro Superior de Información de la Defensa, según el Real Decreto 1883/1996 (BOE n° 156 de 8 de […] - Algoritmo personalizable o privatizable
Algoritmo de cifra en el que el usuario puede seleccionar determinados parámetros de su funcionamiento a fin de individualizarlo para su red. - Algoritmo público
Algoritmo de cifra cuyo funcionamiento no se considera información a proteger y es de general conocimiento. - Algoritmo reversible
Algoritmo de cifra que se utiliza para cifrar y descifrar. - Algoritmo secreto
Algoritmo de cifra cuyo funcionamiento interno es considerado por el fabricante o el usuario información a proteger. - Alta disponibilidad
Configuración de los sistemas de forma que garantizan un servicio continuo incluso cuando alguno de sus componentes no se encuentra plenamente disponible. Una aproximación o diseño que minimiza u oculta a los usuarios de un servicio de TI los efectos del fallo de un elemento de configuración. Las soluciones de alta disponibilidad se diseñan para […] - Amenaza
Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización. Condición o actividad capaz de ocasionar que, intencionada o accidentalmente, la información o recursos para el procesamiento de la información se pierdan, modifiquen, queden expuestos o vuelvan inaccesibles; o que sean afectados de algún otro modo […] - Amenaza activa
Amenaza de un cambio no autorizado y deliberado del estado de un sistema. Las amenazas activas suponen, de materializarse, la intrusión y posterior interacción con un sistema de información. Ejemplos de amenazas activas son la interrupción, modificación o fabricación de recursos, la modificación de mensajes, la reproducción de mensajes, la inserción de mensajes espurios, la […] - Amenaza avanzada persistente
APT (Amenaza Avanzada Persistente), se trata de un ataque selectivo de ciberespionaje o cibersabotaje llevado a cabo bajo el auspicio o la dirección de un país, por razones que van más allá de las meramente financieras/delictivas o de protesta política. No todos los ataques de este tipo son muy avanzados y sofisticados, del mismo modo […] - Amenaza pasiva
Amenaza de revelación no autorizada de la información sin modificar el estado del sistema. Amenaza a la confidencialidad de la información que, de materializarse, no cambia el estado del sistema. Por ejemplo, la interceptación de un canal de transmisión de datos. Estas amenazas, de materializarse, son más difíciles de detectar que las activas y la […] - Análisis de fallos
Análisis de la respuesta de un dispositivo criptográfico ante diferentes fallos provocados, con el objeto de inferir información acerca de las claves usadas. - Análisis de impacto en el negocio
BIA (Análisis de Impacto en el Negocio), es la actividad de la gestión de la continuidad del negocio que identifica las funciones vitales del negocio y sus dependencias. Estas dependencias pueden incluir proveedores, personas, otros procesos de negocio, servicios TI, etc. BIA define los requerimientos de recuperación para los Servicios TI. Dichos requerimientos incluyen objetivos […] - Análisis de paquetes TCP
Técnica útil para detectar qué sistema operativo se usa en un cierto equipo remoto. Consiste en analizar los paquetes TCP que envía buscando características signulares peculiares de un cierto sistema. - Análisis de riesgos
Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. El análisis del riesgo proporciona las bases para la evaluación del riesgo y para tomar las decisiones relativas al tratamiento del riesgo. El análisis del riesgo incluye la estimación del riesgo. Utilización sistemática de la información disponible para identificar peligros y […] - Análisis de seguridad de la red
Proceso mediante el cual se buscan vulnerabilidades en los sistemas de una entidad de manera remota a través del uso de herramientas manuales o automatizadas. Análisis de seguridad que incluyen la exploración de sistemas internos y externos, así como la generación de informes sobre los servicios expuestos a la red. Los análisis pueden identificar vulnerabilidades […] - Análisis de tiempos
Análisis del tiempo de procesamiento empleado por un dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas. - Análisis de tráfico
Observación del tráfico de datos (presencia, ausencia, dirección, volumen y frecuencia) en un canal de transmisión para inferir información. Cuando la dificultad de descifrar los datos transmitidos por un canal es grande, este tipo de ataque puede proporcionar interesantes conjeturas sobre los mismos. Inferencia de información a partir de la observación de flujos de tráfico […] - Análisis diferencial de consumo
Análisis del consumo de energía realizado por un módulo criptográfico con el objetivo de extraer información relacionada con las claves criptográficas con las que trabaja. A diferencia del análisis simple, aquí se estudian estadísticamente las variaciones de las observaciones realizadas con diferentes datos de entrada. - Análisis forense
El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem. También se […] - Análisis heurístico
Se hace cuando, a fin de detectar la presencia de virus, se estudia el comportamiento de los programas. El comportamiento anómalo permite inferir la infección. - Análisis simple de consumo
Análisis del consumo de energía realizado por un módulo criptográfico o dispositivo criptográfico para tratar diferentes entradas, con el objeto de inferir información acerca de las claves usadas. - Anonimato
Carácter o condición de anónimo. Dicho de una obra o de un escrito: que no lleva el nombre del autor. Dicho de un autor: cuyo nombre se desconoce. - Anonymizer
Servicio, dispositivo o aplicación interpuestos que impiden a los servidores web ver la dirección IP de sus usuarios. - Anonymous remailer
Servidor intermedio de mensajería electrónica cuya función es reenviar los mensajes recibidos habiendo eliminado previamente la identificación del remitente. - Anti automatización
Medida de seguridad de los servidores web que impiden el acceso automatizado. La técnica consiste en exigir al usuario que demuestre ser humano pasándole una prueba de difícil resolución por un robot, por ejemplo usando captcha. - Anti-spam
Contramedida cuyo objetivo es la contención de correo electrónico no solicitado (spam). - Anti-spoof
Medidas para prevenir el abuso de datos de identificación y autenticación, impidiendo que alguien se haga pasar por quien no es. - Anti-spyware
Contramedida cuyo objetivo es evitar la infección por código malicioso de tipo spyware. - Antivirus
Aplicación informática cuya finalidad es la detección, detención y eliminación de virus y demás códigos maliciosos. Programa o software capaz de detectar y eliminar los diferentes tipos de programas maliciosos (también conocidos como «malware»), incluidos virus, gusanos, troyanos o caballos troyanos, spyware, adware y rootkits, y de proteger su computadora contra estos. - Apéndice
Bits formados por la signatura y una cadena de texto opcional. - Aplicación
Programa informático que realiza una determinada función, directamente para el usuario sin requerir privilegios especiales. - Apreciación del riesgo
Proceso global que comprende la identificación del riesgo, el análisis del riesgo y la evaluación del riesgo. - Arquitectura de seguridad
Un planteamiento y un plan que cubre: Los servicios de seguridad que se le exigen a un sistema. Los componentes necesarios para proporcionar dichos servicios. Las características que se requieren de dichos componentes para enfrentarse eficazmante a las amenazas previsibles. - Asociación de seguridad
SA (Asociación de Seguridad), relación establecida entre dos entidades que les permite proteger la información que intercambian. - Ataque
Tentativa de destruir, exponer, alterar, inhabilitar, robar, acceder sin autorización o hacer un uso no autorizado de un activo. Explotación de una o varias vulnerabilidades utilizando un método de ataque con una oportunidad dada. Algunos ejemplos de ataques: Gran oportunidad de uso de software falsificado o copiado debido a la ausencia total de concienciación o […] - Ataque «Encontrarse en el medio»
Ataque contra sistemas de doble cifrado. Para buscar las dos claves, se cifra el texto en claro con una clave, mientras se descifra el texto cifrado con otra clave. Si los resultados coinciden es que hemos hallado ambas claves. - Ataque a la validación de datos
Ataques en los que el atacante introduce deliberadamente datos erróneos con el fin de confundir a la aplicación. - Ataque algebraico
Ataque basado en las propiedades algebraicas del un algoritmo de cifra. - Ataque con sólo texto cifrado
Variante de análisis criptográfico donde el atacante sólo dispone de texto cifrado. - Ataque con texto cifrado escogido
Método criptoanalítico en el cual el atacante puede obtener el texto en claro correspondiente a cualquier texto cifrado por él elegido. - Ataque con texto en claro conocido
Agresión al cifrado que pretende averiguar la clave criptográfica usada a partir del conocimiento de uno, o varios, textos cifrados y el texto en claro del, o de los, que procede, así como del algoritmo de cifra usado. Es el ataque usual a mensajes cifrados con algoritmos conocidos y transmitidos mediante protocolos normalizados (por ejemplo, […] - Ataque con texto en claro escogido
Ataque consistente en elegir un texto en claro y comparar aquél con el texto cifrado obtenido, para así tratar de hallar la clave criptográfica que se está empleando. Presupone el conocimiento del algoritmo de cifra usado, o al menos el acceso al dispositivo en que está implementado. Un ejemplo típico se tiene en el usuario […] - Ataque controlado
Ataque a un sistema autorizado y controlado por el propietario del sistema. Tiene como objeto adelantarse a ataques reales para descubrir vulnerabilidades antes de que sean explotadas. - Ataque de reproducción
Ataque consistente en capturar una transmisión de datos correcta y reproducirla posteriormente. Es un ataque típico para capturar secuencias de autenticación correctas y reproducirlas luego para que el atacante logre los mismos derechos de acceso. - Ataque del cumpleaños
Ataque de fuerza bruta que busca colisiones probando todas las combinaciones posibles de dos textos. Se basa en la paradoja del cumpleaños, que se puede resumir diciendo que la probabilidad de que dos o más personas en un grupo de individuos hayan nacido el mismo día, es superior al 50% cuando el número de personas […] - Ataque dirigido
Son aquellos ataques realizados normalmente de manera silenciosa e imperceptible, cuyo objetivo es una persona, empresa o grupos de ambas. No son ataques masivos, porque su objetivo no es alcanzar al mayor número posible de ordenadores. Su peligro estriba precisamente en que son ataques personalizados, diseñados especialmente para engañar a las potenciales víctimas. - Ataque distribuido
Ataque realizado mediante múltiples agentes desde diferentes lugares. - Ataque exhaustivo
Caso particular de ataque sólo al texto cifrado en el que el criptoanalista, cociendo el algoritmo de cifra, intenta su descifrado probando con cada clave del espacio de claves. Si el cardinal de este último es un número muy grande, el tiempo invertido en recorrer el citado espacio es muy grande, y las probabilidades de […] - Ataque por deslizamiento
Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. El ataque busca debilidades en la generación de sub-claves para cada ciclo. - Ataque por diccionario
Método empleado para romper la seguridad de los sistemas basados en contraseñas (password) en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático. Generalmente se emplean programas especiales que se encargan de ello. - Ataque por inferencia
Ataques que se basan en información deducida lógicamente a partir de piezas aparentemente inconexas. - Ataque por monitorización
Familia de métodos de ataque que se refiere a técnicas pasivas de análisis del comportamiento de un dispositivo criptográfico mientras se ejecutan tareas normales. - Atributo
Una propiedad de una entidad, física o abstracta. - Auditoría
Proceso sistemático, independiente y documentado para obtener las evidencias de auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría. Una auditoría puede ser interna (de primera parte), o externa (de segunda o tercera parte), y puede ser combinada (combinando dos o más […] - Auditoría de la seguridad
Revisión y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos. Estudio y […] - Auditoría de seguridad de sistemas de información
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Las auditoras de seguridad de […] - Auditoría de sistemas de información
La auditoría de sistemas de información es realizada para verificar ya sea por un equipo interno o externo que analiza el funcionamiento y la distribución de los controles en los procesos de información de una empresa, organización o cualquier sistema que utilice medios de información. Principalmente se realizan para encontrar fallas en el sistema a […] - Autenticación
Acción y efecto de autenticar (dar fe de la verdad de un hecho o documento con autoridad legal). Proceso para verificar la identidad de un individuo, dispositivo o proceso. Por lo general, la autenticación ocurre a través del uso de uno o más factores de autenticación, tales como: Algo que el usuario sepa, como una […] - Autenticación compleja o fuerte
Tipo de autenticación utilizado en algunas aplicaciones que no se basa únicamente en la demostración de la identidad por una contraseña, sino que intercambia más información ofreciendo más seguridad. En general uno de los corresponsales genera un código que transmite y el otro corresponsal debe devolverlo procesado de un modo preestablecido. Puede ser: De un […] - Autenticación con dos elementos
Utilización de dos elementos de autenticación independientes. Por ejemplo: una tarjeta inteligente activada por un PIN. La idea es que la combinación de elementos es más robusta que cada elemento por independiente. - Autenticación con tres elementos
Utilización de tres elementos de autenticación independientes. Por ejemplo: una tarjeta inteligente activada por un PIN, con verificación biométrica. La idea es que la combinación de elementos es más robusta que cada elemento por independiente. - Autenticación de dos factores
Método de autenticación de un usuario mediante la comprobación de dos o más factores. Estos factores incluyen algo que el usuario posee (como un token de hardware o software), algo que sabe (como una contraseña, frase de seguridad o PIN) o algo que el usuario es o algo que hace (como las huellas dactilares y […] - Autenticación de entidad par
Corroboración de que una entidad par en una asociación es la pretendida. - Autenticación de la otra parte
Corroboración de que entidad con la que se establece una asociación de seguridad es la que alega ser. - Autenticación de una entidad
Comprobación de que una entidad es la que alega ser. Una prueba que permite a un sistema de información identificar fehacientemente a una entidad. - Autenticación de una entidad homologada
Comprobación de que una de las entidades homólogas de una asociación es la alegada. - Autenticación fuerte
Autenticación mediante credenciales obtenidas por técnicas criptográficas simétricas o asimétricas. La autenticación fuerte puede ser de un sentido, de dos o de tres. En la primera, un usuario, A, se identifica y autentica, mediante credenciales, ante otro, B, sin que éste haga lo mismo frente a A. En la segunda, la autenticación es mutua de […] - Autenticación multifactor
Autenticación utilizando dos o más factores. Por ejemplo: Algo que se sabe (como una contraseña o un PIN). Algo que se tiene (como un dispositivo criptográfico de identificación). Algo que se es (o sea, características biométricas). - Autenticación simple
Autenticación mediante contraseñas. Servicio de seguridad que previene contra transmisiones fraudulentas. Puede determinar la validez de la pareja de corresponsales (peer-entity) o del origen del mensaje recibido. Como mecanismo de seguridad, es el procedimiento que presta dicho servicio, para conseguir la autenticidad de la información (técnicas criptográficas, empleo de características o propiedades del corresponsal, contraseñas […] - Autenticidad
Propiedad consistente en que una entidad es lo que dice ser. - Autenticidad de origen de datos
Comprobación/confirmación de que la fuente de los datos recibidos es la alegada. - Auténtico
Certificación con que se testifica la identidad y verdad de algo. - Autentificación
Sinónimo de autenticación. - Autentificación simple
Sinónimo de autenticación simple. - Autoridad
Entidad responsable de la expedición de certificados. En esta especificación se definen dos tipos; la autoridad de certificación que expide certificados de clave pública y la autoridad de atributo que expide certificados de atributo. - Autoridad de atributo
Una AA (Autoridad de Atributo) es una entidad autorizada para emitir certificados de atributos. Autoridad que asigna privilegios expidiendo certificados de atributo. - Autoridad de certificación
Una AC (Autoridad de Certificación) es una entidad perteneciente a un prestador de servicios de certificación encargada, fundamentalmente, de la emisión de certificados electrónicos. En una estructura jerárquica de autoridades de certificación (PKI jerárquica), la que inicia la jerarquía es la autoridad de certificación raíz, y las que actúan bajo ella se denominan autoridades de […] - Autoridad de evaluación
Organismo que implementa los CC para una comunidad específica mediante un esquema de evaluación por el que se establecen las normas y se supervisa la calidad de las evaluaciones realizadas por organismos de dicha comunidad. - Autoridad de registro
La Autoridad de Registro es la responsable de verificar el enlace entre los certificados, concretamente entre la clave pública del certificado y la identidad de sus titulares. Componente opcional dentro de una PKI (Infraestructura de clave pública). Ayuda a la Autoridad de Certificación en sus relaciones con la entidad final: identificación del titular, distribución de […] - Autoridad de seguridad
Entidad que es responsable de la definición, aplicación o cumplimiento de la política de seguridad. - Autoridad de sellado de tiempo
Tercera parte confiable para prestar servicios de fechado electrónico. La Autoridad de sellado de tiempo (TSA, Timestamping Authority) es un prestador de servicios de certificación que proporciona certeza sobre la preexistencia de determinados documentos electrónicos a un momento dado, cuya indicación temporal junto con el hash del documento se firma por la Autoridad de sellado […] - Autoridad de validación
La Autoridad de Validación es el componente que tiene como tarea suministrar información sobre la vigencia de los certificados electrónicos que, a su vez, hayan sido registrados por una Autoridad de Registro y certificados por la Autoridad de Certificación. La Autoridad de Validación es una entidad considerada opcional, encargada de comprobar la validez de los […] - Autorización
En el contexto del control de acceso, la autorización es el otorgamiento de derechos de acceso u otros derechos similares a un usuario, programa o proceso. La autorización define lo que un individuo o programa puede hacer después de un proceso de autenticación satisfactorio. En lo que se refiere a una transacción con tarjeta de […] - Autoservicio de recuperación de contraseña
Proceso que permite a los usuarios recuperar el acceso a un sistema tras haber perdido su contraseña, sin recurrir al centro de ayuda de usuarios. Es habitual que el usuario proporcione una dirección de correo electrónico a la que le será enviada una contraseña temporal de desbloqueo. Mediante esta contraseña temporal, y durante un periodo […] - Árbol de ataque
Estructura de datos en forma de árbol donde a partir de un objetivo final (representado como la raíz) se identifican (como ramificaciones) objetivos secundarios que nos permitirían alcanzar el objetivo final. Los árboles de ataque se utilizan para modelar las posibles vías por las que puede perpetrarse un ataque. - Área confidencial
Todo centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan, procesen o transmiten datos de titulares de tarjetas. No se incluyen las áreas en las que se encuentran presentes terminales de punto de venta, tales como el área de cajas en un comercio. - Backorifice
Back Orifice es un programa de control remoto de ordenadores que funciona bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar cualquier función del ordenador remoto, entre los que destaca abrir y cerrar programas, controlar el CD, leer y modificar ficheros o borrar parte […] - Barrido de IP
Sinónimo de Barrido de puertos. - Barrido de puertos
Acción por la cual se chequean los puertos de comunicaciones y/o las direcciones IP de un ordenador, para localizarlos y obtener información sobre su estado. - Base de datos de gestión de la configuración CMDB
Base de datos usada para almacenar registros de configuración durante todo su ciclo de vida. El Sistema de Gestión de la Configuración mantiene una o más CMDB, y cada CMDB contiene atributos de CI y relaciones con otros CI. - Bastión
Equipos de frontera que, situados fuera de la red interna, ofrecen servicios al exterior. Estos equipos hacen virtud de la necesidad de estar bien asegurados pues están muy expuestos a ataques externos. Se dice que un equipo está «fortificado» cuando se le han aplicado todas las protecciones conocidas, de forma que no adolece de ninguna […] - Bastionado
Implementar todas las medidas de seguridad posibles para proteger un sistema. - Basuring en memoria
Acceso a información residual en la memoria de los dispositivos o sistemas con el ánimo de acceder a secretos. - Big endian
Ordenación de los bytes en memoria: byte más significativo primero. - Biométrico
Procedimiento de autenticación basado en la medición de alguna característica física o biológica de una persona. Por extensión, también se aplica a la autenticación mediante la comprobación de algún hábito o rasgo personal de un individuo. Por ejemplo, en sentido estricto son procedimientos biométricos: El reconocimiento de la huella dactilar. La geometría de la mano. […] - Blowfish
Blowfish es un codificador de bloques simétricos, diseñado por Bruce Schneier en 1993 e incluido en un gran número de conjuntos de codificadores y productos de cifrado. Aunque ningún analizador de cifrados de Blowfish efectivo ha sido encontrado hoy en día, se ha dado más atención a la decodificación de bloques con bloques más grandes, […] - Bomba lógica
Clase de virus que carece de la capacidad de replicación y que consiste en una cadena de código que se ejecuta cuando una determinada condición se produce, por ejemplo, tras encender el ordenador una serie de veces, o pasados una serie de días desde el momento en que la bomba lógica se instaló en nuestro […] - Borrado
Eliminación de la información de un sistema de información, sus equipos de almacenamiento y demás periféricos. El borrado debe ser sistemático y garantizar que la información no es recuperable por medio alguno. Por si fuera posible recuperar información de equipos teóricamente borrados, los soportes de información no deberían ser reutilizados sino con información del mismo […] - Borrado seguro
También llamada «limpieza segura», es un método de sobrescritura de los datos que se encuentran en un disco duro o en otro medio digital, lo que impide la recuperación de los datos. - Botnet
Red de equipos infectados por un atacante remoto. Los equipos quedan a su merced cuando desee lanzar un ataque masivo, tal como envío de spam o denegación distribuida de servicio. Conjunto de ordenadores controlados remótamente por un atacante que pueden ser utilizados en conjunto para realizar actividades maliciosas como envío de spam, ataques de DDoS, […] - Bóveda electrónica
La bóveda electrónica o e-vaulting es el proceso de transferencia de datos por vía electrónica a un sitio de copia de seguridad, a diferencia del envío físico de cintas o discos con copias de seguridad. Los criterios principales en materia de e-vaulting son la capacidad de ancho de banda, de almacenamiento y del coste. La […] - Bug
Error generalmente de diseño de un programa o producto que es descubierto después de ser lanzado al mercado. - Bulo
Mensaje de correo electrónico (o por otros medios como las redes sociales) creado para su reenvío masivo que intenta hacer creer al remitente algo que es falso. El bulo más común es para alertar de virus inexistentes. Pueden ser varias las motivaciones para crear dicho mensaje, algunas de ellas son para recopilar gran cantidad de […] - Bypass
Modo de funcionamiento de un equipo de cifra de datos en el que permite el paso de información en claro a través de él sin modificarla. Este modo de funcionamiento está previsto para poder efectuar pruebas de línea desde el equipo terminal de datos hasta el equipo de comunicación de datos (módem) próximo o lejano, […] - Caballo de Troya
Introducción subrepticia en un medio no propicio, con el fin de lograr un determinado objetivo. También denominado “caballo de Troya”. Una clase de software malicioso que al instalarse permite al usuario ejecutar funciones, mientras los troyanos ejecutan funciones maliciosas sin que este lo sepa. Programa que no se replica ni hace copias de sí mismo. […] - Cadena de certificados de seguridad
Secuencia ordenada de certificados de seguridad, en la cual el primer certificado de seguridad contiene información pertinente a la seguridad y cada certificado de seguridad subsiguiente contiene información de seguridad que se puede utilizar para verificar certificados de seguridad previos. - Cadena de delegación
Secuencia ordenada de certificados que permite verificar la correcta delegación de un privilegio de una entidad a otra. - Cámara de seguridad electrónica
Procedimiento de copia de seguridad consistente en que se copian los datos modificados en un servidor y se transmiten a un lugar fuera de las instalaciones mediante un proceso por lotes. - Cambio de clave
Cambio de la clave de un sistema criptográfico. - Camelia
Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits. - Canal confiable
Medio por el que se pueden comunicar, con la confianza necesaria, la TSF y un producto de TI confiable remoto. - Canal oculto
Mecanismo no proyectado para comunicaciones, que es usado para transferir información violando la seguridad (ITSEC). Canal de transmisión que permite a un proceso transmitir datos violando la política de seguridad del sistema (TCSEC). Puede presentarse como canal de almacenamiento (storage channel) o como canal de tiempo (timing channel). El primero sucede cuando un proceso puede […] - Canal subliminal
Transmisión de información de manera oculta sobre un canal que transmite información. Se aplica especialmente a algunos esquemas de firma digital. - Capacidad
Testigo (token) usado como identificador de un recurso, tal que la posesión del mismo por una entidad le confiere derechos de acceso sobre dicho recurso. Mecanismo de control de acceso que asocia a cada sujeto los objetos y los derechos de acceso que posee sobre estos últimos. - Capacidad de supervivencia
Capacidad de un sistema para continuar prestando un servicio activamente bajo condiciones adversas. Se consideran tanto desastres naturales, como accidentes y ataques deliberados. - CAPI – Cryptographic Application Programming Interface
Interfaz normalizada para que los programas usen servicios criptográficos facilitados por diferentes proveedores bajo una interfaz homogénea. - CAPTCHA
Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos). Se trata de una prueba desafío-respuesta utilizada en computación para determinar cuándo el usuario es o no humano. El término se empezó a utilizar en el año […] - Capturador de pulsaciones de teclado
Programa que intercepta todas las pulsaciones realizadas en el teclado (e incluso a veces también el ratón), y las guarda en un archivo para obtener datos sensibles como contraseñas, usuarios, etc.. Posteriormente puede ser enviado a un tercero sin conocimiento ni consentimiento del usuario. - Carga remota de claves
Transmisión de un equipo criptográfico a otro de una clave criptográfica cifrada, que una vez descifrada operará en este último. La transmisión cifrada evita el compromiso de la clave criptográfica. Técnica por la que un equipo de cifra puede transmitir a otro compatible una clave cifrada que, una vez descifrada, puede utilizar en operaciones de […] - Cargador de claves
Unidad electrónica autocontenida capaz de almacenar, al menos, una clave criptográfica y transmitir esta, bajo petición, al equipo criptográfico. - Cartas nigerianas
Las conocidas como cartas nigerianas son una forma de estafa tradicional que empleando las nuevas tecnologías, en particular el correo electrónico, consisten en el envío de comunicaciones o cartas en las que el remitente pone a disposición del destinatario ofertas “falsas” para participar en negocios supuestamente rentables, o con la intención de involucrar a la […] - CAST
Algoritmo de cifra basado en un secreto compartido (clave). CAST-128: cifra el texto en bloques de 64 bits. Utiliza claves de 40 a 128 bits. CAST-256: cifra el texto en bloques de 128 bits. Utiliza claves de 128, 192 o 256 bits. - CAST-128
CAST-128 (o también CAST5) es un cifrador por bloques usado en un gran número de productos, notablemente como cifrador por defecto en algunas versiones de GPG y PGP. Ha sido aprobado por el gobierno canadiense para ser usado por el Communications Security Establishment. El algoritmo fue creado en 1996 por Carlisle Adams y Stafford Tavares […] - CAST-256
CAST-256 (o también CAST6) es un algoritmo de cifrado por bloques publicado en junio de 1998 y propuesto como candidato para el programa Advanced Encryption Standard (AES). Es una extensión de algoritmo de cifrado CAST-128; ambos fueron diseñados siguiendo la metodología de diseño «CAST» inventada por Carlisle Adams y Stafford Tavares. Howard Heys y Michael […] - Catástrofe
Suceso que produce gran destrucción o daño. Cambio brusco de estado de un sistema dinámico, provocado por una mínima alteración de uno de sus parámetros. - Categoría de un sistema
Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios. - CBC Cipher Block Chaining
Cifrado de información tal que cada bloque de texto cifrado es criptográficamente dependiente del precedente. Modalidad de cifrado de bloques en la cual cada bloque cifrado se realimenta a la entrada del cifrador para componerse o-exclusivo con el siguiente texto en claro, cifrándose seguidamente el resultado. Su aplicación más frecuente se encuentra en el almacenamiento […] - CCM – Counter with cipher block chaining-message authentication code
Modo de operación de un cifrador que garantiza confidencialidad y autenticidad. - Ceguera
Ceguera (blinding) es una técnica de ocultación de tráfico importante en una red. La técnica consiste en inyectar tráfico masivo que provoque una saturación en los detectores que pudieran estar al acecho. - Centro de distribución de claves
Instalación que genera y entrega claves criptográficas para su distribución. Equipo utilizado en una red de cifra para generar y distribuir física o electrónicamente claves a los equipos de la misma, pudiendo crear diversas subredes a base de asignar distintas claves a diversos grupos de cifradores. - Centro de generación de claves
Tercero en el que confían las partes para que genere claves privadas de firma. - CERT Equipo de reacción rápida ante incidentes informáticos
CERT (Computer Emergency Response Team), organización especializada en responder inmediatamente a incidentes relacionados con la seguridad de las redes o los equipos. También publica alertas sobre amenazas y vulnerabilidades de los sistemas. En general tiene como misiones elevar la seguridad de los sistemas de los usuarios y atender a los incidentes que se produzcan. - Certificación
Emisión de un certificado que acredita la Conformidad con un Estándar. La Certificación incluye una Auditoría formal realizada por un organismo independiente y acreditado. El término «Certificación» también se usa para denotar la concesión de un certificado que acredita que una persona ha logrado una cualificación determinada. - Certificación de la seguridad
Determinación positiva de que un producto o sistema tiene capacidad para proteger la información según un nivel de seguridad y de acuerdo a unos criterios establecidos en el procedimiento o metodología de evaluación correspondiente. Confirmación del resultado de una evaluación, y que los criterios de evaluación utilizados fueron correctamente aplicados. Emisión de un informe formal […] - Certificado
En un sistema de clave pública, clave pública de un usuario más alguna otra información, todo ello cifrado con la clave privada de la autoridad de certificación, para hacerlo infalsificable. Documento, expedido por la autoridad competente, que concede a un equipo de cifra una determinada habilitación de seguridad. - Certificado autoexpedido
Certificado de clave pública en el que el expedidor y el sujeto son la misma autoridad de certificación (CA). Una CA podría utilizar certificados autoexpedidos, por ejemplo, durante una operación de renovación de clave para pasar la confianza de la clave antigua a la clave nueva. - Certificado autofirmado
Constituye un caso especial de certificados autoexpedidos en los que la clave privada utilizada por la autoridad de certificación (CA) para firmar el certificado corresponde a la clave pública que está certificada en el certificado. Una CA podría utilizar un certificado autofirmado, por ejemplo, para anunciar su clave pública u otra información sobre sus operaciones. […] - Certificado cruzado
Clave pública o certificado de atributo en el que el expedidor y el sujeto/titular son respectivamente dos CA o dos AA diferentes. Las CA y las AA expiden respectivamente certificados cruzados a otras CA o AA como mecanismo para autorizar la existencia de la CA sujeto (por ejemplo, en una jerarquía estricta) o para reconocer […] - Certificado de AC
Certificado para una CA expedido por otra CA. - Certificado de Administración Pública
En España, la Fábrica Nacional de Moneda y Timbre, a través de la Entidad Pública de Certificación CERES hace la distinción de varios tipos de certificado. En el caso del Certificado de Administración pública, corresponde a uno de los sistemas de identificación de las Administraciones Públicas, así como los sistemas de firma electrónica del personal […] - Certificado de atributo
Estructura de datos, firmada digitalmente por una autoridad de atributo, que vincula algunos valores de atributo con información de identificación de su titular. - Certificado de atributo autoexpedido
Certificado de atributo (AC) en el que el expedidor y el sujeto son la misma autoridad de atributo. Una autoridad de atributo podría utilizar un AC autoexpedido, por ejemplo, para publicar información de políticas. - Certificado de autenticación
Información de autenticación en forma de certificado, avalado por una Autoridad de Certificación, que puede ser usado para confirmar la identidad de una entidad. Tiene como finalidad garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. El Certificado de Autenticación asegura que la comunicación electrónica se realiza con la persona que dice que […] - Certificado de autoridad
Certificado expedido a una autoridad (por ejemplo, puede ser a una Autoridad de Certificación o a una Autoridad de Atributo). - Certificado de clave pública
Es la pieza central de la infraestructura PKI, y es la estructura de datos que enlaza la clave pública con los datos que permiten identificar al titular. Su sintaxis, se define empleando el lenguaje ASN.1 (Abstract Syntax Notation One), y los formatos de codificación más comunes son DER (Distinguish Encoding Rules) o PEM (Privacy Enhanced […] - Certificado de clave pública
Clave pública de un usuario, junto con alguna otra información, hecha infalsificable por firma digital con la clave privada de la Autoridad de Certificación que la emitió. - Certificado de firma
El propósito de este certificado es permitir al ciudadano firmar trámites o documentos. Este certificado permite sustituir la firma manuscrita por la electrónica en las relaciones del ciudadano con terceros. - Certificado de Persona Física
El Certificado FNMT de Persona Física, que se emite sin coste a cualquier ciudadano que esté en posesión de su DNI o NIE, es la certificación electrónica expedida por la FNMT-RCM que vincula a su Suscriptor con unos Datos de verificación de Firma y confirma su identidad personal. Este certificado le permitirá identificarse de forma […] - Certificado de Representante
En España, la Fábrica Nacional de Moneda y Timbre, a través de la Entidad Pública de Certificación CERES hace la distinción de varios tipos de certificado. Para el caso de los certificados de representante, existen los siguientes tipos de certificados de Representante: Representante de Administrador Único o Solidario. Representante de Persona Jurídica. Representante de Entidad […] - Certificado de revocación
Certificado de seguridad expedido por una Autoridad de Seguridad para indicar que un determinado certificado de seguridad ha sido revocado. - Certificado de seguridad
Conjunto de datos pertinentes a la seguridad expedida por una Autoridad de Seguridad o tercera parte confiable, junto con información de seguridad que se utiliza para proporcionar servicios de integridad y autenticación de origen de los datos para los datos. Se considera que todos los certificados son certificados de seguridad. Se adopta el término certificado […] - Certificado de usuario
Clave pública de un usuario, junto con alguna otra información adicional, que se hace infalsificable cifrándola con la clave privada de la Autoridad de Certificación que las emite (X.509). A menudo se denomina simplemente Certificado. - Certificado digital
Documento electrónico que permite asociar una clave criptográfica pública a una entidad propietaria de dicha clave, y que está protegido criptográficamente para garantizar su integridad y su autenticidad. Un Certificado Digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o […] - Certificado electrónico
Documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma (clave pública) a un firmante y confirma su identidad. Un certificado electrónico es emitido y firmado por una entidad con capacidad para ello y sirve para identificar a una persona. A esa entidad se le suele llamar […] - Certificados de Componente
En España, la Fábrica Nacional de Moneda y Timbre, a través de la Entidad Pública de Certificación CERES hace la distinción de varios tipos de certificado. En el caso del Certificado de Componente, son certificados electrónicos para la identificación de servidores o aplicaciones informáticas, heredando la confianza de la FNMT-RCM como Autoridad de Certificación. - Certificados de empresa
En el caso de personas jurídicas, es decir, empresas, se requiere el uso de otro tipo de certificados electrónicos para relacionarse con las Administraciones Públicas, relaciones que deben ser obligatoriamente electrónicas, a diferencia de los ciudadanos que pueden elegir si se comunican con las Administraciones Públicas o no. Podemos diferenciar tres tipos de certificados digitales […] - Certificados reconocidos
Son los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten. Los certificados reconocidos incluirán, al menos, los […] - CFB Cipher Feedback Mode
Modalidad de cifrado de bloques que realimenta el texto cifrado, o parte del mismo para ser nuevamente cifrado operando el resultado o-exclusivo con el texto el claro, para obtener el siguiente bloque del texto cifrado. Si se realimentan n bits, el cifrado se denomina en modo realimentado de n bits. Su aplicación más frecuente se […] - CHAP Challenge-Handshake Authentication Protocol
Protocolo de reto-respuesta por el que el receptor del reto es capaz de generar una respuesta válida, sólo si es quien dice ser. El reto debe cambiarse continuamente, sin repeticiones, para evitar ataques de «replay». - Ciberamenaza
Amenaza a los sistemas y servicios presentes en el ciberespacio o alcanzables a través de éste. - Ciberataque
Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan. Uso del ciberespacio para atacar a los sistemas y servicios presentes en el mismo o alcanzables a […] - Ciberdefensa
Concepto que engloba todas las actividades ofensivas y defensivas en las que se utilizan como medio aquellos relacionados con las infraestructuras TIC (por ejemplo, redes de ordenadores, ordenadores, programas informáticos, etc.), y cuyo “campo de batalla” es el Ciberespacio. Las actividades de desarrollo de la ciberdefensa van encaminadas hacia la capacitación de los gobiernos y […] - Ciberdelincuencia
Actividades delictivas llevadas a cabo mediante el empleo del ciberespacio, ya sea para dirigirlas hacia los sistemas y servicios presentes en el mismo o alcanzables a través de él. - Ciberdelito
Actividad delictiva que emplea el ciberespacio como objetivo, herramienta o medio. Algunos ejemplos de ciberdelitos: fraude, suplantación de personalidad, robo, crimen organizado, etc.. - Ciberespacio
Dominio global y dinámico compuesto por infraestructuras de tecnología de la información, incluyendo internet, redes de telecomunicaciones y sistemas de información. Espacio virtual que engloba todos los sistemas TIC, tanto sistemas de información como sistemas de control industrial. El ciberespacio se apoya en la disponibilidad de Internet como red de redes, enriquecida con otras redes […] - Ciberguerra
Lucha armada (en este caso las armas son las TIC) entre dos o más naciones o entre bandos de una misma nación, en la que se utiliza el Ciberespacio como campo de batalla. - Ciberincidente
Incidente relacionado con la seguridad de las TIC que se produce en el Ciberespacio. Este término engloba aspectos como los ataques a sistemas TIC, el fraude electrónico, el robo de identidad, el abuso del Ciberespacio, etc. - Ciberinfraestructura
Agregado de sistemas, procesos y personas que constituyen el ciberespacio. - Ciberseguridad
Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y la información que manejan. Conjunto de actuaciones orientadas a asegurar, en la medida de lo posible, las redes y sistemas de que constituyen el ciberespacio: Detectando y enfrentándose a intrusiones. Detectando, reaccionando […] - Ciberterrorismo
El ciberterrorismo o terrorismo electrónico es el uso de medios de tecnologías de información, comunicación, informática, electrónica o similar con el propósito de generar terror o miedo generalizado en una población, clase dirigente o gobierno, causando con ello una violación a la libre voluntad de las personas. Los fines pueden ser económicos, políticos o religiosos […] - Ciclo de Deming
Ciclo de gestión de procesos en cuatro etapas, atribuido a Ed-ward Deming. Plan-Do-Check-Act es también conocido como el Ciclo de Deming: PLAN: diseñar o revisar procesos que soportan servicios de TI. DO: implementación del Plan y gestión de los Procesos. CHECK: medición de los procesos y de los servicios de TI, comparación con los objetivos […] - Cifra de clave pública
Véase Criptografía de clave pública. - Cifra de clave secreta o cifra simétrica
Sistema en el que las claves para cifrar son iguales a las de descifrar, y en el que la totalidad o la mayor parte de las claves permanecen en secreto (clave secreta). - Cifra en serie o en flujo
Procedimiento de cifrado por sustitución en el que a cada carácter del texto en claro se le suma un carácter de la serie cifrante para obtener el texto cifrado. Si la serie cifrante es independiente del texto claro, se denomina síncrona, mientras que si un número determinado de caracteres de la serie cifrante son función […] - Cifra encubierta
Procedimientos encaminados a ocultar la existencia de un mensaje (tintas invisibles, micropunto, disimulación de archivos…). - Cifra estratégica o de alto nivel
Cifra orientada a proporcionar confidencialidad durante un largo periodo de tiempo, aún ante criptoanálisis con medios especializados. - Cifra simétrica
Veáse Criptografía de clave secreta. - Cifra táctica o de bajo nivel
Cifra orientada a proporcionar confidencialidad durante un tiempo limitado. - Cifrado
Proceso para convertir información en un formato ilegible, a excepción de los titulares de una clave criptográfica específica. El cifrado se utiliza para proteger la información entre el proceso de cifrado y el proceso de descifrado (lo contrario del cifrado) de la divulgación no autorizada. Cifrado o cifra, escritura en que se usan signos, guarismos […] - Cifrado a nivel de enlace
Aplicación individual de cifrado de datos en cada enlace de un sistema de comunicación. Cifrado de información realizado en el segundo nivel (enlace) del modelo OSI (Open System Interconnection). En este cifrado tanto el propio mensaje, obtenido en el nivel de aplicación, como los datos añadidos en los niveles comprendidos entre el sexto (presentación) y […] - Cifrado analógico de voz
Procedimiento impropiamente llamado cifrado, consistente en alterar alguna de las características de la señal eléctrica resultante de la audible. Por ejemplo, se pueden invertir las frecuencias de dicha señal, o dividir la banda de frecuencias y permutar las subbandas entre sí, o realizar una multiplexación en el tiempo de la misma. - Cifrado asimétrico
Aquel basado en técnicas criptográficas asimétricas, cuya clave pública se usa para cifrar y cuya clave privada se emplea para descifrar. Es término sinónimo de «criptosistema de clave pública». - Cifrado autenticado
Transformación de los datos con el objetivo de proteger la confidencialidad y la integridad, así como de garantizar el origen de los datos. - Cifrado autoclave
Cifrado de flujo que utiliza como serie cifrante una sucesión de símbolos predeterminada seguidos, o bien de los símbolos del propio texto en claro, o bien de los que se van obteniendo del texto cifrado. En aquel caso, el algoritmo se denomina primer cifrado de Vigenère (Blaise de Vigenère, 1523-1596) y en éste, segundo cifrado […] - Cifrado autosíncrono
Cifrado de flujo que utiliza una serie cifrante tal que cada uno de sus símbolos se obtiene a partir de un cierto número de símbolos previos del texto en claro. - Cifrado de archivos
Técnica o tecnología (ya sea software o hardware) para cifrar todo el contenido de archivos específicos. - Cifrado de columnas en bases de datos
Técnica o tecnología (ya sea software o hardware) para cifrar el contenido de una columna específica de una base de datos y no todo el contenido de toda la base de datos. - Cifrado de disco
Técnica o tecnología (ya sea de software o hardware) que se utiliza para cifrar todos los datos almacenados en un dispositivo (por ejemplo, un disco duro o una unidad flash). También se utiliza el cifrado a nivel de archivo y el cifrado de bases de datos a nivel de columna para cifrar el contenido de […] - Cifrado de enlace
Cifrado de la información que circula por un enlace. - Cifrado de enlace a enlace (link-by-link)
Cifrado existente en una red en la que la información circula cifrada por los enlaces de la red y en claro por sus nodos. - Cifrado de flujo
Algoritmo de cifra que opera sobre el texto en claro símbolo a símbolo (sea éste un bit o un carácter), por contraste con el modo de operar del cifrado de bloque. Habitualmente esta operación es un simple o-exclusivo entre un símbolo en claro y uno de la clave (serie cifrante), en cuyo caso este cifrado […] - Cifrado de flujo síncrono
Cifrador de flujo en el que la serie de símbolos de cifra depende exclusivamente de la clave, siendo independiente del texto en claro o del texto cifrado. - Cifrado de grupo
Cifrado simultáneo de todos los canales del multicanal de un enlace. - Cifrado enlace por enlace
Aplicación individual del cifrado a datos en cada enlace de un sistema de comunicación. Véase también cifrado de extremo a extremo. - Cifrado extremo a extremo
Cifrado de información entre los extremos emisor y receptor del canal de transmisión. Más concretamente, se denomina así al cifrado realizado en los niveles superiores (aplicación o presentación) del modelo OSI. Presenta la ventaja de no precisar el descifrado al atravesar los sucesivos nodos de la red. Cifrado de datos en el extremo origen de […] - Cifrado irreversible
Aquél basado en un algoritmo irreversible. Se emplea, principalmente, para almacenar de manera segura contraseñas de usuarios de un sistema. Últimamente se usa también para la generación de contraseñas desechables. - Cifrado masivo
Proceso de cifrado en el cual un único dispositivo criptográfico cifra dos o más canales de un sistema de telecomunicación. - Cifrado reversible
Aquél basado en un algoritmo invertible en algún sentido. En ocasiones, como el caso del cifrado asimétrico, el algoritmo inverso se obtiene con el concurso de un parámetro, clave privada, distinto del empleado para el algoritmo directo, clave pública. En el cifrado simétrico, el mismo parámetro, denominado clave secreta, se emplea para el algoritmo directo […] - Cifrado reversible
Sinónimo de Algoritmo reversible. - Cifrado simétrico
Algoritmo de cifra basado en una función invertible, tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clave secreta. También recibe este nombre aquel algoritmo de cifra que depende de un parámetro diferente del de su inverso, pero tal que el conocimiento de uno permite, en un tiempo […] - Cifrado Vernam
Cifrado de flujo que usa una clave constituida por una sucesión de símbolos (bits o caracteres) llamada serie cifrante, operando o-exclusivo cada símbolo de ésta con el correspondiente del texto en claro. Debido a la definición de la función o exclusivo, el descifrado se realiza, igualmente, operando con dicha función cada bit de la misma […] - Cifrador
Sistema de cifrado. - Cifrar
Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje cuyo contenido se quiere ocultar. - Cl@ve
Cl@ve es un sistema orientado a unificar y simplificar el acceso electrónico de los ciudadanos a los servicios públicos. Su objetivo principal es que el ciudadano pueda identificarse ante la Administración mediante claves concertadas (usuario más contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios. Cl@ve complementa los actuales sistemas de […] - Clasificación
Procedimiento(s) a seguir para establecer el nivel de clasificación bajo el que se tratará una cierta información. Ejecución de los procedimientos de clasificación de la información, por los que se le asigna un cierto nivel de protección. Asignación de un nivel de sensibilidad (sea de confidencialidad o de integridad) a una información, dispositivo o equipo […] - Clasificación de la información
La Organización dispone de una normativa adecuada para realizar la clasificación y tratamiento de la información atendiendo a la criticidad de la misma según los criterios más adecuados para su actividad. La normativa de seguridad contempla también los aspectos de parámetros, algoritmos, etc. de los elementos orientados a mantener los requisitos de seguridad. - Clave
Secuencia de caracteres, usualmente dígitos binarios aleatorios o pseudoaleatorios, usados inicialmente para configurar las operaciones realizadas por un equipo de cifra, determinar la señal de salida en dispositivos TRANSEC, o producir otras claves. Secuencia de símbolos que controla las operaciones de cifrado y descifrado. - Clave auto-clave
Procedimiento que utiliza una clave anterior para producir otra clave. - Clave criptográfica
Parámetro usado por un algoritmo para validar, autenticar, cifrar o descifrar un mensaje. Sucesión de símbolos que controlan las operaciones de cifrado y descifrado. Parámetro usado por un algoritmo criptográfico para cifrar y descifrar datos, obtener la firma digital de unos datos, verificar ésta o calcular un código de autenticación de mensajes o una función […] - Clave custodiada
Sistema de gestión de claves que supone la existencia de una institución (pública o privada) confiable que almacenan una clave criptográfica, custodiándola en nombre de su legítimo propietario. Usualmente, el sistema conlleva el uso de claves criptográficas constituidas por dos, o más, componentes, que aisladamente no permiten la reconstrucción de la clave. Cada una de […] - Clave de acceso
Sinónimo de Contraseña. - Clave de arranque
Clave que modifica o desbloquea las claves contenidas en un equipo por lo que, cuando no se prevé la utilización del equipo y dicha clave no está cargada, no se precisa borrar el resto de claves por motivos de seguridad pues el equipo no está activado. Suele estar contenida en un módulo de claves. - Clave de cifrado de claves
Clave criptográfica que se emplea para cifrar otras claves. Es de utilidad en la protección de estas últimas sea durante su almacenamiento o transmisión. Es término sinónimo de clave maestra. - Clave de sesión
Clave criptográfica que se usa sólo durante un tiempo limitado. Generalmente, es transportada a través de una red de transmisión cifrada bajo otra clave. Clave, habitualmente generada de forma aleatoria y transmitida en claro o cifrada a través de la línea al principio del mensaje, que modifica las claves cargadas en el equipo o determina […] - Clave débil
Valor particular de una clave criptográfica de la que resulta un criptosistema más vulnerable que el obtenido con claves no débiles. Existen también claves débiles para las funciones resumen y los algoritmos de firma digital. - Clave efímera
Dícese de las claves criptográficas de corta duración o que simplemente sólo se usan una vez. - Clave fragmentada
Protocolo de compartición de secretos mediante el cual una Tercera Parte Confiable divide en partes una información secreta inicial y las distribuye de modo seguro a varias entidades, de modo que se cumple que conociendo a partir de un número determinado de dichas partes, umbral, es posible recuperar fácilmente la información secreta mientras que el […] - Clave maestra
Clave criptográfica cuyo cometido es cifrar otras claves durante la transmisión de las mismas, o bien durante su almacenamiento. Clave de menor jerarquía que la clave estructural, pero de máxima jerarquía entre las que se cambian. - Clave para envolver claves
Cómo proteger una clave con otra para proteger su seguridad. - Clave privada
En un criptosistema asimétrico, clave criptográfica de un usuario conocida por el mismo. La denominación de secreta para esta clave está en desuso, pues da lugar a confusión con la clave de los criptosistemas simétricos denominada, con más propiedad, secreta. Clave que se utiliza con un algoritmo criptográfico asimétrico y cuya posesión está restringida (usualmente […] - Clave pública
En un critposistema de claves públicas, clave de un par de claves de usuario que es conocida públicamente. En un criptosistema asimétrico, clave criptográfica de un usuario que se hace de público conocimiento. Clave que se utiliza con un algoritmo criptográfico asimétrico y que puede estar disponible públicamente. - Clave secreta
En un criptosistema simétrico, clave criptográfica compartida por dos entidades. Clave que se utiliza con un algoritmo criptográfico simétrico. La posesión de una clave secreta está restringida (usualmente a dos entidades). - Clave simétrica
Clave secreta que se usa en criptografía de secreto compartido (criptografía simétrica). - Claves encapsuladas
Técnica utilizada para recuperar claves de cifra. Consiste en proteger una clave criptográficamente de forma que una tercera persona pueda recuperarla. - CMAC Authentication Mode
Mecanismo de autenticación de mensajes basado en el empleo de un elemento cifrador. - CMS Cryptographic Message Syntax
Formato estándar que se emplea para firmar electrónicamente, transportar resúmenes, autenticar a las partes o cifrar datos. - Codificación segura
El proceso de creación e implementación de aplicaciones resistentes a alteración y/o exposición a riesgos. - Codificar
Transformar mediante las reglas de un código la formulación de un mensaje. - Código
Conjunto de reglas que transforman los elementos de un conjunto de símbolos en los elementos de otro. Los símbolos pueden ser bits, caracteres o ristras de ambos. A diferencia de la cifra, que es función al menos de una clave criptográfica, esta transformación no depende más que de los símbolos. A pesar de ello, algunos […] - Código de autenticación de mensajes
Campo de datos (código) usado para validar la fuente y parte, o todo, del texto de un mensaje. El código es el resultado de una operación preconvenida. Valor de verificación criptográfico usado como mecanismo de integridad de datos. Sucesión de bits obtenidos de un conjunto de datos (en claro o cifrados) con el concurso de […] - Código de detección de errores
Valor derivado de unos datos que consiste en una información adicional que permite detectar alteraciones accidentales de la información, sin llegar a poder corregirla. - Código malicioso
Software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado propósito de ser perjudicial. - Código móvil
Los programas o partes de programas descargados de sistemas remotos a través de una red, y que se ejecuta en un sistema de información local sin necesidad de instalación explícita parte del usuario. Algunos ejemplos de tecnologías relacionadas: Java, JavaScript, ActiveX y VBScript. - Colisión
Situación que se produce cuando una función hash, operando sobre entradas distintas, genera una misma salida. Puede ser de dos tipos: Débil: cuando dado un mensaje se encuentra otro que produce el mismo hash. Fuerte: cuando se encuentra una pareja de mensajes que producen el mismo hash. - Comité de Seguridad de la Información
Órgano colegiado que coordina las actividades de la organización en materia de Seguridad de la Información. En particular asume los roles de Responsable de la Información y Responsable de los Servicios. - COMP128-1
Algoritmo propietario utilizado en los primeros módulos SIM de telefonía GSM. Es un conjunto de algoritmos «hash» para generar una respuesta a un reto de identificación y para generar una clave de sesión. - Compartimento
Agrupación de información sensible que comparte unos ciertos requisitos de protección frente al acceso no autorizado. - Compatibilidad electromagnética
La aptitud de un dispositivo, de un aparato o de un sistema para funcionar de forma satisfactoria en su entorno electromagnético, sin producir por sí mismo perturbaciones electromagnéticas intolerables en otros aparatos que se encuentren en dicho entorno. REAL DECRETO 444/1994, de 11 de marzo, por el que se establece los procedimientos de evaluación de […] - Comprometer
Soslayar o violar los mecanismos o procedimientos de seguridad de un sistema, recurso o activo con el resultado de desproteger a los mismos. - Compromiso de seguridad
Resultado de un incumplimiento o violación de las medidas de seguridad, por el que determinada información ha quedado desprotegida. Documento en el que una persona reconoce haber sido instruida en las medidas de seguridad vigentes y se compromete a aplicarlas. - COMPUSEC
Sinónimo de Seguridad de los ordenadores. - Concentrador
Elemento de red en el que se concentra el tráfico antes de ser distribuido a los sistemas conectados a la red. - Concepto de operación
Declaración expresa que realiza el AOSTIC sobre el objeto o función del Sistema, el tipo de información que va a ser manejada, las condiciones de explotación (perfil de seguridad de los usuarios, clasificación de la información, modo de operación, etc.), y las amenazas a las que estará sometido. - Concienciación en seguridad
Actividad continuada y recurrente en la que todas las personas relacionadas con el Sistema de Información se familiarizan con los aspectos de seguridad del mismo a fin de que no provoquen fallos gratuitos por ignorancia, descuido o negligencia. La concienciación incluye conocer cual es el funcionamiento correcto, identificar comportamientos anómalos y saber cómo reportar lo […] - Confianza
Se dice que A confía en B cuando A presume que B se comportará de una determinada forma. La confianza suele estar limitada a una determinada función de B y no necesariamente se extiende a otras funciones. Se dice que la entidad X confía en la entidad Y para un conjunto de actividades solamente si […] - Confidencialidad
Propiedad de la información que se mantiene inaccesible y no se revela a individuos, entidades o procesos no autorizados. Principio de seguridad que requiere que los datos deberían únicamente ser accedidos por el personal autorizado a tal efecto. Propiedad de los elementos esenciales de ser accesibles sólo para los usuarios autorizados cuando éstos lo requieran. […] - Confidencialidad de los datos
Este servicio se puede utilizar para obtener la protección de los datos frente a buscadores no autorizados. El servicio de confidencialidad de datos está soportado por un marco de autenticación. Se puede utilizar para la protección contra la interceptación de datos. - Confidencialidad del tráfico de datos
Servicio de confidencialidad que protege frente al análisis del tráfico. - Configuración
Término genérico usado para describir un grupo de elementos de configuración que actúan o funcionan juntos para proveer un Servicio de TI, o un subconjunto representativo de un Servicio de TI. El término Configuración también se usa para describir los parámetros y ajustes realizados en uno o más CI. - Conformidad
Aseguramiento de que se sigue un estándar o conjunto de directrices, o de que se emplean unas prácticas de seguimiento adecuadas y consistentes. Cumplimiento de un requisito. - Confusión
Propiedad de un algoritmo criptográfico tal que la frecuencia de aparición de los símbolos cifrados no revela ninguna información sobre los símbolos en claro de los que proceden. De esta manera, las propiedades estadísticas de los símbolos del lenguaje en claro no proporcionan ninguna información al criptoanalista. Técnica destinada a ocultar la relación entre el […] - Conocimiento cero
Protocolo que permite demostrar el conocimiento de un secreto sin revelar información alguna relativa al mismo. - Conocimiento parcial
Método mediante el cual dos o más entidades separadas poseen componentes de una clave, pero que, de forma individual, no pueden descifrar la clave criptográfica resultante. Condición bajo la cual dos o más partes, separada y confidencialmente, custodian los componentes de una clave criptográfica. Dichos componentes, aisladamente, no permiten conocer esta última. Propiedad de un […] - Consecuencia
Resultado de un suceso que afecta a los objetivos. Un suceso puede conducir a una serie de consecuencias. Una consecuencia puede ser cierta o incierta y normalmente es negativa en el contexto de la seguridad de la información. Las consecuencias se pueden expresar de forma cualitativa o cuantitativa. Las consecuencias iniciales pueden convertirse en reacciones […] - Constructor de virus
Es un programa malicioso que permite crear nuevos virus sin necesidad de tener conocimientos de programación, mediante una interfaz a través de la cual se eligen las características del malware creado: tipo, efectos, archivos que infectar, encriptación, polimorfismo, etc.. - Contenido activo
Programa empotrado en una página web. Cuando se accede a la página con un navegador, dicho programa se descarga y ejecuta automáticamente en el equipo del usuario. Ejemplos: applets java, ActiveX. - Continuidad
Prevenir, mitigar y recuperarse de una interrupción. Los términos «planear la reanudación del negocio», «planear la recuperación después de un desastre» y «planear contingencias» también se pueden usar en este contexto; todos se concentran en los aspectos de recuperación de la continuidad. - Contramedida
Puede ser usado para referirse a algún tipo de control. El término Contramedida es muy usado cuando se refiere a medidas que incrementan la Resistencia, Tolerancia a fallos o Confiabilidad de un Servicio TI. - Contraseña
Seña secreta que permite el acceso a algo, a alguien o a un grupo de personas antes inaccesible. Palabra o signo que, juntamente con el santo y seña, asegura el mutuo reconocimiento de personas, rondas y centinelas. Información confidencial, a menuco compuesta de una cadena de caracteres, que puede ser usada en la autenticación de […] - Contraseña de un solo uso
Sinónimo de Contraseña desechable. - Contraseña desechable
Datos usados como medio de autenticación, cuyo uso no se repite más de una vez. Habitualmente el ordenador ante el que se desea autenticar un usuario le lanza una pregunta (en ocasiones conocida como reto), diferente de vez en vez, constituida por un conjunto de caracteres numéricos obtenidos por un generador de números seudoaleatorios. Estos […] - Contraseña predeterminada
Contraseña de las cuentas de usuario, servicio o administración de sistemas predefinidas en un sistema, aplicación o dispositivo asociado con la cuenta predeterminada. Las contraseñas y cuentas predeterminadas son de dominio público y, en consecuencia, es fácil averiguarlas. - Control
Medida que modifica un riesgo. Los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen un riesgo. Un medio de gestión de riesgo, asegurando que el Objetivo de Negocio es alcanzado, o asegurando que un proceso es seguido. Ejemplos de controles incluyen políticas, procedimientos, roles, RAID, door-locks, etc.. Un control es llamado, […] - Control de acceso
Medios para asegurar que el acceso a los activos está autorizado y restringido en función de los requisitos de negocio y de seguridad. Mecanismo que limita la disponibilidad de información o de los recursos necesarios para su procesamiento sólo a personas o aplicaciones autorizadas. El proceso que limita y controla el acceso a los recursos […] - Control de acceso basado en atributos
Control de acceso que se basa en atributos relacionados con sujetos, objetos, objetivos, iniciadores, recursos, o con el entorno. Una regla de control de acceso permite o deniega el acceso en base a un conjunto de valores de los atributos. - Control de acceso basado en identidad
Control de acceso basado en la identidad del usuario. Típicamente se emplea alguna característica del proceso que requiere el acceso actuando en nombre del usuario final. Los derechos de acceso se conceden en base a la identidad declarada. - Control de acceso basado en reglas
Control de acceso definido por medio de reglas que se imponen a los que acceden. - Control de acceso discrecional
Procedimiento para restringir el acceso a los objetos de un sistema basado en la identidad de los sujetos. El control se denomina discrecional, pues un sujeto con ciertos derechos de acceso puede pasar éstos, quizás indirectamente y siempre que no lo impida un control de acceso obligatorio, a otro sujeto cualquiera (TCSEC). Se instrumenta para […] - Control de acceso obligatorio
Procedimiento para restringir el acceso a los objetos de un sistema. Está basado en la sensibilidad de la información contenida o tratada en éstos (expresada en una etiqueta de seguridad) y la autorización (denominada habilitación) de los sujetos que pretenden acceder (TCSEC). Se instrumenta para aplicar una política de seguridad basada en reglas. Modelo de […] - Control de acceso por roles
Método de control de acceso en el que los derechos concedidos a un usuario dependen del role (o roles) a los que esté adscrito. - Control de configuración
En términos de Transición del Servicio, se trata de la actividad responsable de asegurar que la adición, modificación o eliminación de un CI se gestiona adecuadamente, por ejemplo enviando una petición de cambio o una petición de servicio. Sistema de control de cambios de los objetos durante el desarrollo, producción y mantenimiento del Objeto de […] - Control de detección
Un control que se usa para identificar eventos (indeseables o deseados), errores u otras ocurrencias con efecto material sobre un proceso o producto final, de acuerdo a lo definido por la empresa. Control utilizado para identificar incidentes o errores que la organización ha determinado como de interés en base a que hay posibles consecuencias en […] - Control de encaminamiento
Aplicación de las reglas oportunas durante el proceso de encaminamiento para escoger o evitar determinadas redes, enlaces o repetidores. Es un control de utilidad cuando se sospecha el compromiso de alguno de los elementos citados. Aplicación de reglas durante el proceso de encaminamiento con el fin de elegir o evitar redes, enlaces o relevadores específicos. - Control de gestión
Controles o salvaguardas de un sistema de información relacionados con la gestión de riesgos y de la seguridad de la información. - Control dual
Proceso que consiste en utilizar dos o más entidades distintas (por lo general, personas) de manera coordinada para proteger funciones o información confidenciales. Ambas entidades son igualmente responsables de la protección física de los materiales que intervienen en transacciones vulnerables. Ninguna persona tiene permitido obtener acceso a o utilizar estos materiales (por ejemplo, la clave […] - Control general
Control que afecta al funcionamiento global de la organización. También conocido como Control General de TI. Un control que se aplica al funcionamiento general de los sistemas de TI de la organización y a un conjunto amplio de soluciones automatizadas (aplicaciones). - Control interno
Conjunto de políticas, procedimientos y estructuras organizativas diseñado para garantizar que se alcanzarán los objetivos de negocio, así como que los potenciales incidentes serán evitados o detectados y corregidos. Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos […] - Control operativo
Controles o salvaguardas de seguridad implementados y ejecutados por medio de personas. Se diferencias de los controles técnicos o automatizados. - Control preventivo
Un control interno que se usa para prevenir eventos indeseables, errores u otras ocurrencias que pudieran tener un efecto material negativo sobre un proceso o producto final, de acuerdo a la organización. - Control técnico
Salvaguarda o contramedida que básicamente está implementada con medios técnicos (equipos o programas). - Controles de compensación
Es posible que los controles de compensación se consideren cuando una entidad no puede cumplir un requisito de manera explícita según lo establecido, debido a limitaciones técnicas legítimas o comerciales documentadas, pero ha mitigado de manera suficiente el riesgo asociado con el requisito a través de la implementación de controles. Los controles de compensación deben: […] - Cookie
Pequeña cantidad de información que se le manda al navegador del cliente y que permite que éste quede identificado en conexiones sucesivas. - Copia de seguridad
Copia duplicada de datos que se realiza con el fin de archivarla o protegerla de daños o pérdidas. En Diseño del Servicio y Operación del Servicio, se trata de copiar los datos para proteger los originales de pérdidas de Integridad o Disponibilidad. Réplicas de datos que nos permiten recuperar la información original en caso de […] - Corrección
Cumplimiento de las exigencias de seguridad desde el punto de vista de construcción del sistema, incluyendo el entorno, el proceso de desarrollo y el funcionamiento del sistema. - Correspondencia de políticas
Reconocimiento de que, cuando una autoridad de certificación en un dominio certifica una autoridad de certificación en otro dominio, una determinada política de certificación en el segundo dominio puede ser considerada por la autoridad del primer dominio como equivalente (pero no necesariamente idéntica en todos los aspectos) a una determinada política de certificado en el […] - Cortafuegos
Tecnología de hardware y/o software que protege los recursos de red contra el acceso no autorizado. Un firewall autoriza o bloquea el tráfico de computadoras entre redes con diferentes niveles de seguridad basándose en un conjunto de reglas y otros criterios. Dispositivo de red físico o lógico que se utiliza para permitir, denegar o analizar […] - Cortafuegos de sistema
Cortafuegos centrado en el control de acceso local de un determinado nodo. - Cortafuegos personal
Cortafuegos de sistema utilizado en estaciones de usuario. Cortafuegos para equipos personales. - Cortafuegos transparente
Propiedad de un equipo cortafuegos que le permite ser «invisible» a los clientes y servidores de la comunicación residiendo en la capa de enlace de datos aunque sea capaz de intervenir a nivel de red. - Cortafuegos virtuales
Plataforma que permite la definición de cortafuegos lógicos o virtuales sobre un solo sistema físico pudiendo implementarse en ellos políticas de seguridad diferentes y ser gestionados individualmente. - CPS Declaración de Prácticas de Certificación
Declaración de las prácticas que aplica una autoridad de certificación para la expedición de certificados. - Cracker
El cracker es una figura emparentada con el hacker. Su conducta va dirigida al acceso a sistemas informáticos de forma no autorizada, del mismo modo que los hackers, y con una finalidad clara: menoscabar la integridad, la disponibilidad y el acceso a la información disponible en dicho sitio web o en el sistema informático. El […] - Credencial
Conjunto de datos transferidos entre entidades para comprobar la identidad alegada por una de ellas. Datos que se transfieren para establecer la identidad alegada de una entidad. - Credenciales de autenticación
Combinación del ID de usuario o ID de la cuenta más el (los) factor(es) utilizado(s) para autenticar a un individuo, dispositivo o proceso. - Criptoanálisis
Análisis de un sistema criptográfico, sus entradas y salidas, o ambas, para obtener variables o datos sensibles, incluyendo el texto en claro. Pasos y operaciones orientadas a transformar un criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la clave. Análisis de un sistema criptográfico y/o sus entradas […] - Criptoanálisis diferencial
Técnica criptoanalítica de tipo estadístico, consistente en cifrar parejas de texto en claro escogidas con la condición de que su producto o-exclusivo obedezca a un patrón definido previamente. Los patrones de los correspondientes textos cifrados suministran información con la que conjeturar la clave criptográfica. Se aplica en los cifrados de tipo DES, aunque es de […] - Criptoanálisis lineal
Técnica criptoanalítica de tipo estadístico, consistente en operar o-exclusivo dos bits del texto en claro, hacer lo mismo con otros dos del texto cifrado y volver a operar o-exclusivo los dos bits obtenidos. Se obtiene un bit que es el resultado de componer con la misma operación dos bits de la clave. Si se usan […] - Criptocustodio
Responsable de la inicialización y la gestión de funciones y módulos criptográficos. Persona designada como responsable de una cuenta cripto. - Criptofonía
Rama de la cifra que trata la voz. - Criptófono
Equipo de cifra que realiza un cifrado digital de la voz. (v. Secráfono). - Criptografía
Disciplina matemática e informática relacionada con la seguridad de la información, particularmente con el cifrado y la autenticación. En cuanto a la seguridad de aplicaciones y redes, es una herramienta para el control de acceso, la confidencialidad de la información y la integridad. Disciplina que estudia los principios, métodos y medios de transformar los datos […] - Criptografía cuántica
Rama incipiente de la criptografía que estudia la aplicación de la mecánica cuántica a la misma. Según el principio de indeterminación de Heisenberg toda medida en un canal –por ejemplo, una interceptación- por el que circulan fotones provoca perturbaciones que delatan dicha medida. De esta manera, se pueden intercambiar claves secretas, para ser usadas en […] - Criptografía de clave pública
Sistema en el que las claves para cifrar son distintas a las de descifrar, y en el que parte de las claves son conocidas (clave pública de cada usuario), y otra parte permanece en secreto (clave privada de cada usuario). Se basa en problemas criptográficos. - Criptografía de clave secreta
Sistema en el que las claves para cifrar son iguales a las de descifrar, y en el que la totalidad o la mayor parte de las claves permanecen en secreto (clave secreta). - Criptografía de clave secreta
Véase Criptografía de clave secreta. - Criptografía de curvas elípticas
ECC (Elliptic Curve Cryptography), método de criptografía de clave pública basado en curvas elípticas sobre campos finitos. - Criptografía robusta
Veáse Criptografía sólida. - Criptografía sólida
Criptografía basada en algoritmos probados y aceptados por la industria, extensiones de clave sólidas (mínimo de 112 bits de solidez efectiva de clave) y prácticas adecuadas de administración de claves. La criptografía es un método de protección de datos e incluye tanto cifrado (reversible) como hashing (no reversible o de un solo uso). Algunos ejemplos […] - Criptograma
Texto cifrado formateado y listo para su transmisión. Aunque usualmente se considera sinónimo de texto cifrado, este último enfatiza el simple resultado de cifrar sin ulterior preparación para la transmisión, mientras que criptograma pone el acento en la transmisión (como ocurre con telegrama). En la actualidad es un término que está cayendo en desuso. Texto […] - Criptología
Estudio de los sistemas, claves y lenguajes ocultos o secretos. Ciencia que estudia los principios, métodos y medios del cifrado y descifrado de la información. Comprende dos ramas principales: la Criptografía y el Criptoanálisis. Ciencia que estudia la ocultación, disimulación o cifrado de la información, así como el diseño de sistemas que realicen dichas funciones, […] - Criptológico
Perteneciente o relativo a la criptología. - Criptólogo
Persona especialista en criptología, generalmente en el campo de la cifra. - Criptosistema
Véase Sistema criptográfico. - Criptosistema cuántico
Criptosistema basado en aspectos de la física cuántica, utilizando la transmisión de fotones. - Criptosistema de uso único (One-Time-Cryptosystem)
Criptosistema que utiliza las claves una sola vez. - Criptosistema electrónico
Criptosistema en que el equipo de cifra es electrónico. - Criptosistema manual
Criptosistema que carece de equipo de cifra, siendo sustituido por una serie de operaciones efectuadas manualmente. - Criptosistema mecánico
Criptosistema en que el equipo de cifra es mecánico. - Criptosistema probabilístico
Criptosistema basado en que al cifrar un mismo mensaje, con la misma clave, no se obtiene siempre el mismo mensaje cifrado. - Criterios comunes
Este estándar, los Criterios Comunes (CC), tiene como finalidad el ser usado como base para la evaluación de las propiedades de seguridad de los productos y sistemas de Tecnologías de la Información (TI). Estableciendo esta base de criterios comunes, los resultados de una evaluación de seguridad de TI será significativa para una mayor audiencia. Los […] - Criterios de evaluación de riesgos
Términos de referencia que permiten evaluar la importancia de los riesgos. Los criterios de evaluación pueden incluir los costes y los beneficios asociados, los requisitos legales o reglamentarios, los aspectos socioeconómicos y ambientales, las preocupaciones de las partes interesadas, las prioridades y otros datos utilizados en la evaluación de los riesgos. - Criterios de riesgo
Términos de referencia respecto a los que se evalúa la importancia de un riesgo. Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto externo e interno. Los criterios de riesgo se pueden obtener de normas, leyes, políticas y otros requisitos. - CRL Completa
Lista íntegra de todos los certificados revocados en un momento dado, en un cierto ámbito. Lista de revocación de certificados completa. Lista de revocación completa que contiene asientos para todos los certificados que han sido revocados en un ámbito determinado. - CRL Incremental
Fragmento de una lista de revocación (CRL). La fragmentación se hace de tal forma que sólo incorpore los cambios respecto de la versión anterior. De esta forma se ahorra tiempo y volumen de transmisión, a costa de que el verificador debe guardar copia de las deltas previas. lista de revocación de certificados-delta (dCRL, delta-CRL). Lista […] - CRL Indirecto
Lista de revocación que contiene, al menos, información de revocación de certificados emitidos por entidades diferentes de la que emite la lista de revocación en consideración. Lista de revocación de certificados indirecta. Lista de revocación que contiene por lo menos información de revocación sobre certificados expedidos por autoridades distintas de la que expidió esta lista […] - Cross Site Scripting XSS
Véase Lenguaje de comandos entre distintos sitios XSS. - Cross-site Request Forguery CSRF
Véase Falsificación de solicitudes entre distintos sitios CSRF. - Cross-zone Scripting
Vulnerabilidad de un navegador www consistente en que páginas web con código ejecutable (scripts) ejecutan este en una zona de seguridad que no le corresponde, aprovechando que la página se abre en una zona privilegiada. Se trata de un problema de escalado de privilegios. - Cryptoki
Una interfaz de programación para servicios criptográficos. - CTR Cifrado Modo con Contador
Al igual que el modo OFB, el modo CTR transforma un algoritmo de cifrado por bloques en un algoritmo de cifrado de flujo. La máscara de cifrado se genera cifrando un contador. Además de las ventajas del modo OFB, permite un acceso aleatorio a la información. - Cuadro de mando integral
CMI (Cuadro de Mando Integral CMI o BSC Balanced Scorecard) fue presentado en el número de Enero/Febrero de 1992 de la revista Harvard Business Review, en base a un trabajo realizado para una empresa de semiconductores. La empresa en cuestión era Analog Devices Inc.. Sus autores, Robert S. Kaplan y David P. Norton, plantean que […] - Cuarentena
Dicho término, originalmente, fue utilizado para determinar el aislamiento de un virus biológico o un ente infectado por él. Tiempo más tarde, con la aparición de virus informáticos, algunos productos antivirus comenzaron a usar dicho término para indicar que un archivo infectado haba sido aislado del resto del sistema. Esto es útil cuando nuestro antivirus […] - Cuentas predeterminadas
Cuenta de inicio de sesión que se encuentra predefinida en un sistema, aplicación o dispositivo que ermite obtener acceso por primera vez al momento en que el sistema comienza a funcionar. El sistema también puede generar cuentas predeterminadas adicionales como parte del proceso de instalación. - Curva elíptica
Función matemática que cuando se aplica sobre campos finitos proporciona un medio adecuado sobre el que se pueden implementar algoritmos de cifra de clave pública. - CVSS
Acrónimo de “Common Vulnerability Scoring System” (sistema de puntaje de vulnerabilidad común). Un estándar abierto y neutro de la industria para los proveedores cuya finalidad es transmitir la gravedad que presentan las vulnerabilidades en la seguridad de un sistema informático y ayudar a determinar tanto la urgencia como la prioridad de la respuesta. - Cyberslacking
Véase Perder el tiempo. - Datos
Información codificada de alguna manera para poder recuperar su significado. - Datos confidenciales de autenticación
Información de seguridad (como por ejemplo códigos o valores de validación de tarjetas, datos completos de la pista [de la banda magnética o su equivalente en un chip], PIN y bloqueos de PIN) utilizada en la autenticación de titulares de tarjetas o en la autorización de transacciones realizadas con tarjeta de pago. - Datos de carácter personal
Cualquier información concerniente a personas físicas identificadas o identificables. LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. (Vigente hasta el 14 de enero de 2000). - Datos de creación de firma
Son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica. - Datos de verificación de firma
Son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica. - DDS – Estándar estadounidense de firma digital
Procedimiento de firma digital elevado a la categoría de estándar federal con el nombre de Digital Signature Standard y más conocido por sus siglas DSS. Está basado en el algoritmo de El Gamal, pero el hecho de no poder ser utilizado para cifrar información (a diferencia del algoritmo RSA que puede ser usado para firmar […] - Declaración de aplicabilidad
Documento formal en el que, para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido. - Declaración de práctica de certificación
Véase CPS – Declaración de Prácticas de Certificación. - Declaración de requisitos de seguridad
Es el documento base para la acreditación. Consiste en la exposición completa y detallada de los principios de seguridad que deben observarse y de los requisitos de seguridad que se han de implantar conforme al correspondiente análisis de riesgos realizado previamente. - Declaración de requisitos de seguridad de la interconexión
Documento base para la acreditación de la interconexión de sistemas. Consiste en la exposición completa y detallada de los principios de seguridad que deben observarse en la interconexión, y de los requisitos de seguridad que se han de implantar conforme al correspondiente análisis de riesgos realizado previamente. - Declaración de seguridad
Conjunto de requisitos de seguridad y especificaciones utilizados como base de la evaluación de un TOE (Target of Evaluation) identificado. - Defecto en programas
Vulnerabilidad en el diseño o en la implementación. Un defecto puede no ser detectado durante años y de repente aparecer en un sistema en producción con graves consecuencias. - Defento en profundidad
Estrategia de protección consistente en introducir múltiples capas de seguridad que permitan reducir la probabilidad de compromiso en caso de que una de las capas falle y en el peor de los casos minimizar el impacto. - Delegación
Envío de un privilegio desde una entidad que tiene dicho privilegio a otra entidad. - Delegar
Dicho de una persona: dar la jurisdicción que tiene por su dignidad u oficio a otra, para que haga sus veces o para conferirle su representación. - Denegación de servicio
Se entiende como denegación de servicio, en términos de seguridad informática, a un conjunto de técnicas que tienen por objetivo dejar un servidor inoperativo. Mediante este tipo de ataques se busca sobrecargar un servidor y de esta forma no permitir que sus legítimos usuarios puedan utilizar los servicios por prestados por él. El ataque consiste […] - Denegación de servicio distribuida
Ataque de denegación de servicio que se realiza utilizando múltiples puntos de ataque simultáneamente. Ataque DoS en el que participan gran cantidad de máquinas atacantes. - Depósito de claves
Sistema de gestión de claves en el que una clave o partes de la misma se distribuyen entre una o varias terceras partes confiables o agentes de depósito. Posteriormente será posible que, personal autorizado y siguiendo un determinado procedimiento, obtenga, a partir de la clave depositada, la clave de cifrado empleada en una comunicación. - DER Distinguished Encoding Rules
Conjunto de reglas para formatear en binario datos descritos en ASN.1. - Derechos de acceso
Privilegios de acceso de sujeto a un objeto. Por ejemplo, los derechos pueden ser: escritura, lectura, ejecución, borrado, etc.. - Derivación de una clave a partir de otra
Proceso por el que se genera una clave a partir de cierta información secreta y, opcionalmente, alguna información adicional. - DES – Data Encryption Standard
Algoritmo de cifra basado en un secreto compartido (clave). Cifra el texto en bloques de 64 bits. Utiliza claves de 56 bits. Algoritmo normalizado por EE UU para el cifrado de informaciones sensibles no clasificadas. Su nombre se corresponde con las siglas de Data Encryption Standard. Es un cifrado simétrico de bloque, que cifra bloques […] - Desanonimizar
Estrategia de minería de datos en la que los datos anónimos se cruzan con otras fuentes de datos para volver a identificar la fuente de los datos anónimos. Cualquier información que distingue una fuente de datos de otro se puede utilizar para desanonimizar. - Desastre natural
Ataque accidental a los sistemas de información cuyo origen es la propia naturaleza: fuego, inundaciones, terremotos, tormentas, viento, etc.. - Desbordamiento de búfer
Estado de vulnerabilidad que se crea por métodos de codificación poco seguros, y en el que un programa desborda el límite del buffer (búfer) y escribe datos en el espacio de memoria adyacente. Los desbordamientos de buffer son aprovechados por los atacantes para obtener acceso no autorizado a los sistemas o datos. En relación con […] - Desbordamiento de memoria
Se dice que un buffer se desborda cuando, de forma incontrolada, al intentar meter en él más datos de los que caben el exceso se vierte en otras zonas del sistema causando daños y perjuicios. A veces se trata de un mero accidente con consecuencias desagradables. A veces se trata de un ataque planificado que […] - Descifrado
Operación inversa de un cifrado reversible (ISO ISO-7498-2). Proceso ejecutado mediante técnicas criptográficas por el que se obtiene un texto en claro a partir del correspondiente texto cifrado. - Descifrar
Declarar lo que está escrito en cifra o en caracteres desconocidos, sirviéndose de clave dispuesta para ello, o sin clave, por conjeturas y reglas críticas. Transformar un texto cifrado en el claro equivalente conociendo el procedimiento y clave de descifrado. Incluye la transformación de los textos cifrados mediante un código secreto. - Descodificar
Aplicar inversamente las reglas de su código a un mensaje codificado para obtener la forma primitiva de este. Operación inversa de la codificación. Recupera la información codificada. - Descriptar
Anglicismo, de uso frecuente, con el que se designa las transformaciones de descifrado de un texto sin el conocimiento de la correspondiente clave. Es por tanto la tarea propia del criptoanalista. Resultado positivo del proceso de criptoanálisis. - Descubrimiento electrónico
El descubrimiento electrónico, o e-discovery, se refiere a todo proceso por el cual se buscan, ubican, aseguran y revisan datos electrónicos con el objeto de utilizarlos como evidencia en un caso legal civil o penal. El e-discovery se puede realizar fuera de línea, en un ordenador particular o dentro de la red. La piratería por […] - Desduplicación
La desduplicación de datos es un método de reducción de las necesidades de almacenamiento mediante la eliminación de datos redundantes. En realidad, sólo una única instancia de datos se retiene en medios de almacenamiento, como el disco o la cinta. Los datos redundantes se reemplazan con un indicador en la única copia de datos. Por […] - Desencriptar
Anglicismo que se refiere al término descifrar. - Desfigurar
Ataque sobre un servidor web como consecuencia del cual se cambia su apariencia. El cambio de imagen puede ser a beneficio del atacante, o por mera propaganda (a beneficio del atacante o para causar una situación embarazosa al propietario de las páginas). - Desinfección
Acción que realizan los programas antivirus cuando, tras detectar un virus, lo eliminan del sistema y, en la medida de lo posible, recuperan o restauran la información infectada. - Desmagnetizador
Equipo para el borrado de los datos almacenados en soportes magnéticos. Actúa aplicando al soporte un campo magnético creciente desde cero hasta un valor máximo prefijado para volver después nuevamente a cero. - Destrucción magnética
También denominada “destrucción magnética de disco”. Proceso o técnica que desmagnetiza un disco para destruir permanentemente toda la información almacenada en éste. - Detección de anomalía
Detección basada en la actividad de un Sistema que coincide con la definida como anormal. Detección de desviaciones de lo que sería el comportamiento esperado de algo. Para que funcione es necesario definir previamente qué comportamiento cabe caracterizar como «normal» y así poder identificar desviaciones. La definición previa puede ser una especificación, o resultado de […] - Detección de manipulaciones
Determinación automática de que un módulo criptográfico ha sido objeto de un ataque. Mecanismo que se utiliza para detectar si una unidad de datos ha sido modificada, sea accidental o intencionalmente. - Detección de sucesos
Capacidad para la percepción tanto de acciones normales como de aparente violación de un sistema de información. - Detector de manipulación
Mecanismo de seguridad usado para detectar las modificaciones accidentales o intencionadas de datos (ISO ISO-7498-2). - Día cero
Son aquellas vulnerabilidades en sistemas o programas informáticos que son conocidas por determinados atacantes pero no lo son por los fabricantes o por los usuarios. Son las más peligrosas ya que un atacante puede explotarlas sin que el usuario sea consciente de que es vulnerable. Aprovechamiento de una vulnerabilidad inmediatamente después de haber sido descubierta. […] - Diario remoto
Proceso utilizado para transmitir diario o diarios de transacciones en tiempo real a una ubicación de copia de seguridad. - Difusión
Propiedad que se predica de aquellos métodos criptográficos en los que la influencia de un símbolo en claro se dispersa sobre un gran número de símbolos cifrados. De esta manera, las propiedades estadísticas de los caracteres de los mensajes se diseminan por todo el texto cifrado. Técnica destinada a disipar las características del idioma en […] - Diodo de datos
Los diodos de datos son los dispositivos de protección de perímetro que aportan una mayor seguridad frente a la fuga de información sensible, dado que garantizan el flujo unidireccional de la información mediante hardware, al no existir un canal de retorno físico. Están orientados a la protección de interconexiones entre redes que manejan información con […] - Disponibilidad
Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. [UNE-71504:2008] Capacidad de ser accesible y estar listo para su uso a demanda de una entidad autorizada. [UNE-ISO/IEC 27000:2014] (Diseño del Servicio) Habilidad de un elemento de configuración o de un servicio TI […] - Dispositivo biométrico
Dispositivo que utiliza parámetros biológicos característicos de las personas como la huella dactilar, el iris del ojo o la voz para la autenticación. - Dispositivo criptográfico
Componente electrónico de un equipo físico, o submontaje de éste, que implementa un cifrado. - Dispositivo de creación de firma
Se trata de un programa o sistema informático que sirve para aplicar los datos de creación de firma - Dispositivo de protección de perímetro
Hardware y/o software cuya finalidad es mediar en el tráfico de entrada y salida en los puntos de interconexión de los sistemas. - Dispositivo de sentido único
Este tipo de dispositivo interconecta las redes rompiendo la continuidad de los protocolos de comunicaciones, obligando a que el flujo de información sea en un solo sentido. Un ejemplo de dispositivo de sentido único sería la interconexión de dos redes mediante un dio do basado en comunicaciones unidireccionales. El acceso a información de Internet, sería […] - Dispositivo de verificación de firma
Es un programa o sistema informático que sirve para aplicar los datos de verificación de firma. Los dispositivos de verificación de firma electrónica garantizarán, siempre que sea técnicamente posible, que el proceso de verificación de una firma electrónica satisfaga, al menos, los siguientes requisitos: Que los datos utilizados para verificar la firma correspondan a los […] - Dispositivo seguro criptográfico
Un conjunto de hardware, software y firmware que implementa procesos criptográficos (incluidos algoritmos criptográficos y generación de claves) y que está contenido dentro de un límite criptográfico definido. Entre los ejemplos de dispositivos criptográficos seguros se incluyen los módulos de seguridad de hardware o de host (HSM) y dispositivos de punto de interacción (POI) que […] - Dispositivo seguro de creación de firma
Es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías: Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de […] - Distribución electrónica de claves
Transmisión segura por medio de un sistema de comunicación eléctrica y a través del canal de transmisión de una clave a utilizar en cifrados posteriores. - Distribución física de claves
Transmisión de una clave en un determinado soporte (papel, cinta perforada, disquete, inyector de claves, etc.) hasta el equipo remoto por medios ajenos al canal de transmisión, en general un mensajero. - DMZ – Zona desmilitarizada
Abreviatura de «Demilitarized Zone» (zona desmilitarizada). Subred física o lógica que proporciona una capa de seguridad adicional a la red privada interna de una organización. La DMZ agrega una capa de seguridad de red adicional entre Internet y la red interna de una organización, de modo que las partes externas sólo tengan conexiones directas a […] - DNIe
El Documento Nacional de Identidad electrónico (DNIe) es el documento que acredita física y digitalmente la identidad personal de su titular, permite la firma electrónica de documentos y otorga la posibilidad a su portador de utilizar la identidad electrónica en cuantos servicios digitales estén disponibles. - DNIe vs Certificado Digital
El DNI electrónico y los certificados digitales son dos conceptos diferentes, aunque ambos nos permiten identificarnos a la hora de realizar trámites online. El DNIe es una tarjeta que llevamos con nosotros y que tiene un chip en su interior, dentro del cuál ya hay certificados digitales. ¿Quién los emite? A la hora de buscar […] - Doble factor de autenticación A2F 2FA
2FA (Two-Factor Authentication) o Autenticación de dos factores (A2F), es un método que confirma que un usuario es quien dice ser, combinando dos componentes diferentes de validación de su identidad, de entre los siguientes: Algo que sabe: como por ejemplo una contraseña, una frase, un PIN o cualquier otro dato que sólo el usuario conoce. […] - Dominio de seguridad
Un conjunto de elementos, una política de seguridad, una autoridad de seguridad y un conjunto de actividades pertinentes a la seguridad, donde el conjunto de elementos está sujeto a la política de seguridad, para las actividades especificadas. La política de seguridad es administrada por la autoridad de seguridad para el dominio de seguridad. - DoS, DDoS
Un ataque de denegación de servicios, también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la […] - Drive-By
Drive-by download, también conocido como Drive-by Exploit, se refiere a un malware que se instala en tu computadora con el sólo hecho de visitar páginas en Internet que están infectadas por este tipo de amenaza. No se requiere una interacción alguna, este malware se encuentra en el mismo código HTML de las páginas infectadas y […] - DSA – Digital Signature Algorithm
Algoritmo estándar estadounidense de firma digital para aplicaciones gubernamentales diseñado por el National Institute for Standards and Technology (NIST). Es una variante con apéndice del esquema de firma digital de El Gamal. - DSNIFF
Conjunto de herramientas para análisis de redes: auditoría y pruebas de penetración. - ECDSA – Elliptic Curve Digital Signature Algorithm
Es una modificación del algoritmo DSA que emplea operaciones sobre puntos de curvas elípticas en lugar de las exponenciaciones que usa DSA (problema del logaritmo discreto). La principal ventaja de este esquema es que requiere números de tamaños menores para brindar la misma seguridad que DSA o RSA. - Efectividad
Capacidad de lograr el efecto que se desea o se espera. (Mejora Continua del Servicio) Una medida de si los objetivos de un proceso, servicio o actividad han sido alcanzados. Un efectivo proceso o actividad es uno que alcanza sus objetivos acordados. Propiedad de un Objeto de Evaluación, que representa lo adecuadamente que éste proporciona […] - Efecto avalancha
Propiedad de los algoritmos de cifra en virtud de la cual pequeños cambios en el texto en claro producen cambios radicales en el texto cifrado. Rigurosamente, se dice que un algoritmo cumple el criterio de avalancha cuando, en promedio, complementa la mitad de los bits del texto cifrado al complementar un solo bit del texto […] - Eficacia
Grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados. Extensión en la que se realizan las actividades planificadas y se alcanzan los resultados planificados. - Elemento peligroso
Acción humana, elemento natural o ambiental que tiene consecuencias potenciales negativas para el sistema. Puede caracterizarse por su tipo (natural, humano o ambiental) y por su causa (accidental o deliberada). Cuando se trata de una causa accidental, puede caracterizarse también en función de la exposición y los recursos disponibles. Cuando se trata de una causa […] - Elevación de privilegios
Proceso mediante el cual el usuario engaña al sistema para que le otorgue derechos no autorizados, usualmente con el propósito de comprometer o destruir el sistema. - Emanaciones
Radiación electromagnética emitida por los equipos o líneas de comunicaciones. Pudiera ser objeto de análisis por parte de un atacante con él ánimo de acceder a la información procesada o transmitida. - Emanaciones comprometedoras
Señales emitidas accidentalmente que, si son interceptadas y analizadas, podrían llevar a la revelación de la información almacenada, transmitida o presentada en un sistema de información. - Emergencia
Situación de peligro o desastre que requiere una acción inmediata. - Emplazamiento móvil
Sistema autocontenido ubicado en una plataforma móvil. - Encadenamiento criptográfico
Modo de utilización de un algoritmo criptográfico en el cual la transformación realizada por el algoritmo depende de los valores de las entradas o salidas previas. - Encapsulado
Funcionamiento del encapsulado en infraestructuras de red: La entidad de protocolo de un nivel en un dispositivo se comunica con la entidad de protocolo de ese mismo nivel en otro dispositivo, usando servicios del nivel inferior. La unidad de datos del protocolo de cada nivel utiliza cabeceras para comunicar la información relevante para ese nivel. […] - Encargado del tratamiento
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. - Encripción
Véase cifrado. - Encriptar
Anglicismo que parece referirse al término «cifrar«. - Engaño
Conjunto de circunstancias como consecuencia del cual una entidad puede acabar dando por ciertos datos que son falsos. - Engaño en comunicaciones
Transmisión, retransmisión o alteración de unas comunicaciones de forma deliberada para hacer confundir o engañar al receptor. - Enigma (máquina)
La máquina Enigma era un mecanismo de cifrado rotativo utilizado tanto para cifrado como para descifrado, ampliamente utilizada de varios modos en Europa desde los años 1920 en adelante. Su fama se la debe a haber sido adoptada por muchas fuerzas militares de Alemania desde 1930 en adelante. Su facilidad de manejo y su supuesta […] - Entidad
Una persona, un grupo, un dispositivo o un proceso. - Entidad condicionalmente confiable
Una entidad que es confiable en el contexto de una política de seguridad, pero que no puede infringir la política de seguridad sin ser detectada. - Entidad confiable
Entidad que puede infringir una política de seguridad, ya sea porque ejecuta acciones indebidas o porque no ejecuta las acciones debidas. - Entidad final
Sujeto del certificado de clave pública que utiliza su clave privada para otros fines distintos que firmar certificados, o titular de certificado de atributo que utiliza sus atributos para obtener acceso a un recurso, o entidad que es una parte confiante. - Entidad incondicionalmente confiable
Entidad confiable que puede infringir una política de seguridad sin ser detectada. - Entidades autorizadas
Con el esquema distribuido para diferenciar las entidades de certificación y la de validación, se mantiene separada la comprobación de la vigencia de un Certificado Electrónico de los datos de identidad de su titular. Así, la autoridad de certificación (Dirección General de la Policía) no tiene en modo alguno acceso a los datos de las […] - Entorno
Contexto de un desarrollo, operación y mantenimiento de un sistema de información. Incluye procedimientos, condiciones y objetos. - Entrenamiento
Entrenamiento (en seguridad) específico para los responsables de llevar a cabo las funciones de seguridad del sistema. Cada persona se entrena en su misión propia. - Entropía
Valor medio ponderado de la cantidad de información transmitida por un mensaje, no conocido a priori, de una fuente (conjunto) de ellos. En otras palabras, la entropía de una fuente mide la incertidumbre que, a priori, tiene un observador acerca de la aparición de un mensaje (no conocido previamente) de dicha fuente. Se mide en […] - Envenenamiento del DNS
Técnica de ataque contra el servicio DNS. Consiste en enviarle información falsa haciéndole creer que procede de una fuente fiable. Si el DNS cae en el engaño, contribuirá a difundir la falsa información. - Envenenamiento del motor de búsqueda
Ataque que consiste en manipular los resultados devueltos por un motor de búsqueda de contenidos en la red, redirigiendo al usuario a sitios que contienen software dañino. - Equipo criptográfico
Equipo en el que se ejecutan las funciones criptográficas. Por ejemplo: cifrado, autenticación y generación de claves. - Equipo de cifra
Equipo que tiene implementado mecánica o electrónicamente un algoritmo de cifra que, junto a unas claves, sirve para el cifrado o descifrado de información. - Equipo rojo
Un elemento de la organización compuesta por miembros entrenados y educados que proporcionan una capacidad independiente para explorar a fondo las alternativas en los planes y actividades en el contexto del entorno operativo y desde la perspectiva de los adversarios. - Escáner de puertos
Sinónimo de Barrido de puertos. - Escáner de vulnerabilidades
Programa que analiza un sistema buscando vulnerabilidades. Utiliza una base de datos de defectos conocidos y determina si el sistema bajo examen es vulnerable o no. - Escolta
Persona que acompaña a alguien o algo para protegerlo. Conjunto de las personas y los medios utilizados para escoltar a alguien. - ESP – Encapsulating Security Payload
ESP es una cabecera IP para proporcionar a los paquetes IP que viajan por la red servicios de confidencialidad, autenticación del origen, integridad de la conexión, anti-replay y, en cierta medida, inmunidad al análisis de tráfico. - Espacio de claves
Rango de valores que puede tomar loa clave criptográfica de un algoritmo de cifrado. El espacio de claves es propio de cada algoritmo de cifra. Supuesto que no se conozca ninguna vulnerabilidad intrínseca de un algoritmo, la fortaleza de éste se mide por la cardinalidad de su espacio de claves, que indica su resistencia a […] - Especificación de clave
Proceso de acuerdo de una clave criptográfica entre dos o más entidades. La especificación incluye la negociación y el transporte. - Esquema de clasificación de datos
Un esquema empresarial para clasificar los datos por factores tales como criticidad, sensibilidad y propiedad. - Esquema de El Gamal
Algoritmo criptográfico de clave pública que puede emplearse tanto para cifrar como para obtener firmas digitales y que basa su seguridad en la dificultad de calcular logaritmos discretos en un campo finito. Es de recalcar que aunque el algoritmo citado puede emplearse también para cifrar información, su complejidad y el hecho de duplicar el texto […] - Esquema de evaluación
Marco administrativo y regulador bajo el que una autoridad de evaluación aplica los CC en una comunidad específica. - Esteganografía
Sinónimo de Cifra encubierta. Técnica que consiste en ocultar un mensaje u objeto, dentro de otro, llamado portador, de modo que no se perciba la existencia del mensaje que se quiere ocultar. A diferencia de la criptografía que se utiliza para cifrar o codificar información de manera que sea ininteligible para un probable intruso, a […] - Estimar
Apreciar, poner precio, evaluar algo. - Etiqueta de clasificación
Marca asociada a una pieza de información que califica el grado de daño que causaría su revelación a sujetos no autorizados. Puede indicar asimismo las salvaguardas de que debe ser objeto a fin de evitar su revelación no autorizada. - Etiqueta de seguridad
Marca realizada implícita o explícitamente sobre cualquier tipo de recurso o sistema que nombra o designa los atributos de seguridad del mismo. Marca vinculada a un recurso (que puede ser una unidad de datos) que denomina o designa los atributos de seguridad de dicho recurso. - Etiqueta de sensibilidad
Sinónimo etiqueta de clasificación. - Evaluación
Valoración de un sistema o producto de tecnologías de la información respecto de un criterio de evaluación definido. Medida de la confianza que puede depositarse en un Objeto de Evaluación, consistente en una referencia a su Objetivo de Seguridad, un nivel de evaluación establecido por la valoración de la corrección de su implementación y la […] - Evaluación de la seguridad
Verificación de que un elemento de seguridad se ajusta a lo especificado. - Evaluación de la seguridad
Proceso de comprobación de que un producto o Sistema satisface las características de seguridad que proclama tener. Dicho proceso consiste en el examen detallado con el fin de encontrar una posible vulnerabilidad y confirmar el nivel de seguridad establecido. El examen se realiza de acuerdo a un procedimiento o metodología determinado y siguiendo unos criterios […] - Evaluación de vulnerabilidad
Aspecto de la valoración de la efectividad de un Objeto de Evaluación; es decir, si las vulnerabilidades conocidas en el mismo pueden comprometer un la práctica su seguridad, tal como está especificada en el Objetivo de Seguridad. Valoración de un programa o sistema para determinar su susceptibilidad a pérdidas o uso indebido. - Evaluación del riesgo
Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptables o tolerables. La evaluación del riesgo ayuda a la toma de decisiones sobre el tratamiento del riesgo. - Evaluador
Entidad independiente que lleva a cabo una evaluación. - Evaluar
Señalar el valor de algo. Estimar, apreciar, calcular el valor de algo. - Evento
Un cambio de estado significativo para la cuestión de un elemento de configuración o un servicio de TI. El término evento también se usa como alerta o notificación creada por un servicio de TI. Elemento de configuración o herramienta de monitorización. Los eventos requieren normalmente que el personal de operaciones de TI tome acciones, y […] - Evidencia
Certeza clara y manifiesta de la que no se puede dudar. Información que, por sí misma, o en combinación con otra información, se utiliza para probar algo. Una evidencia por sí misma no necesariamente prueba la certeza o existencia de algo; pero ayuda a establecer la prueba. - Exploit
Un tipo de software, un fragmento de datos, o una secuencia de comandos que aprovecha un fallo o una vulnerabilidad en el sistema de un usuario para provocar un comportamiento no deseado o imprevisto. Las acciones que se suelen realizar la violenta toma de control de un sistema, una escalada de privilegios o un ataque […] - Exposición
Se dice cuando información sensible queda expuesta al acceso de entidades no autorizadas. El hecho puede ser accidental o deliberado. - Exposición anual a un riesgo
Producto del daño previsto, en unidades monetarias, producido por un ataque, multiplicado por el número previsto de ocurrencias al año del citado ataque. - Extensible Authentication Protocol
Protocolo marco que soporta diversos modos de autenticación remota: contraseñas, sistemas reto-respuesta, etc.. - Extensiones de seguridad para el sistema de nombres de dominio
Las extensiones de seguridad para el Sistema de Nombres de Dominio (Domain Name System Security Extensions o DNSSEC) es un conjunto de especificaciones de la Internet Engineering Task Force (IETF) para asegurar cierto tipo de información proporcionada por el sistema de nombre de dominio (DNS) que se usa en el protocolo de Internet (IP). Se […] - Externalización
Establecer un acuerdo mediante el cual una organización externa realiza parte de una función o proceso de una organización. - Extorsión
Presión que, mediante amenazas, se ejerce sobre alguien para obligarle a obrar en determinado sentido. - Failover
Configuración de equipos en la que un segundo equipo se hace cargo de las funciones del principal en caso de detención de éste. De esta forma, el servicio no se verá interrumpido. - Falsa aceptación
Error de un sistema de autenticación biométrico que autoriza el acceso a un impostor. Su probabilidad de ocurrencia (probabilidad de falsa aceptación) es una de sus características significativas. Habitualmente, estos sistemas pueden ajustarse para variar esta probabilidad dentro de un amplio margen. Desgraciadamente, cuanto más pequeña sea la probabilidad de falsa aceptación, mayor es la […] - Falsificación de solicitudes entre distintos sitios CSRF
Estado de vulnerabilidad que se crea por métodos de codificación poco seguros, y que permiten que se ejecuten acciones no deseadas mediante una sesión que ha sido autenticada. Suele utilizarse junto con XSS o inyección SQL. El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit […] - Falso negativo
Error producido cuando el sistema diagnostica como actividad normal un ataque. - Falso positivo
Error producido cuando el sistema diagnostica como ataque una actividad normal. - Falso rechazo
Error de un sistema de autenticación biométrico que deniega el acceso a un individuo legítimamente autorizado. Su probabilidad de ocurrencia (probabilidad de falso rechazo) es una de sus características significativas. Habitualmente, estos sistemas pueden ajustarse para variar esta probabilidad dentro de un amplio margen. Desgraciadamente, cuanto más pequeña sea la probabilidad de falso rechazo, mayor […] - FEAL – Fast Data Encipherment Algorithm
Familia de algoritmos en bloque diseñada por A. Akihiro y S. Miyaguchi para NTT Japón. Transforma en N vueltas, de modo similar al DES, una entrada de 64 bits. Es importante en el desarrollo de técnicas criptoanalíticas. - Fiabilidad
Cualidad de fiable. Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados. - Ficheros ocultos de contraseñas
Se trata de un fichero que almacena las contraseñas para autenticar a los usuarios del sistema. Como característica singular, estos ficheros permanecen fuera del alcance de los usuarios, previniendo su uso como fuente de información para descubrir contraseñas. - Fiduciario
En general, se puede decir que una entidad acepta como «fiduciaria» a una segunda entidad cuando aquella (la primera entidad) supone que la segunda entidad se comportará exactamente como ella lo espera. Esta relación de confianza se puede aplicar solamente para alguna función específica. El cometido principal de la confianza en el marco de la […] - Filtrado de camino inverso
Técnica de filtrado del tráfico entrante basada en la verificación de la dirección origen de los paquetes con la tabla de enrutamiento para comprobar que dicha red es alcanzable por dicho interfaz de entrada. - Filtrado de egreso
Método que permite filtrar el tráfico saliente de una red, de modo que sólo el tráfico explícitamente autorizado pueda salir de la red. - Filtrado de entrada/salida
Filtrado realizado en los puntos de comunicación del perímetro de la Organización con el exterior. - Filtrado de ingreso
Método que permite filtrar el tráfico entrante de una red, de modo que sólo el tráfico explícitamente autorizado pueda ingresar a la red. - Filtrado de paquetes con información de estado
Filtrado de paquetes que memoriza las comunicaciones a nivel de transporte previamente establecidas. - Filtrado de paquetes con información de estado e inspección
Filtrado de paquetes que además de memorizar las comunicaciones a nivel de transporte, inspecciona el contenido de los paquetes utilizando decodificadores de protocolo para así interpretar los flujos dinámicos de comunicaciones asociados. - Filtrado de paquetes sin información de estado
Filtrado de paquetes básico que trata los paquetes de manera individual sin tener en cuenta información del estado de la comunicación. - Firewall
Sinónimo de Cortafuegos. - Firma ciega
Protocolo mediante el que se obtiene un documento en claro firmado digitalmente, sin que el signatario tenga medio de conocerlo en el momento de estampar su firma. Constituye la base de otros protocolos criptográficos, como el de votación electrónica o el del dinero electrónico. Protocolo de firma digital en el que una entidad solicita a […] - Firma de un virus
Ristra de caracteres característica del código de un virus, o conjunto de ellos, que permite su identificación. Se distingue la firma de contaminación, cadena de caracteres que el virus usa para reconocer los programas que ya ha contaminado; y la firma de diagnóstico insertos en el código del virus. A diferencia de la primera firma, […] - Firma digital
Datos añadidos a un conjunto de datos, o transformación de éstos, que permite al receptor probar el origen e integridad del conjunto de datos recibidos, así como protegerlos contra falsificaciones; por ejemplo, del propio receptor. Datos añadidos o transformación criptográfica de una unidad de datos que prueba al receptor de dicha información la fuente y/o […] - Firma digital con apéndice
Protocolo criptográfico de firma digital que requiere el mensaje original como entrada del algoritmo de verificación. - Firma digital con recuperación de mensaje
Protocolo de firma digital que no requiere el mensaje original como entrada del algoritmo de verificación. En este caso, el mensaje original se recupera a partir de la propia firma. - Firma digital no negable
Protocolo de firma digital en el que la verificación de la firma requiere la participación del firmante. - Firma electrónica
Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son: Identificar al firmante de manera inequívoca. Asegurar […] - Firma electrónica avanzada
La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. - Firma electrónica reconocida
Firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel. - Firmante
El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa. - FIRST – Forum of Incident Response and Security Teams
Foro internacional de organismos de respuesta a incidentes de seguridad. - Flaw
Defecto en un programa a nivel de arquitectura o diseño. Estos defectos pueden no ser evidentes examinando únicamente el código fuente. - Formal
Expreso, preciso, determinado. - Fortaleza criptográfica
Una cifra, relacionada con la cantidad de trabajo requerido para violar un algoritmo o dispositivo criptográfico. Es frecuente expresar la fortaleza de un sistema de cifra en bits: 80, 112, 128, 192, 512, …. - Frase de acceso
Frase larga (por ejemplo, de 80 caracteres) pero fácil de recordar por el usuario, que realiza las mismas funciones de autenticación que una contraseña, con la ventaja de ser más difícil de conjeturar. - Fraude de identidad
Acto delictivo basado en la usurpación de la identidad de otra persona. La mayoría de los fraudes de identidad se realizan con ayuda de ordenadores. - Frontend
Lado del cliente, es la parte de la aplicación que interactúa con los usuarios, se muestra en la pantalla del navegador y genera la experiencia de usuario. El desarrollo web front-end (frontend) consiste en la conversión de datos en una interfaz gráfica para que el usuario pueda ver e interactuar con la información mediante el […] - Función de verificación criptográfica
Función que obtiene una información realizando un proceso criptográfico en la unidad de datos. Es término sinónimo de «función resumen». - Función unidireccional
Función (matemática) f que es fácil de calcular, pero que para un valor y en la gama es difícil de calcular para hallar un valor x en el dominio de modo que f(x) = y. Puede haber unos pocos valores y para los cuales hallar x no sea fácil computacionalmente. - Gestión de la configuración
Conjunto de procedimientos que regulan el almacenamiento y la modificación de la configuración y juego de reglas de los dispositivos. - Grado de clasificación
Representación de la sensibilidad de una información mediante la combinación de una clasificación jerárquica y parámetros no jerárquicos. - Hacking ético
Se denomina a la realización de un análisis de seguridad de una infraestructura TIC ayudándose de técnicas de hacking. Su finalidad es la realización de ataques controlados cuyo fin es conocer la seguridad de los sistemas y aplicaciones, así como los fallos o brechas de seguridad para que puedan ser corregidas. - HSM
Acrónimo de «hardware security module» (módulo de seguridad de hardware) o «host security module» (módulo de seguridad de host). Un dispositivo de hardware protegido en forma lógica y física que proporciona un conjunto seguro de servicios cartográficos, empleados en funciones de administración de claves criptográficas o el descifrado de los datos de cuentas. Es un […] - Hub
Sinónimo de Concentrador. - ICANN
ICANN (Internet Corporation for Assigned Names and Numbers) es la organización que coordina la asignación de nombres, direcciones IP y otros identificadores utilizados en protocolos (por ejemplo, puertos de nivel de transporte). Además, se ocupa de coordinar el sistema de servidores DNS raíz. ICANN delega la asignación de prefijos a organizaciones que los solicitan en […] - Identidad digital
Todos los usuarios de internet poseen una identidad digital. Se trata de un ‘yo’ en la red que incluye no solo los datos que vamos dejando en la red como consumidores de contenidos online y/o productos, sino también cómo queremos que nos vean los otros usuarios (Redes sociales, perfiles, etc.). - Impacto
Consecuencia de la materialización de una amenaza. - Información de identificación personal
Información que se puede utilizar para identificar a una persona incluyendo, pero sin limitarse a, nombre, dirección, número del seguro social, número de teléfono, etc.. - Infraestructura de Clave Pública (PKI)
Una Infraestructura de Clave Pública (PKI) es una combinación de hardware y software, políticas y procedimientos de seguridad que permite la ejecución con garantía de operaciones criptográficas, como el cifrado, la Firma Digital o el no repudio de transacciones electrónicas. Concretamente, el término de Infraestructura de Clave Pública se utiliza para referirse a la Autoridad […] - Inspección completa
También denominada «dynamic packet filtering» (filtrado dinámico de paquetes). Firewall que, al realizar un seguimiento del estado de las conexiones de la red, proporciona una seguridad mejorada. Al estar programado para distinguir los paquetes legítimos de las diversas conexiones, el firewall permitirá solamente aquellos paquetes que coinciden con una conexión establecida, y rechazará a todos […] - Integridad
Es la cualidad que posee un documento/archivo que no ha sido alterado y que además permite comprobar que no se ha manipulado el documento original. Se realiza mediante encriptación pero esto lo veremos en la siguiente unidad. - IP spoofing
Véase Simular ataque IP spoofing y cómo evitarlo con filtro anti-IP-spoofing. - Keylogger
Es un tipo de troyano que se caracteriza por capturar y almacenar las pulsaciones efectuadas sobre el teclado. Posteriormente esta información (que puede contener información sensible) se envía a un atacante, que las puede utilizar en su propio provecho. Las ultimas versiones de este tipo de programas maliciosos también hacen capturas de pantalla del equipo […] - Lenguaje de comandos entre distintos sitios XSS
Estado de vulnerabilidad que se crea por métodos de codificación poco seguros, y que tiene como resultado una validación de entradas inapropiada. Suele utilizarse junto con CSRF o inyección SQL. Secuencias de comandos en sitios cruzados (Cross-site Scripting) es una brecha de seguridad que se produce en páginas Web generadas dinámicamente. En un ataque por […] - Libro electrónico de códigos
Modalidad de cifrado de bloques en la cual cada bloque se cifra independientemente de los demás, sin realimentación del texto cifrado sobre el propio dispositivo criptográfico. - Limpieza segura
Sinónimo de Borrado Seguro. - LUKS
LUKS (Linux Unified Key Setup) es una especificación de cifrado de disco creado por Clemens Fruhwirth, originalmente destinado para Linux. Mientras la mayoría del software de cifrado de discos implementan diferentes e incompatibles formatos no documentados, LUKS especifica un formato estándar en disco, independiente de plataforma, para usar en varias herramientas. Esto no sólo facilita […] - Medidas de seguridad
Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación. - Memoria perdida
Se dice cuando un programa o proceso solicita recursos de memoria; pero no los libera, quedando inútiles recursos que pudieran ser valiosos. La consecuencia suele ser que el sistema agota los recursos insensatamente. - Mensaje disimulado
Sinónimo de Cifra encubierta. - Método de ataque
Medio típico (acción o acontecimiento) con el que un elemento peligroso realiza sus ataques. Algunos ejemplos: Robo de soportes informáticos o de documentos. Alteración de programas. Atentado contra la disponibilidad del personal. Escucha pasiva. Inundación … - Modo de soslayo (By-pass mode)
Modalidad de trabajo de un dispositivo criptográfico en la cual el texto en claro pasa a su través sin sufrir ningún cifrado. Es un procedimiento útil en ciertas pruebas de funcionamiento de una línea de transmisión. Por precaución, este modo de trabajo debe estar bloqueado mediante una llave de seguridad. - Motivación
Motivo de un elemento peligroso. Puede tener un carácter estratégico, ideológico, terrorista, codicioso, lúdico o vengador y varía según se trate de un acto accidental (curiosidad, aburrimiento) o deliberado (espionaje, afán de lucro, intención de perjudicar, ideología, juego, fraude, robo, piratería, desafío intelectual, venganza, chantaje, extorsión monetaria). - Netfilter
Netfilter (Proyecto Netfilter) es una comunidad de desarrolladores de software conocidos principalmente por el framework disponible en el núcleo de Linux que permite interceptar y manipular paquetes de red. Dicho framework permite interactuar con paquetes en diferentes etapas del procesamiento dentro del sistema operativo, ofreciendo funcionalidades de cortafuegos y otras utilidades relacionadas. Netfilter es el […] - Nivel de Seguridad
El ENS (Esquema Nacional de Seguridad) prescrive que cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles: bajo, medio o algo. Nivel de seguridad BAJO Un sistema tendrá un nivel bajo cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio […] - Niveles de madurez
Dentro del análisis diferencial de los sistemas respecto al cumplimiento con el ENS (Esquema Nacional de Seguridad), nos encontramos con los Nivles de Madurez. Se trata del estado actual de aplicación de las diferentes medidas de seguridad. Los niveles de madurez son: L0 (Inexistente): salvaguarda no aplicada. No existe un proceso que soporte el servicio […] - No repudio
Es la irrenunciabilidad, es decir, permite probar la participación de las diferentes partes en una comunicación. La diferencia con la autenticación es que la primera se produce entre las partes que establecen la comunicación y el servicio de no repudio se produce frente a un tercero. - Partes utilizadoras
Las Partes Utilizadoras son aplicaciones que verifican los certificados, las firmas electrónicas y los caminos de certificación. - Pasarela de intercambio seguro
Las pasarelas de intercambio seguro de información son dispositivos de protección de perímetro más complejos que un cortafuegos o un proxy. Están orientadas a la protección de interconexiones entre redes que manejan información con diferentes categorías o políticas de seguridad, con el fin de evitar la entrada o salida de información no autorizada. Para ello, […] - Perder el tiempo
Dícese de los empleados que en jornada laboral se dedican a navegar por Internet por motivos diferentes de sus obligaciones laborales. - Persona identificable
Persona física cuyos datos de carácter personal establezcan de forma directa o indirecta un perfil más o menos detallado de su identidad personal, familiar o profesional, tal y como establece el artículo 3 a. de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. - Planificar Ejecutar Comprobar y Actuar
Sinónimo de Ciclo de Deming. - Políticas de Aplicación Específicas
Al desarrollar la Política de Seguridad a situaciones concretas o recursos diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y lo denegado en la organización, lo que en ocasiones se denomina Políticas de Aplicación Específicas. Las políticas específicas son documentos que describen la […] - Políticas de Seguridad
Conjunto de directrices plasmadas en un documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos. Según se dispone en el Anexo IV del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito […] - Prestador de Servicios de certificación
Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Las entidades emisoras de certificados son aquéllas que han sido autorizadas a prestar servicio de certificación, y por tanto las encargadas de emitir estos certificados a los diferentes usuarios de certificación. - Proceso de clasificación/Desclasificación
Mecanismo definido en la normativa de clasificación a través del cual se asigna/modifica un determinado nivel de clasificación a un documento. Este mecanismo conlleva una serie de acciones de registro indicadas en el procedimiento establecido por la Organización. - Proxy (Intermediario)
Se trata de un dispositivo que se sitúa en la red actuando de intermediario para prestar un servicio determinado. Su función es recibir todas las peticiones de los usuarios de una organización, a un determinado protocolo, y distribuir las entradas y salidas de información de acuerdo con unos filtros. Los intermediarios o proxies trabajan a […] - PSeudoaleatorio
Término que indica que un suceso, aún no siendo estrictamente aleatorio, se puede considerar aleatorio debido a que satisface unas determinadas condiciones y test. El suceso puede repetirse si se producen idénticas condiciones iniciales a las que lo originaron. - RARP
RARP (Reverse Address Resolution Protocol), al contrario que el protocolo ARP, se encarga de permitir a los distintos dispositivos de red encontrar, dada la dirección de nivel dos correspondiente (dirección MAC), su dirección de nivel tres (dirección IP). Al igual que el tráfico ARP, el tráfico RARP es tráfico local a un segmento de red […] - Recuperación gradual
En Diseño del Servicio, una Opción de Recuperación, también conocida como Reserva fría, la Recuperación Gradual normalmente emplea facilidades portátiles o fijas que tienen soporte medioambiental y cableado de red, pero no sistemas informáticos. El hardware y software se instalan dentro del Plan de Continuidad del Servicio de TI. - Redigitación de clave
Proceso que consiste en el cambio de las claves criptográficas. La redigitación periódica de clave limita la cantidad de datos que pueden cifrarse con una misma clave. - Repositorios (directorios)
Los Repositorios o Directorios son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son: Repositorio de certificados. Repositorio de listas de revocación de certificados. - Responsable de seguridad
Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. - Riesgo inherente
Es el riesgo intrínseco de cada activo, sin tener en cuenta los controles (salvaguardas/medidas) de mitigación que se hayan implementado. Este riesgo surge de la exposición que los activos presenten y de la probabilidad de que una amenaza le afecte debido a sus vulnerabilidades. - Riesgo inicial
Es aquel riesgo que tiene en cuenta los controles (salvaguardas, medidas) existentes actualmente, en el momento de realizar la apreciación (valoración) del riesgo. Coincidirá con el riesgo inherente en algunos activos que no tuvieran salvaguardas implementadas. - Riesgo residual
Es aquel riesgo que persisten después de haber implementado los controles (salvaguardas, medidas) para su mitigación. Es importante advertir que el nivel de riesgo al que está sometido un activo nunca (o casi nunca) puede erradicarse completamente. - Salt
Dato aleatorio que se combina con una clave para que el resultado de una función criptográfica quede razonablemente disperso y protegido frente a ataques de diccionario. - Seguridad de los ordenadores (COMPUSEC)
Resultado de un conjunto de medidas aplicadas a un sistema informático y orientadas a evitar accesos, manipulaciones, pérdidas, modificaciones o conocimiento de la información que contiene por personal no autorizado. - SELinux
Security-Enhanced Linux (SELinux) es una arquitectura de seguridad para los sistemas Linux que otorga a los administradores mayor control sobre quién puede acceder al sistema. La Agencia de Seguridad Nacional (NSA) de Estados Unidos desarrolló este producto originalmente como una serie de parches para el kernel de Linux utilizando los módulos de seguridad de Linux […] - Seudoaleatorio
Sucesión de datos generados por un algoritmo pero que pasan las pruebas habituales de aleatoriedad. Los números aleatorios son necesarios en gran número de técnicas y protocolos criptográficos, como generación de claves criptográficas, sistemas de autenticación fuerte, etc.. - Sistema criptográfico
Colección de transformaciones de texto claro en texto cifrado y viceversa, en la que la transformación o transformaciones que se han de utilizar son seleccionadas por claves. Las transformaciones son definidas normalmente por un algoritmo matemático. Conjunto de claves y equipos de cifra que utilizados coordinadamente ofrecen un medio para cifrar y descifrar. - Software malicioso o malware
Software o firmware desarrollado para infiltrarse en una computadora o dañarla sin conocimiento ni consentimiento del propietario, con la intención de comprometer la confidencialidad, integridad o disponibilidad de los datos, las aplicaciones o el sistema operativo del propietario. Por lo general, esta clase de software se infiltra en una red durante diversas actividades aprobadas por […] - Stateful Firewall
La condición «stateful» se refiere a la capacidad de guardar registro de las conexiones establecidas y establecer reglas de filtrado en base a la correcta secuencia de las mismas. - Suceso
Ocurrencia o cambio de un conjunto particular de circunstancias. Un suceso puede ser único o repetirse, y se puede deber a varias causas. Un suceso puede consistir en algo que no se llega a producir. Algunas veces, un suceso se puede calificar como un «incidente» o un «accidente». Ocurrencia o cambio de un conjunto particular […] - Suceso de seguridad de la información
Ocurrencia detectada en el estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un fallo de los controles o una situación desconocida hasta el momento y que puede ser relevante para la seguridad. - Superficie de ataque
La superficie de ataque es el número total de vectores de ataque que podrían usarse como punto de entrada para lanzar un ataque cibernético u obtener acceso no autorizado a datos confidenciales. Estas intrusiones no autorizadas podrían usar vulnerabilidades en determinados sistemas, dispositivos, aplicaciones, etc.. Puede afectar a las personas, los entornos físicos, de red […] - Técnica criptográfica simétrica
Aquella que usa la misma clave, secreta, para el algoritmo de cifrado y descifrado. Sin el conocimiento de la clave secreta es computacionalmente inviable calcular ni el algoritmo de cifrado ni el de descifrado. - Técnica de conocimiento nulo
Técnica de autenticación basada en un cifrado asimétrico. Se caracteriza porque un único inter-cambio de información de autenticación no es suficiente para avalar la autenticidad de una enti-dad, pero dicha información puede bastar para delatar una suplantación - Titulares de Certificados
Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la terminología PKI (para validar firmas digitales, cifrar documentos para otros usuarios…). Ejemplo: un servidor web es una entidad final cuando obtiene […] - Trayecto de certificación
Secuencia ordenada de certificados de clave pública de objetos en el árbol de información de directorio que, junto con la clave pública del objeto inicial en el trayecto, puede ser procesada para obtener la del objeto final en el trayecto. - Trayecto de delegación
Secuencia ordenada de certificados que, junto con la autenticación de una identidad de asertor de privilegios, puede ser procesada para verificar la autenticidad de un privilegio de asertor de privilegios. - Trayectoria de certificación
Sucesión ordenada de certificados de objetos pertenecientes al Árbol de Información del Directorio que, junto con la clave pública del objeto inicial en la trayectoria, puede ser procesada para obtener la del objeto final de la misma. - Troyano
Sinónimo de Caballo de Troya. - Valor de comprobación criptográfico
Información que se obtiene realizando una transformación criptográfica (véase criptografía) sobre una unidad de datos. Nota: el valor de comprobación puede obtenerse en uno o más pasos y es el resultado de una función matemática de la clave y una unidad de datos. Suele utilizarse para verificar la integridad de una unidad de datos. - Vector de ataque
Un punto de origen o vector de ataque es una vía o punto de entrada que utiliza un ciberdelincuente para acceder a un sistema. Un vector de ataque informático es el medio escogido por los ciberdelincuentes, hackers o crackers informáticos para transmitir al objetivo (equipo informático o cualquier otro dispositivo conectado a la red local […] - VPN
VPN (Virtual Private Network) o Red Privada Virtual (RPV) es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. VPN es una simulación virtual de una red privda en Internet. VPN permite, por ejemplo, la posibilidad de conectar dos o más […] - Vulnerabilidad
Fallo en el diseño de un programa que permite a los atacantes provocar un funcionamiento erróneo que compromete la seguridad de los Sistema de información y las comunicaciones. Se trata de una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información, pudiendo permitir que un atacante pueda […] - WAF (Web Application Firewall)
WAF (Firewall de aplicaciones web) es un tipo de firewall que supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web. Se diferencia de un firewall normal en que puede filtrar el contenido de aplicaciones web específicas, mientras que un firewall de red protege el tráfico entre los servidores. Al inspeccionar el […] - Zero-Day
Véase Día cero.