ITpedia - Glosario de Ciberseguridad
A
Adware
El adware es un software malicioso que muestra continuamente anuncios emergentes en la pantalla del dispositivo que ha infectado, normalmente a través de un navegador. Suele tratarse de publicidad de ‘clic fácil’ encaminada a engañar al usuario con falsas promesas desorbitadas, o bien de falsas advertencias que tratan de redirigirlo hacia sitios web de dudosa existencia. Su nombre proviene de la fusión de las palabras advertisement («anuncio» en español) y software.
API
La API (del inglés Application Programming Interfaces) se refiere al conjunto de protocolos, funciones y comandos que permiten desarrollar e integrar los software de distintas aplicaciones entre sí. Las API simplifican el trabajo de los desarrolladores ahorrando tiempo y costes, mejorando la automatización de procesos.
Actúa como intermediario virtual y facilita la comunicación entre programas o software para dar pie a una funcionalidad concreta, independientemente de cómo estos hayan sido implementados.
Descubre los beneficios de integrar Redtrust en las empresas a través de nuestra API.
Autenticación
Es la acción que permite verificar la identidad de un usuario a través de una serie de credenciales conocidas como factores de autenticación. La combinación de factores da forma a distintos mecanismos de autenticación.
La autenticación es una de las garantías que ofrece el certificado digital al realizar una transacción o gestión por la vía telemática, y a su vez, este conforma uno de los mecanismos de autenticación más seguros.
En nuestro blog analizamos cuáles son los mecanismos de autenticación más comunes y por qué el certificado digital es la mejor opción para las empresas.
Autoridad de Certificación
La Autoridad de Certificación (AC o CA, del inglés Certification Authority) es una entidad de confianza que posee la capacidad tanto de emitir como de revocar los certificados digitales utilizados para realizar trámites online y firmas electrónicas, además de certificar la identidad de su titular, es decir, su autenticación. También se hace referencia a ellas como ‘Prestadores de Servicios Electrónicos de Confianza’.
Autoridad de Registro
Es la entidad que identifica al solicitante de un certificado digital. La Autoridad de Registro suministra a la Autoridad de Certificación los datos de dicho solicitante, una vez que estos han sido certificados, para que proceda a la emisión del certificado correspondiente.
Autoridad de Validación
Es la entidad encargada de ofrecer información acerca de la vigencia y validez de un certificado electrónico que previamente ha sido registrado por una Autoridad de Registro y certificado por una Autoridad de Certificación.
Debe actualizar, por tanto, la Lista de Revocación de Certificados con aquellos certificados que han sido anulados o revocados. En España son Autoridades de Validación la Fábrica Nacional de Moneda y Timbre (FNMT) y el Ministerio de Hacienda y Administraciones Públicas.
B
Backup
Un backup o copia de seguridad consiste en la copia del conjunto de información de una empresa, permitiendo añadir un nivel adicional de seguridad en la organización y reducir los tiempos de respuesta ante incidencias.
Las copias de seguridad permiten contener la información de la empresa y mantenerla a salvo frente a cualquier imprevisto, como un ataque malicioso por parte de ciberdelincuentes o simplemente la pérdida de datos a causa de un error informático.
BEC
BEC (del inglés Business E-mail Compromise) es una estafa de compromiso de correo electrónico comercial dirigida a perfiles específicos de una empresa (CEO, Responsable de TI, de RRHH, de Finanzas, etc.) para la sustracción de dinero y/o información de carácter confidencial.
Para ello, los ciberdelincuentes se hacen pasar por alguna persona que forma parte del entorno de confianza de la empresa (perteneciente a su plantilla o no, como un cliente) para realizar una solicitud que, a primera instancia, parece ser legítima: envío de dinero a una cuenta bancaria, de información personal, etc. Se trata de un fraude de ingeniería social.
Blockchain
El blockchain, o cadena de bloques, es una tecnología empleada para realizar transferencias de información seguras gracias a su peculiar sistema de codificación. Equivale a una base de datos descentralizada donde ningún usuario posee el control, sino que este recae en todos aquellos que participan en la cadena.
En el momento de llevarse a cabo una transferencia de datos no es necesaria la existencia de un intermediario para aprobar dicha operación ni verificar a las partes, ya que son los propios usuarios (o nodos) los encargados de hacerlo. Para ello se sigue una premisa de consenso: si todos los usuarios que participan en la red poseen la misma información, esta es veraz. Cada transacción origina un bloque nuevo en la cadena que se suma al anterior y que a su vez contiene información de su hash (o huella digital). Existen dos tipos de cadenas de bloques: públicas y privadas, aunque también puede haber híbridas.
Brecha de seguridad
Incidente que afecta a la seguridad de una empresa y a los datos e información que almacena. Esta violación de los sistemas de seguridad puede estar provocada por un tercero con intención dañina, o bien ser el resultado de un hecho accidental interno.
Una brecha de seguridad puede derivar en la destrucción, pérdida, modificación o acceso por parte de usuarios no autorizados a la información confidencial y privada que posee una compañía.
Bug
Un bug es un error o defecto de software que impide el correcto funcionamiento de un programa o aplicación. Normalmente se originan por errores de programación que dificultan la interacción de dicho software en el dispositivo en el cual ha sido instalado.
La aparición de bugs es una de las causas que conduce a la actualización en nuevas versiones de aplicaciones o programas de software. Para corregirlos, los programadores se guían por las indicaciones que el lenguaje de programación dicta sobre los bugs detectados y tipificados.
C
Certificado digital
El certificado digital es un mecanismo de identificación y autenticación oficial que demuestra la identidad de una persona física o empresa en el entorno online a la hora de realizar trámites con un tercero. Está basado en criptografía asimétrica, además de contar con un número de serie y un período de validez. Los certificados, para que cumplan su función, deben estar emitidos por una Autoridad de Certificación.
¿Qué tipos de certificados digitales hay, cuáles son sus usos y cómo se pueden obtener? Te lo contamos en nuestro blog.
Ciberamenaza
Una ciberamenaza se entiende como cualquier ataque que una empresa pueda recibir en el ciberespacio con la intención de causarle un perjuicio a nivel reputacional, económico u operativo, mediante a la sustracción de información, la indisponibilidad de sus servicios (bloqueo de dispositivos, robo de certificados, etc.) o cualquier otra acción que interrumpa la continuidad del negocio.
El impacto que puede generar en una organización será menor o mayor en función del tipo de ciberataque llevado a cabo y la metodología empleada.
Ciberdelincuente
Los ciberdelincuentes son aquellas personas que realizan actividades delictivas en el ciberespacio para dañar a empresas a través de acciones como el robo de su información, accesos nos autorizados a sus sistemas o estafas para recaudar cierta cantidad de dinero. Existen multitud de ciberamenazas o ataques que pueden ejecutarse para conseguir su objetivo, e incluso detectar y aprovechar brechas de seguridad en los sistemas o equipos para tal fin.
Ciberresiliencia
Es la capacidad de una empresa de dar respuesta a un ciberataque o fallo cibernético que pueda interrumpir la continuidad del negocio. Comprende el conjunto de acciones tales como la planificación, la detección, la respuesta, la recuperación y la mejora para garantizar que se paralice lo menos posible el desarrollo de la actividad empresarial tras un ataque.
Ciberseguridad
Práctica de proteger tanto los sistemas de información, tecnologías o servicios de empresas, organismos y usuarios, así como su propia identidad digital, de amenazas que pongan en riesgo su integridad con el fin de detectarlas, identificarlas y contrarrestarlas de manera eficiente para garantizar su seguridad digital.
Ciclo de vida
El ciclo de vida de un certificado digital es el período que transcurre desde su emisión hasta su fecha de caducidad, momento en el que necesita ser renovado para continuar con su uso. Dicho ciclo varía en función de diferentes aspectos, tales como la Autoridad de Certificación que lo emite, el tipo de certificado en sí o el ámbito de su uso, lo que implicará también acogerse a diferentes métodos de renovación.
Cifrado
Proceso de convertir información o datos a un formato codificado para que solo pueda ser leído y procesado por un receptor que cuente con los medios adecuados para descifrarlo. Es un mecanismo que garantiza la seguridad y protección de dicha información, impidiendo su acceso por parte de terceros no autorizados.
El modo más común de cifrado es a través de la generación de una serie de claves para encriptar y desencriptar la información. Según el tipo de claves empleadas diferenciamos dos tipos de cifrado: simétrico y asimétrico.
Clave privada
Junto a la clave pública, garantiza la protección y confidencialidad de la información. Es la encargada de descifrar la información en la criptografía asimétrica, propia de los certificados digitales. La clave privada es generada por la Autoridad de Certificación a la hora de emitir un certificado y solo es conocida por el usuario que se identifica como titular del mismo. En la criptografía simétrica solo se utiliza una clave privada que cifra y descifra los datos.
Clave pública
Junto a la clave privada, garantiza la protección y confidencialidad de la información. Relacionada directamente con la criptografía asimétrica, es la clave que se distribuye a ambas partes en una comunicación y la que cifra la información. Por tanto, dicha clave va asociada al certificado digital en su emisión por parte de una Autoridad de Certificación y es generada a raíz de la clave privada.
Cloud
El cloud o nube es un espacio originado en el entorno online para el almacenamiento de información como alternativa a los dispositivos de hardware o virtuales. Las principales ventajas de contar con un servicio cloud son su flexibilidad, que permite acceder a él desde cualquier dispositivo y lugar, y su escalabilidad, ofreciendo al usuario la posibilidad de hacer crecer o decrecer dicha capacidad de almacenamiento, normalmente, a través de pagos. Existen diferentes modelos de servicio de la tecnología Cloud, tales como el IaaS, PaaS o SaaS.
Confidencialidad
Esta característica garantiza que la información emitida por el emisor a un tercero es privada y accesible únicamente por las partes vinculantes a dicha comunicación. Es una de las garantías que ofrecen los certificados digitales a la hora de realizar una transacción o gestión por la vía telemática.
Criptografía
La criptografía es la técnica empleada para la protección de documentos y/o datos mediante el cifrado de la información, con el fin de impedir que cualquier tercero no autorizado pueda acceder a ella. Existen dos tipos de criptografía: la simétrica y la asimétrica.
Criptografía asimétrica
También conocido con el nombre de criptografía de clave pública o PKI. Está compuesto por dos claves únicas que promueven la comunicación segura entre las partes: una clave pública, encargada de cifrar la información, y una clave privada, que solo posee el usuario que recibe dicha información para descifrarla. La clave pública asegura la confidencialidad de la información, a la que solo podrá acceder el usuario que posee la clave privada correspondiente. El cifrado asimétrico garantiza la verificación de la firma digital y la autenticación del usuario, afianzando la seguridad de los certificados digitales.
Criptografía simétrica
También conocido como criptografía de clave privada. Es un esquema de cifrado en el que se emplea una misma clave para cifrar y descifrar la información. Dicha clave es compartida por las partes que tratan de establecer una comunicación para garantizar la confidencialidad de los datos.
D
DDoS
DDoS (del inglés Distributed Denial of Service) es un ataque de denegación de servicio enviado desde multitud de dispositivos que trata de inhabilitar un servidor o aplicación y bloquear su funcionalidad. Este bloqueo se produce motivado por el envío masivo de solicitudes hasta sobrepasar el límite de capacidad del servidor destinado a resolver peticiones de manera simultánea, que una vez que se ve desbordado deja de responder o queda inhabilitado. Para su vuelta a la funcionalidad será necesario que el ataque cese por parte de los ciberdelincuentes o que se logre bloquear las conexiones o solicitudes consideradas ilegítimas.
DevOps
Resultante de la unión de los términos ‘development’ y ‘operations’, es la combinación de filosofías, prácticas, herramientas y equipos para agilizar el desarrollo y la mejora de las aplicaciones y servicios de la empresa, generando así un mayor valor al usuario. Se plantea como una metodología de trabajo que estrecha los lazos de los equipos de Soporte y de Operaciones con el fin de agilizar los procesos, incrementar la productividad de los trabajadores y mejorar los tiempos de respuesta.
E
EAC
EAC (del inglés Email Account Compromise) es una estafa de compromiso de cuenta de correo electrónico en el que los ciberdelincuentes emplean varias técnicas, como el phishing o el malware, con el fin de descifrar las contraseñas de los correos electrónicos de sus víctimas, pudiendo acceder a sus diferentes buzones para extraer información y suplantar su identidad. Un ataque EAC suele contar con dos perjudicados: la persona cuya cuenta de correo ha sido suplantada y la persona que cree en la solicitud fraudulenta recibida por dicha cuenta. Se trata de un ataque de ingeniería social.
eIDAS
El Reglamento eIDAS establece un marco jurídico común para los países miembros de la UE con el fin de facilitar las transacciones electrónicas llevadas a cabo por sus ciudadanos, empresas y administraciones públicas. De esta forma, se crea un mercado digital único en el cual se dota de legalidad a los Prestadores de Servicios Electrónicos de Confianza Cualificados (o Autoridades de Certificación) y se reconocen los diferentes mecanismos de identificación electrónica para la realización de trámites telemáticos, favoreciendo la digitalización de las gestiones empresariales.
Endpoint
Cualquier dispositivo informático conectado a una red con la que se comunica, como los ordenadores, tablets o smartphones.
F
Firma digital
Una firma digital es un mecanismo criptográfico que vincula un documento a la identidad de un usuario, garantizando la integridad de la información que dicho documento contiene tras ser firmado. El certificado digital es el medio necesario para firmar digitalmente.
Firma electrónica
Conjunto de datos electrónicos asociados a un documento electrónico que identifica al usuario firmante de dicho documento, garantiza la integridad de la información que este contiene y asegura el no repudio de dicho documento. Se trata de un concepto de naturaleza jurídica. La aplicación de algoritmos criptográficos a la firma electrónica es el resultado de obtener la firma digital. El Reglamento eIDAS distingue varios tipos de firma electrónica, según su nivel de seguridad: firma electrónica simple, firma electrónica avanzada y firma electrónica cualificada.
FNMT
La FNMT (Fábrica Nacional de Moneda y Timbre) es una Autoridad de Certificación de carácter público y la de mayor reconocimiento a nivel estatal, encargada de emitir diferentes tipos de certificados digitales para la autenticación, firma y gestión de trámites telemáticos por parte de empresas y usuarios.
G
Gartner
Gartner es una de las firmas empresariales más importantes dedicada a la consultoría e investigación dentro de la industria IT. Ofrece asesoramiento a empresas y realiza continuos análisis de mercado y benchmarking para conocer, entre otros, las tendencias tecnológicas que predominan en el sector.
Posee el programa‘Gartner Peer Insights’ donde los clientes de las principales empresas del ámbito tecnológico valoran la calidad de los servicios prestados mediante reseñas A través de estas valoraciones, Gartner publica anualmente sus ‘Cuadrantes Mágicos’ con el listado de empresas de IT más relevantes del mercado a nivel internacional y acorde a diferentes parámetros.
H
Hash
El hash o funciones de hash constituyen una operación criptográfica en la que una cadena de información (datos, documentos, contraseñas, etc.) es cifrada para asegurar su protección y autenticidad. Mediando el cifrado se crea una cadena alfanumérica de longitud fija a modo de identificador y con carácter unidireccional: la función hash solo permite añadir información en una sola dirección, siendo imposible conocer cuáles son los datos que se han ido sumando a la cadena. Los hashes son una las piezas clave dentro de la tecnología blockchain.
HSM
Un HSM (del inglés Hardware Security Module) es un dispositivo hardware de seguridad destinado al almacenamiento y protección de claves de tecnología PKI (o «Infraestructura de Clave Pública») mediante criptografía. Es reconocido por los expertos en ciberseguridad como una de las alternativas más seguras para la gestión y custodia de los certificados digitales. Gracias a su criptoprocesador crea y gestiona claves criptográficas para cifrar la información que contiene.
¿Cuáles son las ventajas de contar con un HSM para la custodia de los certificados digitales y claves? Descúbrelo en este artículo de nuestro blog.
I
IAM
IAM (del inglés Identity and Access Management) engloba la gestión y administración de las identidades digitales de los usuarios, así como de las acciones que pueden realizar una vez que acceden a un servicio, recurso o sistema de la empresa. La función de la IAM es controlar y monitorizar los accesos de los usuarios en base a su identificación, autenticación y autorización, con el fin de mejorar la seguridad.
En este artículo de nuestro blog te contamos por qué las estrategias de IAM están convirtiéndose en tendencia y ganando relevancia en las empresas.
Identidad digital
Es la identificación de un usuario en el entorno digital mediante el uso de elementos como la firma digital, el correo electrónico o el certificado digital. Este último se concibe como la única forma de garantizar y demostrar la identidad digital de una persona en el ámbito online. El certificado permite, además de la identificación del usuario, su autenticación a la hora de relacionarse con terceros, fundamental para evitar la suplantación de identidad en la red.
En este artículo de nuestro blog analizamos la importancia de proteger la identidad digital a la hora de establecer relaciones telemáticas con otras entidades u organismos públicos.
Identificación
Consiste en la presentación de la identidad del usuario a la otra parte a la hora llevar a cabo un trámite en el entorno online a través de una serie de credenciales.
IDS
IDS (del inglés Intrusion Detection System) es un sistema de detección de accesos no autorizados a la infraestructura de información de una organización, ya sean de carácter interno o externo. Este sistema analiza el tráfico de la red y el uso de los dispositivos para detectar cualquier anomalía que no siga los patrones de comportamiento comunes, cotejándolo con una base de datos que reúne las principales firmas de ataque conocidas para facilitar el hallazgo de intrusiones.
Integridad
La integridad asegura que la información transmitida entre las partes durante una comunicación no ha experimentado ningún tipo de manipulación ni alteración, por lo que la información emitida es exactamente igual a la recibida. Es una de las garantías del certificado digital.
IPS
IPS (del inglés Intrusion Prevention System) es un sistema de prevención de intrusiones en la infraestructura de información de una empresa. Estos sistemas monitorizan en tiempo real todas las conexiones que se realizan en dicha infraestructura con el fin de determinar si se va a producir un ataque mediante la identificación de comportamientos sospechosos u anomalías. Emite alertas ante cualquier posible amenaza y también defiende los sistemas frente a múltiples ataques descartando paquetes maliciosos o bloqueando conexiones anómalas, entre otras acciones.
IPsec
IPsec es un protocolo aplicado a una VPN que añade una capa de seguridad a las comunicaciones IP para establecer una conexión segura en dicha red, a través de garantías tales como la autenticación, la confidencialidad, la integridad y el no repudio, junto al control de accesos, la calidad del servicio y el registro de la actividad.
El protocolo IPsec trabaja en la capa 3 de OSI (la capa de red) y es aplicable a las dos arquitecturas de VPN: la VPN de acceso remoto (o Road Warrior) y la VPN site-to-site. Además, permite su compatibilidad con la tecnología PKI (o de «Infraestructura de Clave Pública»).
J
Java
Java es un lenguaje de programación que permite la creación de webs y aplicaciones que pueden ejecutarse en diferentes sistemas operativos o dispositivos.
En numerosas ocasiones es necesario disponer de una máquina virtual de Java (JRE) instalada en los equipos, o la habilitación de plugins de Java en el navegador, para el uso de los certificados digitales al relacionarnos telemáticamente con ciertas empresas u organismos.
K
Vaya, para esta letra aún no hemos encontrado un concepto relacionado con la ciberseguridad, el certificado digital o la identidad digital ¿Cuál podríamos incluir? ¡Envíanos tu propuesta!
L
Link Layer Encryption
Link Layer Encryption o «Cifrado de la Capa de Enlace» consiste en el cifrado de toda la información que se transmite entre dos puntos o nodos (ordenadores, móviles, etc.) dentro de una red y que se aplica sobre la capa de enlace de datos del modelo OSI (en concreto, sobre la segunda capa).
Lista de Revocación de Certificados
Es la lista que reúne los certificados digitales, así como sus números de serie y emisor correspondiente, que ya no son válidos y han dejado de ser confiables. Es continuamente actualizada por la Autoridad de Validación.
M
Malware
Software malicioso empleado para causar daño tanto a dispositivos como a usuarios, objetivo que puede lograr de diferentes maneras en función de su tipología: ransomware, spyware, adware, gusanos, troyanos o botnets, entre otros. La particularidad del malware reside en su capacidad para introducirse en el dispositivo en cuestión de manera oculta e inesperada (descarga o instalación involuntaria, clic en vínculo de email fraudulento, visita a sitio web engañoso, etc.) y su intencionalidad a la hora de actuar en perjuicio del usuario, por ejemplo, mediante la sustracción de información o por daños e inhabilitación del dispositivo.
N
No repudio
El no repudio garantiza que el emisor o usuario que realiza una operación no puede negar haberla llevado a cabo. Es una de las garantías que ofrece el certificado digital a la hora de realizar una transacción o gestión telemática.
O
OEM
OEM (del inglés Original Equipment Manufacturer) o «Fabricante de Equipo Original» hace referencia a la empresa encargada de fabricar productos o componentes para que otras las empleen en el desarrollo de sus propios productos. Esta relación empresarial permite abaratar los costes de producción y, por tanto, fabricar productos tecnológicos más baratos. Ocurre de igual forma con los software, aunque normalmente las versiones de software desarrolladas por empresas OEM se adquieren únicamente al comprar hardware.
P
PKI
PKI (del inglés Public Key Infrastructure) es una combinación de software, hardware y políticas de seguridad que garantiza la comunicación segura entre las partes, mediante el uso del certificado digital, así como la autenticidad, confidencialidad, integridad y no repudio de la información que se intercambia.
Esta infraestructura de clave pública integra: los certificados digitales; la criptografía de clave pública, encargada de cifrar la información que contiene el certificado y de asegurar la identidad del usuario; y el conjunto de agentes como la Autoridad de Certificación, la Autoridad de Registro, la Autoridad de Validación y aquellos repositorios donde se almacenan los certificados como, por ejemplo, el repositorio de la Lista de Revocación de Certificados.
Los certificados de clave pública o PKI adoptan el formato X.509.
Plan de Continuidad de Negocio
Un Plan de Continuidad de Negocio define las pautas y procesos que una empresa debe seguir para restaurar su funcionamiento ordinario, el cual se ha visto interrumpido por algún incidente malintencionado de seguridad o un error humano.
Poseer un Plan de Continuidad de Negocio garantiza dar una respuesta inmediata ante un problema inesperado que dificulta la operatividad de la empresa, minimizando el posible impacto reputacional y económico que este cause. Una de las causas que puede interrumpir la actividad empresarial es sufrir un ciberataque.
Contar con un Plan de Continuidad de Negocio y las herramientas de ciberseguridad adecuadas ayudará a reducir el riesgo e impacto de un ataque sobre la arquitectura IT y la identidad digital de la compañía, así como a reactivar su funcionamiento con la mayor brevedad posible.
Q
Vaya, para esta letra aún no hemos encontrado un concepto relacionado con la ciberseguridad, el certificado digital o la identidad digital ¿Cuál podríamos incluir? ¡Envíanos tu propuesta!
R
Ransomware
Es uno de los ataques cibernéticos más dañinos en la actualidad y está basado en la extorsión. Los ciberdelincuentes, una vez que acceden a la infraestructura de información de la empresa tras detectar o generar una brecha de seguridad, cifran sus archivos e información confidencial y/o bloquean los dispositivos y servidores para impedir su uso. Tras ello, piden un rescate económico a la víctima para recuperar su control.
S
SaaS
El Software como Servicio (SaaS) se concibe como una solución de software integral en el que el propio software y los datos que con él se trabajan se alojan y centralizan en un servidor externo a la empresa ubicado en la nube, que asume también su soporte, actualizaciones y mantenimiento.
Cualquier usuario autorizado puede acceder desde cualquier lugar y en cualquier momento, ya que no requiere la instalación de dicho software en cada estación de trabajo, suponiendo un ahorro para las empresas tanto a nivel económico como de tiempo.
SAML
SAML (del inglésnSecurity Assertion Markup Language) es un estándar de código basado en XML que permite el intercambio de datos e información de manera segura, tanto de autenticación como de autorización, entre dos partes. Estas, normalmente, se corresponden a un proveedor de identidad (que debe autenticar al usuario) y un proveedor de servicio (que necesita la autenticación del anterior para ofrecer autorización al usuario).
El SAML es una forma de implementar el SSO o «Inicio de Sesión Único».
SOAP
SOAP (del inglés Simple Object Access Protocol) es un protocolo de estandarización basado en lenguaje XML y empleado en servicios web para facilitar la comunicación e interacción entre partes que, normalmente, han empleado diferentes lenguajes de programación o software en su desarrollo. Es uno de los protocolos que rige a las API.
SSO
El SSO (del inglés Single Sign-On) o «Inicio de Sesión Único» permite al usuario identificarse una única vez para acceder a los sistemas de información de la empresa. Simplifica el acceso a las diferentes aplicaciones que hacen uso de este método, además de mantener la sesión activa en cada una de ellas. El usuario debe identificarse empleando un método de autenticación válido que verifique su identidad.
Suplantación de identidad
Actividad malintencionada mediante la cual un tercero se hace pasar, de manera maliciosa, por un usuario o empresa en el entorno digital para acceder a información a la que no se está autorizado o cometer algún tipo de fraude, entre otras finalidades. Asegurar la autenticación de la identidad digital de una empresa o usuario es fundamental para evitar este ataque, siendo el certificado digital el mecanismo más seguro para lograrlo.
T
TLS
El protocolo criptográfico TLS (del inglés Transport Layer Security) se concibe como la evolución del certificado SSL y garantiza la navegación segura en el mundo online. Dicho protocolo permite que la información que se intercambia entre el usuario y una página web sea confidencial e íntegra. El SSL y el TLS conforman el protocolo HTTPS que una web muestra para confirmar que la conexión es segura.
U
UIT-T
UIT – T hace referencia al Sector de Normalización de las Telecomunicaciones, un organismo correspondiente a la Unión Internacional de Telecomunicaciones y cuya misión reside en la elaboración de normas internacionales, conocidas como ‘Recomendaciones’, que definen cómo debe ser la infraestructura TIC a nivel mundial para asegurar la comunicación global entre empresas y usuarios.
Actualmente existen más de 4.000 recomendaciones en vigor y que pueden consultarse, junto al programa de trabajo al que están enlazadas, en este enlace.
UTF - 8
Para entender la importancia de este término, primero es importante conocer qué es Unicode. Unicode es sistema de codificación de caracteres que permite la comunicación y el lenguaje en el entorno virtual, asignando un número específico a cada uno de los caracteres (letras, números o símbolos) que componen un idioma, plataforma o disciplina técnica.
UTF-8 es el lenguaje de codificación más extendido en la red y una de las formas de codificación empleadas por Unicode identificar letras, números o símbolos.
V
VPN
La conexión VPN (del inglés Virtual Private Network), o «Red Privada Virtual», permite la creación de una red local y segura a través de la cual los usuarios pueden estar conectados entre ellos mediante Internet. Estar conectado a una VPN aumenta la seguridad tanto del usuario como de la empresa cuando este se encuentra fuera de la estación de trabajo habitual, además de proteger su privacidad y el tratamiento que hacen ambas partes de la información gracias a su cifrado.
W
WannaCry
WannaCry es un ransomware de tipo criptográfico empleado para extorsionar a empresas una vez que han sido infectadas, a las que se les exige el pago de un rescate por su información mediante bitcoins. Este ataque se centra, especialmente, en equipos que emplean Windows como sistema operativo.
Su origen se remonta al año 2017, cuando se propagó en más de 200.000 ordenadores en todo el mundo y a través de 150 países, aprovechando una vulnerabilidad detectada en este sistema operativo causada por ‘EteneralBlue’, un exploit que derribó las barreras de seguridad de la infraestructura IT de las empresas y permitió ejecutar el ataque WannaCry.
WS-Security
Protocolo de comunicaciones que establece una serie de especificaciones y parámetros a seguir para garantizar la autenticación, confidencialidad e integridad de los servicios web. Es una de las especificaciones que SOAP define para los servicios web.
X
X.509
Es un estándar UIT-T para PKI (o «Infraestructura de Clave Pública») que se emplea para definir el contenido y la estructura de un certificado digital. Permite identificar la información y sintaxis que posee un certificado, tal como el usuario que es propietario del mismo, la Autoridad de Certificación que lo emite, período de validez, firma digital, número de serie, etc.
Y
Vaya, para esta letra aún no hemos encontrado un concepto relacionado con la ciberseguridad, el certificado digital o la identidad digital ¿Cuál podríamos incluir? ¡Envíanos tu propuesta!
Z
Zero Trust
Concepto de ciberseguridad que hace alusión a que las empresas no deben confiar en ninguna entidad interna o externa que traspase su zona de confianza. Se basa en la premisa de que las empresas analicen y autentiquen la identidad de cualquier usuario, incluso perteneciente a la propia empresa, que trate de acceder al perímetro de confianza que esta impone. Además, todo usuario que desee acceder a los recursos de la empresa debe poseer la autorización o rol necesario para realizar la acción en cuestión.
¿Echas en falta alguna palabra? ¡Cuéntanos cuál!