Glosario de Ciberseguridad Ofensiva

Definiciones claras y autocontenidas de términos de pentesting, Red Team, bug bounty y cumplimiento normativo (NIS2, DORA, CRA).

  • APT (Advanced Persistent Threat) — Una APT es un actor de amenaza (a menudo respaldado por un estado o con recursos elevados) que mantiene acceso encubierto y prolongado a los sistemas de una víctima durante meses o años, priorizando el sigilo sobre la velocidad.
  • Ataque a la cadena de suministro — Un ataque a la cadena de suministro compromete un proveedor, librería de software o dependencia de terceros para alcanzar, a través de él, a organizaciones que confían en ese componente — sin atacarlas directamente.
  • BEC (Business Email Compromise) — El fraude BEC, también llamado "fraude del CEO", ocurre cuando un atacante compromete o suplanta una cuenta de correo corporativa (a menudo de un directivo) para engañar a un empleado y conseguir una transferencia bancaria u otra acción fraudulenta.
  • Black Box / White Box / Grey Box — Son los tres niveles de información con los que se ejecuta un pentesting: black box (sin ningún acceso ni documentación previa, como un atacante externo real), white box (con acceso completo al código y la configuración) y grey box (un punto intermedio, con credenciales de usuario pero sin código fuente).
  • Blue Team — El Blue Team es el equipo defensivo de una organización: responsable de detectar, contener y responder a intrusiones, gestionar el SIEM/EDR y mantener las defensas operativas frente a ataques reales o simulados.
  • BOLA (Broken Object Level Authorization) — BOLA es el fallo de control de acceso donde una API devuelve datos de un objeto (por ejemplo, el pedido de otro usuario) sin comprobar si quien lo solicita tiene permiso real sobre ese objeto concreto — es la vulnerabilidad #1 del OWASP API Security Top 10.
  • Brecha de datos (Data Breach) — Una brecha de datos es cualquier incidente de seguridad que resulta en el acceso, divulgación, alteración o pérdida no autorizada de datos, especialmente relevante cuando afecta a datos personales sujetos a RGPD.
  • Bug Bounty — Un programa de bug bounty recompensa económicamente a investigadores de seguridad externos por encontrar y reportar vulnerabilidades en los sistemas de una empresa, con pagos proporcionales a la severidad del hallazgo.
  • C2 (Command and Control) — La infraestructura de C2 es el canal que un atacante usa para comunicarse con los sistemas comprometidos tras una intrusión: enviar comandos, exfiltrar datos y mantener persistencia, normalmente diseñado para evadir la detección del equipo defensivo.
  • CRA (Cyber Resilience Act) — El Cyber Resilience Act (Reglamento UE 2024/2847) exige a fabricantes de productos con elementos digitales integrar requisitos de ciberseguridad desde el diseño y notificar vulnerabilidades activamente explotadas a ENISA en un plazo de 24 horas.
  • CVE — Un CVE (Common Vulnerabilities and Exposures) es un identificador único y público asignado a una vulnerabilidad conocida, que permite a fabricantes, investigadores y herramientas de seguridad referirse al mismo fallo de forma inequívoca.
  • CVSS — CVSS (Common Vulnerability Scoring System) es el estándar de la industria para puntuar la severidad de una vulnerabilidad de 0 a 10, en función de factores como la complejidad del ataque, los privilegios necesarios y el impacto en confidencialidad, integridad y disponibilidad.
  • DLP (Data Loss Prevention) — Las políticas de DLP detectan y bloquean la salida no autorizada de datos sensibles de una organización — por correo, almacenamiento en la nube o integraciones de terceros — antes de que se produzca una fuga.
  • DORA — DORA (Reglamento UE 2022/2554) exige a las entidades financieras europeas gestionar el riesgo TIC, notificar incidentes y, para las entidades designadas como críticas, ejecutar pruebas TLPT de resiliencia operativa cada 3 años.
  • EDR (Endpoint Detection and Response) — Un EDR es una herramienta que monitoriza el comportamiento de los equipos (endpoints) en tiempo real para detectar actividad maliciosa que un antivirus tradicional, basado solo en firmas conocidas, no identificaría.
  • ENS (Esquema Nacional de Seguridad) — El ENS es el marco normativo español (Real Decreto 311/2022) que regula la seguridad de los sistemas de información de las administraciones públicas y sus proveedores, con tres niveles de exigencia: básico, medio y alto.
  • EPSS — EPSS (Exploit Prediction Scoring System) estima, con un porcentaje de 0 a 100%, la probabilidad de que una vulnerabilidad concreta sea explotada activamente en los próximos 30 días — complementa a CVSS, que mide severidad pero no probabilidad real de explotación.
  • Escalada de privilegios — La escalada de privilegios es la técnica por la que un atacante, partiendo de un acceso limitado, obtiene permisos superiores (de usuario estándar a administrador, por ejemplo) explotando una configuración incorrecta o una vulnerabilidad del sistema.
  • Hardening — El hardening es el conjunto de medidas de configuración que reducen la superficie de ataque de un sistema —deshabilitar servicios innecesarios, aplicar permisos mínimos, actualizar componentes— antes de que un atacante la explote.
  • IDOR (Insecure Direct Object Reference) — Un IDOR ocurre cuando una aplicación expone una referencia directa a un objeto interno (un ID de fichero, un número de pedido) sin verificar que el usuario tenga autorización para acceder a ese objeto concreto, permitiendo acceder a datos de otros usuarios cambiando el identificador en la petición.
  • ISO 27001 — ISO 27001 es el estándar internacional de referencia para implantar un Sistema de Gestión de Seguridad de la Información (SGSI), certificable mediante auditoría externa.
  • Kill Chain — La Kill Chain es un modelo que describe las fases secuenciales de un ciberataque —reconocimiento, armamento, entrega, explotación, instalación, C2 y acciones sobre el objetivo— usado para entender y romper el ataque en la fase más temprana posible.
  • MFA / 2FA — La autenticación multifactor (MFA) o de dos factores (2FA) exige, además de la contraseña, un segundo elemento de verificación (una app, una llave de seguridad, un código temporal) para iniciar sesión, reduciendo drásticamente el impacto de una contraseña robada o filtrada.
  • MITRE ATT&CK — MITRE ATT&CK es una base de conocimiento pública que cataloga las tácticas, técnicas y procedimientos (TTPs) reales usados por atacantes, ampliamente usada como referencia común para diseñar ejercicios de Red Team y reglas de detección.
  • Movimiento lateral — El movimiento lateral es la fase de un ataque en la que, tras comprometer un primer sistema, el atacante se desplaza hacia otros sistemas de la red interna en busca de privilegios más altos o del objetivo final del ataque.
  • NIS2 — NIS2 (Directiva UE 2022/2555) es la normativa europea que obliga a entidades esenciales e importantes de 18 sectores a implementar medidas de gestión de riesgos, notificar incidentes y garantizar la continuidad de sus servicios, con sanciones de hasta 10M€ o el 2% de la facturación global.
  • OSINT (Open Source Intelligence) — OSINT es la disciplina de recopilar información de fuentes públicas y abiertas (redes sociales, registros públicos, filtraciones previas, metadatos) para construir un perfil de la superficie expuesta de una organización antes de un ataque o un ejercicio autorizado.
  • OWASP Top 10 — El OWASP Top 10 es la lista de referencia mundial de los riesgos de seguridad más críticos en aplicaciones web, actualizada periódicamente por la Open Worldwide Application Security Project, y usada como base metodológica en la mayoría de pentestings web.
  • Pentesting — Un pentesting (penetration testing, prueba de penetración) es un ataque informático simulado y autorizado contra los sistemas de una organización, ejecutado por un experto que intenta explotar activamente las vulnerabilidades encontradas para demostrar su impacto real, no solo detectarlas.
  • Phishing — El phishing es un ataque de ingeniería social que suplanta la identidad de una entidad legítima (un banco, un proveedor, un compañero) por correo electrónico para engañar a la víctima y que revele credenciales, datos o ejecute una acción fraudulenta.
  • PoC (Proof of Concept) — Un PoC es la evidencia técnica —un script, una captura, una petición reproducible— que demuestra que una vulnerabilidad reportada es explotable de verdad, distinguiendo un hallazgo real de un falso positivo.
  • Purple Team — El Purple Teaming es una forma de trabajar colaborativa donde el equipo rojo y el equipo azul ejecutan y observan técnicas de ataque en tiempo real, ajustando las reglas de detección al momento, en vez de operar de forma encubierta y separada.
  • Ransomware — El ransomware es un tipo de malware que cifra los archivos de una organización y exige un pago (rescate) para restaurar el acceso, a menudo combinado con la amenaza de publicar los datos robados si no se paga (doble extorsión).
  • Red Team — Un Red Team es un ejercicio de simulación de adversario real y encubierto: el equipo ofensivo persigue un objetivo de negocio concreto combinando vectores técnicos, sociales y físicos, sin que el equipo defensivo sepa que está ocurriendo, para medir su capacidad real de detección y respuesta.
  • RGPD / GDPR — El Reglamento General de Protección de Datos regula el tratamiento de datos personales en la UE, exigiendo bases legales claras, medidas de seguridad proporcionadas al riesgo y notificación de brechas de datos en un plazo de 72 horas.
  • Shadow IT — Shadow IT es cualquier sistema, aplicación o automatización usada dentro de una organización sin conocimiento ni aprobación del equipo de IT/seguridad — un riesgo creciente con herramientas low-code como Power Automate o extensiones de navegador.
  • SIEM — Un SIEM (Security Information and Event Management) centraliza y correlaciona los registros de eventos de seguridad de toda la infraestructura para detectar patrones de ataque que serían invisibles mirando cada sistema por separado.
  • SOC (Security Operations Center) — Un SOC es el equipo (propio o externalizado) responsable de monitorizar, detectar y responder a incidentes de seguridad de forma continua, normalmente apoyado en un SIEM y en playbooks de respuesta a incidentes.
  • Spear phishing — El spear phishing es un phishing dirigido y personalizado contra una persona u organización concreta, usando información real sobre la víctima (su rol, sus contactos, proyectos actuales) para aumentar drásticamente la probabilidad de éxito frente a un phishing masivo genérico.
  • SQL Injection (SQLi) — Una inyección SQL ocurre cuando una aplicación incorpora input del usuario directamente en una consulta a base de datos sin sanitizarlo, permitiendo a un atacante leer, modificar o eliminar datos, o en casos graves, tomar control del servidor de base de datos.
  • Superficie de ataque (Attack Surface) — La superficie de ataque es el conjunto total de puntos —sistemas, APIs, cuentas, integraciones— por los que un atacante podría intentar entrar o exfiltrar datos de una organización; cuanto mayor y menos inventariada, más difícil de defender.
  • Threat Intelligence (CTI) — La inteligencia de amenazas (Cyber Threat Intelligence) es el análisis de datos sobre actores, campañas y técnicas de ataque reales para anticipar riesgos específicos de un sector u organización, en vez de defenderse de forma genérica.
  • TLPT (Threat-Led Penetration Testing) — El TLPT es un ejercicio de Red Team basado en inteligencia de amenazas reales, ejecutado bajo el marco TIBER-EU, que el Reglamento DORA exige cada 3 años a las entidades financieras designadas como críticas en la UE.
  • Triage de vulnerabilidades — El triage es el proceso de validar, priorizar y descartar los reportes de vulnerabilidades recibidos (por bug bounty, VDP o canales internos) antes de que lleguen al equipo de desarrollo, separando los hallazgos reales y críticos del ruido y los falsos positivos.
  • TTPs (Tactics, Techniques and Procedures) — Las TTPs describen el comportamiento de un actor de amenaza a tres niveles: la táctica (el objetivo, p. ej. movimiento lateral), la técnica (el método usado) y el procedimiento (la implementación específica de esa técnica por ese actor concreto).
  • VDP (Vulnerability Disclosure Program) — Un VDP es un canal formal de divulgación responsable de vulnerabilidades: define cómo y dónde pueden los investigadores reportar fallos de seguridad y qué esperar a cambio, sin ofrecer recompensas económicas como el bug bounty.
  • Vishing y Smishing — Vishing es phishing por llamada de voz (voice phishing) y smishing es phishing por SMS — ambos buscan el mismo objetivo que el phishing por correo (obtener credenciales o datos) pero a través de canales que generan menos sospecha en parte de los usuarios.
  • WAF (Web Application Firewall) — Un WAF filtra y monitoriza el tráfico HTTP hacia una aplicación web para bloquear patrones de ataque conocidos (SQLi, XSS), aunque no sustituye a un pentesting: no detecta fallos de lógica de negocio ni vulnerabilidades específicas de la aplicación.
  • XSS (Cross-Site Scripting) — XSS es una vulnerabilidad que permite a un atacante inyectar código JavaScript malicioso en una página web vista por otros usuarios, pudiendo robar sesiones, credenciales o ejecutar acciones en su nombre.
  • Zero-day — Una vulnerabilidad zero-day es un fallo de seguridad desconocido para el fabricante del software en el momento en que se descubre o explota, por lo que no existe todavía un parche disponible.