Saltar al contenido

Diccionario CALMA

Los términos que el sector usa para que no les entiendas

Nosotros te los explicamos en claro, sin tecnicismos y sin sustos. 58 conceptos de ciberseguridad para pymes, en lenguaje de persona.

A

Acceso remoto

La capacidad de conectarse a los sistemas de tu empresa desde fuera de la oficina. Muy útil para el trabajo flexible. Muy peligroso si nadie se ha preocupado de configurarlo bien.

Ver definición

Administrador de contraseñas

Una aplicación que genera, guarda y gestiona contraseñas seguras por ti. Solo tienes que recordar una contraseña maestra. Las demás las genera sola — y no son 'Empresa2024!'.

Ver definición

Antivirus

Un programa que detecta y elimina software malicioso de tu dispositivo. El guardaespaldas digital más básico que existe — y el que más gente cree que es suficiente por sí solo. Spoiler: no lo es.

Ver definición

Ataque de fuerza bruta

Probar contraseñas una detrás de otra hasta dar con la correcta. Hay programas que lo hacen solos a miles de intentos por segundo. Si tu contraseña es el nombre de tu empresa seguido de un 1, esto te lo explicamos en persona.

Ver definición

B

Backup

Una copia de seguridad de tus datos. Como el seguro del coche — todo el mundo lo tiene, nadie quiere usarlo nunca, y cuando lo necesitas descubres que el tuyo no cubría lo que creías.

Ver definición

Brecha de seguridad

Una puerta que alguien dejó abierta. Puede ser técnica — un software sin actualizar, un puerto expuesto — o humana — una contraseña de 1234 que sigue funcionando desde 2019. Las dos son igual de peligrosas.

Ver definición

C

Certificado SSL/TLS

El candado que ves en el navegador cuando una web empieza por https://. Garantiza que la comunicación entre el usuario y el servidor va cifrada. Sin él, los datos de tus clientes viajan como una postal — cualquiera los puede leer.

Ver definición

Ciberseguro

Un seguro específico que cubre los costes derivados de un incidente de seguridad — respuesta al incidente, notificaciones legales, recuperación de sistemas, responsabilidad civil. El seguro que esperas no necesitar nunca.

Ver definición

Cifrado

Convertir información legible en un galimatías incomprensible que solo puede descifrar quien tiene la clave correcta. Sin cifrado, los datos viajan desnudos. Con cifrado, aunque los intercepten, no pueden hacer nada con ellos.

Ver definición

Cloud security

La seguridad aplicada a los entornos en la nube. Porque que los datos estén en la nube no significa que estén automáticamente protegidos. La nube no es magia — es el servidor de otro. Y ese servidor también puede estar mal configurado.

Ver definición

Concienciación en seguridad

La formación del equipo para que reconozca amenazas y actúe correctamente. Porque la tecnología protege los sistemas pero las personas son las que hacen clic en los enlaces. Y vaya si hacen clic.

Ver definición

Continuidad de negocio

La capacidad de seguir operando — aunque sea de forma reducida — cuando algo falla. Un plan que define qué procesos son críticos, cómo mantenerlos en pie y cómo recuperar la normalidad. Lo que separa el 'susto' del 'catástrofe'.

Ver definición

Contraseña segura

No es el nombre de tu perro. No es tu fecha de nacimiento. No es '123456'. Una contraseña segura tiene más de doce caracteres, no está en ningún diccionario y no la estás usando en otros sitios.

Ver definición

Cortafuegos (firewall)

Una barrera que filtra el tráfico de red según unas reglas. El portero de discoteca de tu red, pero sin la chaqueta negra.

Ver definición

Credenciales filtradas

El conjunto de usuario y contraseña que te identifica en un sistema. Las credenciales robadas son la moneda de cambio más habitual en la dark web. La tuya puede estar en uno de esos paquetes ahora mismo.

Ver definición

Criptojacking

Alguien usa los recursos de tu ordenador para minar criptomonedas sin que tú lo sepas ni te lleves un euro. Tu máquina trabaja para ellos. Tú pagas la luz. Es el AirBnB de los ciberdelincuentes, pero con tu electricidad.

Ver definición

CVE

Common Vulnerabilities and Exposures. Una lista pública de vulnerabilidades conocidas. Lo consultan los investigadores. Y también los atacantes.

Ver definición

D

Dark web

La parte de internet a la que no llegas con Google. Un mercado donde se compran y venden datos robados, contraseñas filtradas y accesos a empresas. El tuyo puede estar ahí y no saberlo.

Ver definición

Denegación de servicio (DDoS)

Un ataque que colapsa tu web o servidor inundándolo de peticiones falsas hasta que deja de responder. Como si mil personas intentaran entrar por la misma puerta al mismo tiempo — nadie entra, nadie sale, y tú pierdes dinero mientras tanto.

Ver definición

DMARC / DKIM / SPF

Tres protocolos que trabajan juntos para verificar que los correos que salen de tu dominio son legítimos. Si no los tienes configurados, cualquiera puede mandar un email haciéndose pasar por ti. Gratis. Sin esfuerzo. Ahora mismo.

Ver definición

DNS hijacking

Manipular el sistema de nombres de dominio para redirigir a los usuarios de tu web a una página falsa sin que se den cuenta. Tu cliente cree que está en tu web. No lo está.

Ver definición

E

Endpoint

Cualquier dispositivo que se conecta a tu red — ordenadores, móviles, tablets, impresoras, cámaras. Cada uno es un punto de entrada potencial. El portátil viejo que nadie usa pero que sigue conectado al wifi también cuenta.

Ver definición

ENS

Esquema Nacional de Seguridad. El marco de referencia de ciberseguridad para administraciones públicas y empresas que trabajan con ellas en España. Si quieres optar a contratos públicos, necesitas cumplirlo. No es opcional.

Ver definición

Exfiltración de datos

La transferencia no autorizada de datos desde tu organización hacia fuera. Puede ser el resultado de un ataque o de un insider. A veces pasan meses antes de que se detecte.

Ver definición

F

Filtración de datos

Cuando información confidencial sale de donde debería estar y acaba donde no debería. Puede ser por un ataque, por un error humano o por una mala configuración. Las tres opciones son malas.

Ver definición

G

Gestión de activos

El inventario actualizado de todos los activos tecnológicos de tu empresa. Saber qué tienes para poder protegerlo. Porque no puedes proteger lo que no sabes que tienes.

Ver definición

H

Hacking ético

Intentar atacar un sistema con permiso de su dueño para encontrar fallos antes de que lo haga alguien con malas intenciones. El mismo proceso, la misma metodología — la diferencia es el contrato firmado antes de empezar.

Ver definición

I

Incidente de seguridad

Cualquier evento que comprometa o amenace la confidencialidad, integridad o disponibilidad de tus sistemas o datos. Los dos son incidentes. Los dos tienen consecuencias.

Ver definición

Ingeniería social

El arte de engañar a personas, no a máquinas. El atacante no hackea tu servidor. Te hackea a ti. Te llama haciéndose pasar por soporte técnico. Te convence de que el problema es urgente y que la solución es dárselo todo.

Ver definición

Insider threat

Una amenaza que viene de dentro de la organización — un empleado, un ex empleado, un proveedor con acceso. Puede ser maliciosa o accidental. Las dos hacen el mismo daño.

Ver definición

IoT — Internet of things

Todos los dispositivos conectados a internet que no son ordenadores ni móviles — cámaras de seguridad, impresoras, termostatos inteligentes. Cada uno es un endpoint. Y muchos tienen la seguridad de un post-it.

Ver definición

ISO 27001

El estándar internacional de gestión de seguridad de la información. Una certificación que demuestra que tu empresa tiene procesos de seguridad definidos, documentados y auditados. El carnet de conducir de la ciberseguridad.

Ver definición

L

Log — Registro de actividad

Un registro cronológico de lo que ha pasado en un sistema — quién entró, qué hizo, cuándo, desde dónde. Los logs son la caja negra de tu infraestructura digital. Y en muchas empresas están desactivados o nadie los mira.

Ver definición

M

Malware

El término genérico para todo el software que no debería estar en tu sistema y que está ahí para hacerte daño. Una familia muy numerosa y muy poco recomendable.

Ver definición

MFA — Doble factor de autenticación

Además de la contraseña, el sistema te pide una segunda confirmación. Dos cerrojos en lugar de uno. Si roban la llave del primero, todavía queda el segundo.

Ver definición

N

NIS2

La directiva europea de seguridad de redes y sistemas de información, actualizada en 2022. Amplía el número de sectores y empresas obligadas a cumplir requisitos mínimos de ciberseguridad. Si te aplica, no es opcional.

Ver definición

O

Offboarding seguro

El proceso de revocar todos los accesos de un empleado cuando deja la empresa. Correo, aplicaciones, VPN, repositorios, redes sociales corporativas. Todo. Porque si no lo haces tú, nadie lo hace.

Ver definición

P

Parche de seguridad

Una actualización que corrige un fallo concreto en un software. El fabricante encuentra el agujero y lanza el parche para cerrarlo. El problema es que alguien tiene que aplicarlo. Y ese alguien muchas veces tiene cosas más urgentes.

Ver definición

Penetration test (pentest)

Una simulación de ataque controlada para evaluar la resistencia real de tus sistemas. Como contratar a un ladrón para que intente entrar en tu casa y te diga cómo lo haría.

Ver definición

Phishing

Un correo que parece de tu banco, de Hacienda o de tu proveedor de toda la vida. Haces clic. Y ya está. Ya entraron. Sin películas de hackers. Con un correo.

Ver definición

Política de seguridad

El conjunto de normas y procedimientos que definen cómo se gestiona la seguridad en una organización. El documento que todos deberían leer y casi nadie lee.

Ver definición

Principio de mínimo privilegio

Cada persona y cada sistema solo tiene acceso a lo que necesita para hacer su trabajo. Ni más. Parece de sentido común. Y sin embargo.

Ver definición

R

Ransomware

Alguien entra en tu sistema, te cifra todos los archivos y te pide dinero para devolvértelos. Y con el agravante de que el 57% de los que pagan no recuperan nada.

Ver definición

Reconocimiento (recon)

La fase previa a cualquier ataque. El atacante recopila información sobre su objetivo. Lo que hacemos nosotros antes de que lo haga alguien con peores intenciones.

Ver definición

RGPD para empresas

El Reglamento General de Protección de Datos. La ley europea que regula cómo puedes guardar, usar y proteger los datos de tus clientes. Las multas, sin embargo, sí van en serio.

Ver definición

S

Segmentación de red

Dividir tu red en zonas separadas con distintos niveles de acceso. Compartimentos estancos. Lo que hace que un incidente no lo infecte todo.

Ver definición

SIEM

Security Information and Event Management. Una plataforma que centraliza logs de múltiples fuentes para detectar patrones de ataque. Un log de acceso fallido no dice nada. Mil logs desde la misma IP en cinco minutos dicen mucho.

Ver definición

Simulacro de phishing

Un ejercicio controlado en el que se envían correos de phishing falsos a los empleados para medir cuántos hacen clic. La versión empresarial del experimento de Milgram. Pero sin descargas eléctricas.

Ver definición

Smishing

Phishing por SMS. El mismo engaño de siempre pero por mensaje de texto. Con enlace acortado incluido para que no puedas ver a dónde lleva antes de hacer clic.

Ver definición

Superficie de ataque

Todo lo que tienes expuesto a internet. Tu web, tu correo, tus aplicaciones, tus subdominios olvidados, ese servidor de pruebas que montasteis en 2021 y nadie dio de baja. Cuanto más grande, más puertas posibles.

Ver definición

T

Troyano

Un programa malicioso que se disfraza de software legítimo para que lo instales tú mismo. La metáfora de hace 3.000 años sigue siendo perfecta.

Ver definición

V

Vishing

Phishing por teléfono. Con voz humana real, tono de urgencia y todo. Una llamada de alguien que se hace pasar por soporte técnico o por el banco para que hagas algo que no deberías.

Ver definición

VPN

Red Privada Virtual. Crea un túnel cifrado entre tu dispositivo y la red corporativa. Permite trabajar de forma remota de manera protegida. Siempre que alguien la haya configurado bien.

Ver definición

Vulnerabilidad

Un fallo en un sistema, programa o configuración que alguien puede aprovechar para entrar donde no debería. A veces las pone el fabricante sin querer. A veces las pones tú sin saberlo. Siempre las buscan los atacantes.

Ver definición

W

Worm (gusano informático)

Un tipo de malware que se replica y se propaga solo por la red sin necesidad de que nadie lo active. El famoso WannaCry de 2017 cifró cientos de miles de sistemas en todo el mundo en horas. Sin que nadie tuviera que hacer clic en nada.

Ver definición

X

XSS — Cross-site scripting

Un ataque que inyecta código malicioso en una web para que se ejecute en el navegador de otros usuarios. Si tu web muestra contenido generado por usuarios y no está bien sanitizado, es potencialmente vulnerable.

Ver definición

Z

Zero trust

Un modelo de seguridad que parte de una premisa simple: no confíes en nadie por defecto, ni siquiera en lo que ya está dentro de tu red. Cada acceso se verifica, siempre. Es más prudente. Y por eso es más seguro.

Ver definición

Zero-day

Una vulnerabilidad que acaba de descubrirse y para la que todavía no existe parche. Es como descubrir que tu cerradura tiene un fallo y que el fabricante se ha ido de vacaciones.

Ver definición

Ya conoces las palabras. ¿Quieres saber cómo estás tú?

Entender los términos es el primer paso. El segundo es saber exactamente cómo está tu empresa. Empieza con un diagnóstico inicial gratuito.

Solicitar mi diagnóstico