Glosario de Términos

Acceptable  Use Policy (AUP)

Una directiva que define los términos que un usuario debe aceptar para usar la red/Internet de la organización y las acciones que se le permite realizar mientras la usa.

Access Control

Un sistema o técnica para permitir o denegar el acceso. Una cerradura de puerta es un tipo de control de acceso físico. Las contraseñas y otros tipos de identificación y autorización también son controles de acceso.

Advanced Persistent Threat (APT)

A prolonged, stealthy network attack that is generally difficult to detect by network security controls, thus allowing it to linger for a long period of time and steal data until it is discovered.

Adware

Software que muestra o descarga automáticamente anuncios no deseados para recopilar datos de marketing sin el conocimiento del usuario o redirige las solicitudes de búsqueda a ciertos sitios web publicitarios. El adware que no notifica al usuario y obtiene su consentimiento se considera malicioso.

Airplane Mode

Una configuración en dispositivos móviles que impide que el dispositivo envíe o reciba llamadas y mensajes de texto. El modo avión también se conoce como "modo fuera de línea", "modo independiente" y "modo de vuelo".

Allowlisting Software

Una tecnología creada para mantener los sistemas informáticos a salvo de software no deseado, incluido el malware. Funciona junto con la lista de bloqueo de aplicaciones para evitar que el malware y otro software no autorizado se ejecuten en un sistema. También conocido como "lista segura" o "lista de aceptación".

Antivirus Software

Un programa que supervisa un equipo o red para prevenir, detectar, contener y eliminar todos los tipos principales de incidentes de malware.

Attachment

Un archivo de computadora enviado junto con un mensaje de correo electrónico, ampliamente utilizado para transferir fotos y documentos a otra persona. También conocido como "archivo adjunto de correo electrónico".

Attack Vector

Cualquier forma en que un ciberdelincuente pueda obtener acceso a una red, como software obsoleto, código mal escrito que permita desbordamientos de búfer o ingeniería social utilizando archivos adjuntos maliciosos.

Authentication

Un proceso que proporciona pruebas de que la persona que está intentando iniciar sesión es, de hecho, la persona correcta y autorizada para acceder a la red. Una combinación de nombre de usuario y contraseña es una forma simple de autenticación.

Backdoor

Un método para eludir la autenticación estándar, dando a un atacante acceso no autorizado a un equipo para que pueda controlarlo de forma remota mientras intenta permanecer sin ser detectado. La puerta trasera puede tomar la forma de un programa instalado (por ejemplo, Back Orifice), o el malware podría modificar el software existente en la computadora creando una puerta trasera de esa manera.

Bad Actor

Se refiere a alguien que intenta infiltrarse en sistemas y bancos de datos con intenciones maliciosas. Los hackers criminales, los ciberdelincuentes, los ingenieros sociales y los estafadores de Internet entran en esta categoría.

Best Practice

Un método o técnica que consistentemente muestra resultados superiores a los logrados con otros medios.

Bitcoin

Una moneda digital (también llamada "criptomoneda") que no está patrocinada por el banco central o el gobierno de ningún país, pero que puede intercambiarse por bienes o servicios con proveedores y otras personas que los aceptan como pago.

Blocklisting

Una tecnología que impide que los elementos que aparecen específicamente en una lista de bloqueo relacionada se ejecuten o entreguen. Por ejemplo, un programa de control de aplicaciones puede impedir que se ejecute un programa bloqueado o una lista de bloqueo de spam puede impedir que se entregue correo electrónico de un dominio bloqueado.

Bluetooth

Una tecnología de radio de corto alcance (o tecnología inalámbrica) que simplifica las comunicaciones entre dispositivos y una computadora u otro dispositivo.

Botnet

Una botnet (abreviatura de red de robots) es una serie de dispositivos conectados a Internet, cada uno de los cuales ejecuta uno o más bots de forma autónoma. También llamadas "ejército de bots", las botnets se pueden usar para derribar una red, enviar spam o acceder a un dispositivo y sus conexiones para robar datos confidenciales, que luego se envían de vuelta a los servidores de comando y control (C&C) de botnets. Son administrados por un "Bot Herder" o "Bot Master", que apunta a otros sistemas con las botnets que controlan.

Bring Your Own Device (BYOD)

La política de permitir que los empleados usen sus dispositivos personales, como computadoras portátiles, tabletas y teléfonos inteligentes, para trabajar.

Business Email Compromise (BEC)

Un ataque de spear phishing que utiliza una dirección de correo electrónico comprometida o imitada de un ejecutivo para solicitar una transferencia bancaria de fondos u otra información confidencial. Un tipo común de BEC es el fraude del CEO.

Call-to-Action

Palabras que instan al espectador o al oyente de un mensaje de promoción de ventas a realizar una acción inmediata, como "Escribir ahora", "Llamar ahora" o (en Internet) "Haga clic aquí".

CEO Fraud

Un ataque de spear phishing que se dirige a personas en el departamento de contabilidad, en el que el hacker afirma ser el CEO (u otro ejecutivo) e insta a un empleado a transferir grandes cantidades de dinero.

Certificate

Una "contraseña" electrónica que permite a una persona u organización intercambiar datos de forma segura a través de Internet utilizando la infraestructura de clave pública.

Chief Executive Officer (CEO)

La persona de más alto rango en una organización u otra institución que es responsable en última instancia de tomar decisiones gerenciales.

Chief Financial Officer (CFO)/Chief Financial and Operating Officer (CFOO)

Un oficial corporativo principalmente responsable de administrar los riesgos financieros de la organización, la planificación financiera y el mantenimiento de registros, y los informes financieros a la alta gerencia.

CIA Triad

Un modelo de seguridad de la información diseñado para guiar las políticas de seguridad de la información dentro de una organización; confidencialidad, disponibilidad e integridad a partes iguales. La "confidencialidad" es un conjunto de reglas que limitan el acceso a la información. "Integridad" es la garantía de que la información es relevante, precisa y confiable. La "disponibilidad" es una garantía de fácil acceso a la información solo por personas autorizadas.

Classified Information

Información sensible cuyo acceso está restringido por ley o regulación a grupos particulares de personas.

Clickbait

Un enlace llamativo o una historia controvertida en un sitio web que alienta a las personas a seguir leyendo. También se puede utilizar para que los usuarios hagan clic en enlaces a malware.

Clickjacking

El clickjacking es cuando un atacante utiliza varias capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando tenía la intención de hacer clic en la página de nivel superior. Por lo tanto, el atacante está "secuestrando" clics destinados a su página y enrutándolos a otra página, probablemente propiedad de otra aplicación, dominio o ambos.

Client (Computing)

Cualquier dispositivo en una red que pueda obtener información de un servidor. Por ejemplo, un navegador web que accede a Internet.

Cloud

Los recursos informáticos donde un individuo u organización puede almacenar y acceder a archivos y ejecutar programas informáticos de forma remota a través de Internet.

Compliance

El objetivo que las organizaciones pretenden lograr al adherirse a las leyes, políticas y regulaciones relevantes específicas de su industria. En el contexto de la seguridad de Internet, el cumplimiento significa tener un entorno de tecnología de la información (TI) que cumpla con las regulaciones de la industria en la que opera una organización. Un ejemplo de estándares de cumplimiento sería el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

Controlled Unclassified Information (CUI)

Información que el gobierno federal de los Estados Unidos posee o ha creado que debe protegerse y difundirse utilizando solo controles consistentes con las leyes, regulaciones y políticas gubernamentales.

Credential Hygiene

La higiene de credenciales es la anticipación, reconocimiento, evaluación, control y prevención de peligros que pueden ocurrir si las credenciales se ven comprometidas.

Credentials

La información de autenticación de un usuario, como el nombre de usuario y la contraseña.

Crimeware

Malware destinado a robar dinero de un individuo o institución financiera.

Crimeware-as-a-Service (CaaS)

El proceso de pagar por un servicio de crimeware (como ransomware o campañas de phishing) en lugar de desarrollar el propio.

Cryptographic

De, relacionado con, o usando criptografía, que es el proceso de convertir información ordinaria (llamada texto plano) en texto ininteligible (llamado texto cifrado). Un cifrado (o cifrado) es un par de algoritmos utilizados para crear el texto cifrado cifrado y el descifrado inverso.

Cybercrime

Delitos dirigidos directamente a redes o dispositivos informáticos y a sus usuarios. Los ejemplos incluyen malware, ataques de denegación de servicio a través de botnets y spear phishing.

Cybercriminal

Un atacante que utiliza la tecnología para robar datos, dinero u otra información confidencial.

Cyberheist

Un incidente en el que el crimen organizado penetra en la red de una organización y vacía sus cuentas bancarias a través de internet.

Cyberterrorist

Un atacante motivado por alguna ideología que intenta destruir computadoras, redes, infraestructura física como plantas de agua y plantas de energía, e infraestructuras comerciales como los mercados de valores con el propósito de causar terror para promover su causa.

Dark Web

La parte de la World Wide Web que solo es accesible por medio de un software especial, lo que permite a los usuarios y operadores de sitios web permanecer anónimos o imposibles de rastrear.

Data Breach

La liberación intencional o no intencional de información segura a un entorno que no es de confianza. Otros términos utilizados incluyen "divulgación de información no intencional", "fuga de datos" y "derrame de datos".

Data Controller

La parte que decide la finalidad y la forma a seguir al tratar los datos.

Data Processor

Procesa datos en nombre de un controlador de datos. Los procesadores de datos retienen y procesan datos, pero no tienen ninguna responsabilidad o control sobre esos datos.

Data Protection Directive

Una directiva adoptada por la Unión Europea (UE) en 1995 que protegía la información personal de los residentes de la UE y fue reemplazada por el General Data Protection Regulation (GDPR) en mayo de 2018.

Data Protection Officer

Un experto en derecho de protección de datos, como un abogado o auditor, que actúa como el único punto de contacto para todas las notificaciones e informes de procesamiento de datos al más alto nivel de gestión.

Data Subject

Un individuo que es objeto de datos personales.

Decryption

El proceso de cambiar la información cifrada a su formato original.

Deepfake

Un archivo digital manipulado por los ciberdelincuentes para que parezca que alguien más está diciendo o haciendo algo. A menudo se utiliza como una táctica de desinformación.

Disinformation

Información falsa creada intencionalmente para engañar y engañar. La desinformación a menudo se envía a amigos y familiares, lo que luego se conoce comúnmente como información errónea.

Disk Image (DMG) File

El formato de archivo utilizado por el sistema operativo Mac OS X para distribuir software.

Distributed Denial-of-Service (DDoS)

Un intento de hacer que un servidor informático no esté disponible para sus usuarios previstos, abrumándolo con solicitudes de información. Esto puede hacer que el servidor se bloquee, impidiendo que funcione de manera eficiente o en absoluto. El uso de muchos sistemas para un ataque DDoS permite que se envíe tráfico más disruptivo, lo que a menudo facilita la interrupción del servicio legítimo por completo y dificulta que la víctima se recupere del ataque. También se denomina ataque de denegación de servicio (ataque DoS).

Domain

Un nombre utilizado para identificar una o más direcciones de Protocolo de Internet (IP) formado por las reglas y procedimientos del Sistema de nombres de dominio (DNS).

Domain Name

La parte de una dirección web que le dice quién es el propietario de esa página web; Por ejemplo, "SecurityMoments" es el propietario de www.securitymoments.com.

Domain Name Registration

El acto de reservar un nombre en Internet durante un cierto período, generalmente un año. Es importante saber que este dominio seguirá siendo suyo mientras lo renueve, y no hay forma de comprar un nombre de dominio para siempre.

Domain Name System (DNS)

El sistema de Internet para convertir direcciones web alfabéticas en direcciones IP numéricas. Cuando se escribe una dirección web en un navegador, los servidores DNS devuelven la dirección IP del servidor web asociado con ese nombre. Por ejemplo, el DNS convierte la URL "www.company.com" en la dirección IP 204.0.8.51. Sin DNS, tendría que escribir la serie de cuatro números y puntos en su navegador para abrir el sitio web.

Domains Triad

Una tríada de seguridad que cubre los tres dominios: cibernético, físico y personas, y cómo todos se superponen en la batalla contra el cibercrimen.

Drive-by Download

La descarga involuntaria de software malicioso a su computadora o dispositivo móvil, lo que lo deja expuesto a un ataque cibernético. Esto sucede sin que un usuario haga clic en un enlace, presione un botón de descarga o abra un archivo adjunto. Ocurre en segundo plano, sin notificación, simplemente visitando una página web en particular.

Email Account Compromise (EAC)

Un pariente cercano de Business Email Compromise (BEC). La principal diferencia es con EAC, los delincuentes se dirigen a individuos en lugar de empresas para iniciar transferencias electrónicas fraudulentas.

Email Domain

La dirección web que aparece después del símbolo @ en una dirección de correo electrónico.

Email Spoofing

Una forma de ingeniería social en la que un mensaje de correo electrónico se falsifica para que parezca que proviene de otra persona, como su CEO.

Embedded Hyperlink

Un vínculo que se muestra visualmente como texto en lugar de una URL real. Por ejemplo, las palabras “Security Moments” podría establecerse como un hipervínculo incrustado que conduce a www.securitymoments.com.

Enable Content/Enable Macros

Un botón en un documento / archivo en el que el usuario debe hacer clic para activar ciertas funciones diseñadas para automatizar tareas. Los ciberdelincuentes pueden usarlos con fines nefastos.

Encrypt

El proceso de hacer que los datos sean ilegibles para los espectadores no autorizados. Antes de que alguien pueda leer texto cifrado, primero debe descifrarse. Al cifrar los datos confidenciales, puede reducir las oportunidades para que los delincuentes roben información confidencial.

End-to-End Encryption

Un sistema de comunicación donde las únicas personas que pueden leer los mensajes son las personas que se comunican.

Endpoint (Endpoint Device)

Cualquier dispositivo que esté conectado a una red de datos. Las computadoras de escritorio, las computadoras portátiles, las impresoras, las tabletas y los teléfonos inteligentes son todos puntos finales.

Exploit

Un ataque a un sistema informático que aprovecha un error, falla o vulnerabilidad en otro código para causar un comportamiento imprevisto, con el objetivo de adquirir acceso al sistema.

External Media

Dispositivos de almacenamiento que almacenan información fuera de un equipo.

Fake Profile

La representación de una entidad en las redes sociales que realmente no existe. La persona crea un perfil con conexiones reales o falsas que parecen muy convincentes, todas diseñadas para engañarlo para que finalmente tome alguna acción que no sea lo mejor para usted.

Family Educational Rights and Privacy Act (FERPA)

Una ley federal de los Estados Unidos destinada a proteger ciertos registros educativos de los estudiantes, como la información familiar y los registros disciplinarios.

Federal Energy Regulatory Commission (FERC)

Una agencia federal de los Estados Unidos que regula la transmisión y venta al por mayor de electricidad, gas natural y petróleo.

Federal Financial Institutions Examination Council (FFIEC)

Un consejo de los Estados Unidos compuesto por cinco reguladores bancarios con el propósito de supervisar las instituciones financieras.

File Types

Diferentes tipos de archivos de computadora que tienen diferentes extensiones (las letras después del punto), por ejemplo, ".doc", ".txt" o ".pdf".

Format

Para preparar la partición (parte) elegida en la unidad (unidad flash, disco duro o unidad USB) borrando todos los datos y configurando un sistema de archivos en blanco.

General Data Protection Regulation (GDPR)

Una regulación que entró en vigencia en mayo de 2018 y reemplazó oficialmente a la Data Protection Directive. Es un marco legal que se aplica a todas las organizaciones en todo el mundo y establece pautas para la recopilación y el procesamiento de información personal de individuos dentro de la Unión Europea (UE).

Gramm–Leach–Bliley Act (GLBA)

Una regulación de los Estados Unidos que establece los estándares de cómo las instituciones financieras manejan la información privada de las personas. Se pronuncia "glibba". También conocido como el Financial Modernization Act of 1999.

Hack

Para utilizar un equipo para obtener acceso no autorizado a archivos e información en otro equipo o un sistema de equipos en red.

Hacker

Un experto en informática técnicamente capacitado que utiliza sus conocimientos técnicos para superar problemas. Un hacker criminal es cualquier persona que utiliza sus habilidades de piratería con fines ilegales.

Hash

Un hash es una cadena o número generado a partir de una cadena de texto. La cadena o número resultante es una longitud fija y variará ampliamente con pequeñas variaciones en la entrada. Los mejores algoritmos de hash están diseñados para que sea imposible convertir un hash en su cadena original.

Health Insurance Portability and Accountability Act (HIPAA)

Promulgada por el Congreso de los Estados Unidos y firmada por el presidente Bill Clinton en 1996, es una estandarización que regula la protección de la información privada de salud de las personas.

Hijacked

El proceso en el que un atacante toma el control de una conexión establecida mientras está en curso. El atacante intercepta las transmisiones y responde a ellas con información falsa.

Human Firewall

Una capa protectora de ciberseguridad que se forma cuando todos los usuarios reconocen su papel en mantener su organización segura y están capacitados hasta un punto en el que no caen en ningún truco de ingeniería social. La capacitación en concientización sobre seguridad proporciona un beneficio crucial al capacitar a los usuarios para prevenir actividades maliciosas y qué hacer en caso de dicha actividad.

Hyperlink

Texto u objetos en páginas web, documentos y correos electrónicos en los que puede hacer clic para mostrar otra página web, documento o lugar en un documento.

Hypertext Markup Language (HTML)

Un lenguaje de programación que le dice a su navegador cómo mostrar la página web y cómo debe comportarse cuando la ve. Ahora se utiliza para crear la mayoría de los sitios web, cada uno de los cuales contiene muchos archivos HTML (páginas web) que enlazan entre sí y también con otras páginas en Internet.

Hypertext Transfer Protocol (HTTP)

El protocolo de comunicación utilizado para conectarse a servidores web en una red; la forma acordada en que la información se formatea y se transmite a través de la World Wide Web. La tarea más importante de HTTP es definir cómo los navegadores web deben solicitar y mostrar datos de sitios web, asegurando que toda la comunicación y el intercambio de información puedan ocurrir en la Web.

Hypertext Transfer Protocol Secure (HTTPS)

Un conjunto de reglas para la recuperación y transmisión rápida de documentos electrónicos a través de una conexión segura. Al principio, HTTP se adoptó como la forma en que se intercambiaba información a través de la Web, pero una vez que todos sabían cómo intercambiar información, interceptar la información intercambiada se resolvía fácilmente. El problema de mantener esa información privada se resolvió usando HTTPS.

Identification Number

Un número utilizado por los gobiernos de muchos países como un medio para rastrear a sus ciudadanos, residentes permanentes y residentes temporales con fines de trabajo, impuestos, beneficios gubernamentales, atención médica y otras funciones relacionadas con el gobierno. Los ejemplos incluyen "número de identificación nacional", "número de identidad nacional" o "número de seguro nacional".

Identity Theft

Tomar el número de identificación, la fecha de nacimiento, la dirección y otra información personal importante de otra persona para establecer credenciales falsas y cometer fraude. Un ejemplo sería un ciberdelincuente que crea cuentas de tarjetas de crédito fraudulentas y luego acumula cargos que luego quedan sin pagar, dejando a la víctima con la deuda de la tarjeta de crédito y una calificación crediticia arruinada.

Incident Reporting

El proceso mediante el cual se notifican eventos de seguridad de cualquier tipo, a menudo parte de la directiva de una organización.

Incident Response

El método en el que una organización responde a un evento de seguridad, como una violación que involucra a un pirata informático que ha penetrado las defensas de red de la organización. Un plan de respuesta a incidentes detalla cómo manejar cada tipo de compromiso y establece un conjunto de protocolos, una política paso a paso, para mitigar daños adicionales y aumentar el éxito de una recuperación oportuna.

Information Security

La protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación, inspección, registro o destrucción no autorizados.

Information Technology (IT) Security Policy

Las reglas que un usuario debe seguir para mantenerse a sí mismo y a su organización a salvo de amenazas.

Information Workforce

El grupo total de trabajadores de la información; Personas que usan información para ayudar a tomar decisiones o tomar acciones, o personas que crean información que informa las decisiones o acciones de otros.

Insider Threat

Una amenaza para una organización que proviene de una persona (o personas) dentro de la propia organización. Podría ser un empleado actual o anterior, contratista o proveedor, o un socio comercial cercano que posee información confidencial de la organización que podría usarse maliciosamente para dañar a la organización.

Internet

Una red informática global de miles de millones de dispositivos interconectados.

Internet Protocol (IP) Address

Similar a la dirección de su casa, las direcciones IP identifican las computadoras de la red. Similar a la dirección de su hogar, pero para identificar las computadoras de la red, ayuda a que el tráfico fluya entre las computadoras porque cada una tiene su dirección única. Una dirección IP se formatea como una serie de cuatro valores separados por puntos: 172.16.254.1

Internet Security

La rama de seguridad informática (que también incluye dispositivos móviles) que se ocupa de las amenazas basadas en Internet.

iOS

Un sistema operativo utilizado para dispositivos móviles fabricados por Apple Inc. Tanto los iPads como los iPhones son dispositivos iOS.

Jailbreaking

Un hack de dispositivos que proporciona a los usuarios acceso sin restricciones a todo el sistema de archivos de sus dispositivos móviles. Si bien el jailbreak hace que su dispositivo sea más abierto y le da un control completo sobre él, puede ser más vulnerable a los ataques.

Java Exploit

Una aplicación maliciosa que permite a los piratas informáticos acceder de forma remota a su computadora, permitiéndoles cambiar archivos, robar información personal e instalar más software no deseado. Llamado “Trojan horse,” este tipo de amenaza debe ser enviada a usted por alguien o llevada a cabo por otro programa.

Keylogger

Un pequeño malware que registra lo que alguien escribe en su teclado y registra las pulsaciones de teclas en un archivo especial llamado registro de pulsaciones de teclas. También conocido como “keystroke logger.”

Link

Una conexión desde un sitio web, archivo o documento que apunta a otra ubicación y se activa al hacer clic en él.

Macros

Una lista de comandos o instrucciones generalmente basados en texto que se agrupan y se pueden ejecutar como un solo comando, lo que le permitiría crear accesos directos a tareas que realiza repetidamente en programas como Microsoft Word, Excel y PowerPoint. Los hackers explotan las macros convenciéndolo de que las habilite para acceder a su computadora y ejecutar malware.

Malware

Abreviatura de “malicious software.” Un término general utilizado para referirse a una amplia gama de virus, gusanos, troyanos y otros programas que un hacker puede usar para dañar, robar o tomar el control de puntos finales y servidores. La mayoría del malware se instala sin que la persona infectada se dé cuenta.

Many Lives Triad

Un concepto que cubre cómo existe la seguridad de la información en tres áreas de nuestras vidas (personal, profesional, móvil) y cómo esas vidas se superponen continuamente.

Material Risk

Riesgo material significa un riesgo adverso relacionado con el capital que afecta significativamente el perfil de riesgo general de una organización y puede afectar su suficiencia de capital.

Media Drop

Una técnica utilizada por los hackers en la que el malware se carga en una unidad USB, CD / DVD u otra forma legible de medios, que luego se deja donde se puede encontrar fácilmente o, en algunos casos, regalar en lugares públicos o ferias comerciales. Una vez que la víctima carga la unidad o disco, el malware hace su trabajo y permitirá que el hacker cometa ataques.

Misinformation

Información falsa o inexacta, especialmente aquella que tiene la intención deliberada de engañar. A menudo se reenvía a amigos y familiares, sin saber que es falso.

Network

Un conjunto de computadoras conectadas con el propósito de compartir recursos. El recurso más común compartido hoy en día es la conexión a Internet.

Network Drive

Almacenamiento de datos en una red que no está en el propio equipo. Las computadoras con Windows generalmente tienen la unidad C: como disco duro local, pero la unidad F: puede ser una unidad de red donde se almacenan los archivos.

Network Sniffer

Un dispositivo y / o herramienta de software que monitorea o olfatea los datos que fluyen a través de enlaces de red de computadoras en tiempo real.

North American Electric Reliability Corporation (NERC)

Una regulación cuya misión es garantizar la fiabilidad del sistema de energía a granel de América del Norte.

OAuth

Abreviatura de "Autenticación abierta". Un estándar de autenticación que le permite aprobar una aplicación que interactúa con otra en su nombre sin revelar su contraseña.

Open Web Application Security Project (OWASP)

Una organización benéfica mundial sin fines de lucro centrada en mejorar la seguridad del software.

Passcode

Una cadena de caracteres que se introducen para obtener acceso a cosas como un ordenador o un smartphone.

Password Manager

Software que genera y almacena todos los inicios de sesión y contraseñas utilizando una contraseña maestra, eliminando así la necesidad de que el usuario recuerde múltiples inicios de sesión y contraseñas. Se puede sincronizar en múltiples dispositivos, y la mayoría vienen con capacidades de autocompletar e inicio de sesión automático en sitios web.

Patch

Un conjunto de cambios en un programa informático diseñado para actualizarlo, corregirlo o mejorarlo (es decir, corregir vulnerabilidades de seguridad descubiertas después de que un producto fue lanzado para uso general). Una computadora es “patched” cuando haya tenido instalados los últimos parches.

Payment Card Industry Data Security Standard (PCI DSS)

Un estándar creado para aumentar los controles en torno a los datos de los titulares de tarjetas para reducir el fraude con tarjetas de crédito.

Personal data

Cualquier información relacionada con una persona identificable, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social.

Personal Health Information (PHI)

Toda la información registrada sobre un individuo que se relaciona con la salud de esa persona, el historial de atención médica, la prestación de atención médica al individuo o el pago de la atención médica.

Personally Identifiable Information (PII)

Cualquier información como el nombre de una persona, número de identificación, fecha y lugar de nacimiento, apellido de soltera de la madre y registros biométricos que se puedan usar por sí solos o con otra información para identificar, contactar o localizar a una sola persona.

Phishing

El proceso en el que los ciberdelincuentes intentan engañarlo para que proporcione información confidencial o realice una acción potencialmente peligrosa, como hacer clic en un enlace o descargar un archivo adjunto infectado. Lo hacen utilizando correos electrónicos disfrazados de contactos u organizaciones en las que confías para que reacciones sin pensar primero. Es una forma de ingeniería social criminalmente fraudulenta.

Policy

Un conjunto de reglas que especifican qué requisitos deben cumplirse.

Pop-up

Una ventana (generalmente pequeña) que aparece repentinamente en la pantalla de la computadora de un usuario.

Pretexting

Una forma de ingeniería social en la que un individuo crea un escenario inventado para persuadir a una víctima objetivo para que divulgue información o realice alguna acción. Los pretextos también se pueden usar para hacerse pasar por personas en ciertos trabajos y roles, como soporte técnico o aplicación de la ley, para obtener información.

Privilege

El derecho de una cuenta, como una cuenta de usuario o de grupo, a realizar diversas operaciones relacionadas con el sistema en el equipo local, como apagar el sistema, cargar controladores de dispositivo o cambiar la hora del sistema.

Privileged Access

Cuando a una cuenta, como una cuenta de usuario o de grupo, se le concede permiso para realizar varias operaciones relacionadas con el sistema, como apagar el sistema, cargar controladores de dispositivo o cambiar la hora del sistema.

Privileged User

Un usuario que, en virtud de su función y/o antigüedad, ha recibido poderes dentro del sistema informático, que son significativamente mayores que los disponibles para la mayoría de los usuarios.

Processing

En el contexto de las leyes y reglamentos de protección de datos, el procesamiento significa cualquier operación realizada sobre datos personales, ya sea por medios automatizados o no, incluida la recopilación, el uso, el registro, etc.

Proven Practice

Diferente de una mejor práctica en que una mejor práctica depende del contexto y podría no ser "la mejor" en todos los casos, mientras que una práctica probada se prueba y se ha demostrado que es efectiva en la mayoría de los casos.

Public Wireless Network

Una red inalámbrica en un área pública que cualquiera puede usar.

QR (Quick Response) Code

Un tipo de código de barras formado por pequeños cuadrados en blanco y negro dispuestos en un cuadrado más grande. Pueden almacenar largas cadenas de datos, como direcciones web, y pueden ser escaneados por la cámara en un dispositivo móvil.

Quarantine

Una función del software antivirus que aísla los archivos infectados en el disco duro de una computadora para que ya no sean capaces de infectar su sistema de alojamiento. Los archivos infectados pueden eliminarse o restaurarse en caso de que no fueran maliciosos.

Radio-Frequency Identification (RFID)

Una forma de almacenar información electrónica en una credencial, etiqueta, tarjeta o documento que un lector RFID puede leer.

Ransomware

Un tipo de malware que mantiene una computadora como rehén bloqueando el acceso, cifrando archivos o amenazando con revelar datos confidenciales hasta que se pague un rescate.

Red Flag

Una advertencia de peligro o un problema.

Remote Access Trojan (RAT)

Una pieza de malware que se esconde en una computadora y le da acceso remoto a un ciberdelincuente que luego controla (y realmente "posee") su computadora.

Root

El nombre del rol de administrador o superusuario en un sistema basado en Linux/Unix, incluido macOS.

Rootkit

Una colección de archivos que se instala en un sistema informático para alterar la funcionalidad estándar del sistema de una manera maliciosa y sigilosa.

SarbOx

Un reglamento de los Estados Unidos destinado a proteger a los inversores de la posibilidad de actividades contables fraudulentas por parte de las corporaciones. Abreviatura de la “Sarbanes-Oxley Act of 2002.”

Security Awareness Training

Formación que aumenta la conciencia del usuario sobre las posibles amenazas de seguridad y cómo evitarlas. Los temas generales de capacitación en seguridad incluyen las mejores prácticas de seguridad, qué hacer si encuentran un problema de seguridad y a quién contactar para las amenazas de seguridad.

Sensitive Information

Información privilegiada o propietaria que, si se ve comprometida por alteración, corrupción, pérdida, mal uso o divulgación no autorizada, podría causar un daño grave a la organización propietaria. NOTA: Para nuestros propósitos, las palabras "sensible", "confidencial" y "privado" significan esencialmente lo mismo.

Server

Un equipo que entrega datos y servicios a otros equipos de una red. Los servidores pueden ejecutar software y almacenar información. Por ejemplo, las páginas web se almacenan en servidores.

Short Message Service (SMS)

Un tipo de mensajería común a la mayoría de los teléfonos celulares que permite a los usuarios enviar un mensaje de hasta 160 caracteres a otro dispositivo. Comúnmente conocido como un "text messaging".

Shoulder Surfing

La práctica de espiar físicamente a un usuario, generalmente vigilando por encima del hombro, mientras inicia sesión en un cajero automático, computadora u otro dispositivo electrónico para obtener su información de acceso personal, generalmente se hace mirando por encima del hombro.

Smishing

Phishing que se produce a través de mensajes de texto. Abreviatura de “Short Message Service (SMS) phishing.”

SMS Spoofing

Engañar o engañar a los sistemas de mensajería telefónica o a los usuarios enviando mensajes desde un número de teléfono falso o falsificando el número de teléfono de otro usuario. Dado que es mucho más probable que las personas lean un mensaje de un número que conocen, los piratas informáticos a menudo falsifican números para engañar a los destinatarios para que realicen una acción que normalmente no tomarían.

Social Engineering

El acto de manipular a las personas para que realicen acciones o divulguen información confidencial. Alguien que intenta hacer esto se conoce como un "Ingeniero Social".

Spam

Correo electrónico no solicitado y no deseado. Alrededor del 70-90 por ciento del correo electrónico es spam.

Spear Phishing

Un ataque pequeño, enfocado y dirigido por correo electrónico contra una persona u organización en particular con el objetivo de penetrar sus defensas. El ataque de spear phishing se realiza después de la investigación sobre el objetivo y tiene un componente personalizado específico diseñado para hacer que el objetivo haga algo en contra de su propio interés.

Spoofing

Engañar o engañar a los sistemas informáticos u otros usuarios de computadoras. Esto generalmente se hace ocultando la identidad de uno o falsificando la identidad de otro usuario en Internet. La suplantación de correo electrónico implica enviar mensajes desde una dirección de correo electrónico falsa o falsificar la dirección de correo electrónico de otro usuario. Dado que es mucho más probable que las personas lean un mensaje de una dirección que conocen, los piratas informáticos a menudo falsifican direcciones para engañar al destinatario para que realice una acción que normalmente no tomaría.

Spyware

Un término general para muchas "familias" de software malicioso que envían los datos confidenciales de un usuario de computadora a los ciberdelincuentes. Algunos ejemplos de spyware son: Trojans, adware y barras de herramientas maliciosas.

Tailgating

Un método utilizado por los ingenieros sociales para obtener acceso a un edificio u otra área protegida. Un tailgater comúnmente intentará esperar a que un usuario autorizado abra y pase a través de un punto de entrada seguro para que puedan seguirlo.

Technical Vulnerabilities

Una debilidad en el software o hardware que deja un sistema abierto a ataques.

Threat Landscape

Los métodos utilizados por los ciberdelincuentes para entrar en su dispositivo y la red de su organización.

Torrent Sites

Tecnología utilizada para distribuir archivos a través de Internet. Los sitios de torrents se utilizan para compartir películas, música y otros archivos con derechos de autor pirateados. Un "torrent" es la abreviatura de "BitTorrent".

Tradecraft

Un conjunto de técnicas que los hackers y los ingenieros sociales utilizan para obtener acceso ilegal a hardware o software o para engañar a los humanos.

Trigger

Una condición que hace que se ejecute una carga útil de virus, que generalmente ocurre a través de la interacción del usuario (por ejemplo, abrir un archivo, ejecutar un programa o hacer clic en un archivo adjunto de correo electrónico).

Trojan Horse

Derivando su nombre del Caballo de Troya de la mitología griega, un programa que se hace pasar por seguro, ocultando su verdadera intención maliciosa, engañando a un usuario desprevenido para que lo ejecute o ejecute. Una vez ejecutado, puede permitir a los ciberdelincuentes ejecutar su software en su computadora. Los tipos comunes de troyanos son los programas de ransomware, el robo de credenciales y los keyloggers.

Trojan Listener

Una pieza de malware que se encuentra en el servidor de comando y control de un hacker y espera a que una computadora infectada "llame a casa". Escucha el Trojan para llamar.

Uniform Resource Locator (URL)

La dirección de un recurso en Internet. Cuando escribe una dirección web (como www.securitymoments.com) en la barra de direcciones de su navegador, su navegador traduce esa URL en una dirección de Protocolo de Internet (IP) como 209.80.210.10 y lo lleva a la página web correspondiente.

Universal Serial Bus (USB) Drive

Un dispositivo de almacenamiento que se usa a menudo para pruebas de penetración que pueden contener malware que puede exponer una red a un atacante. También se puede llamar un “thumb drive” o “flash drive.”

Vendor Email Compromise (VEC)

Una variedad de ataques de compromiso de correo electrónico empresarial (BEC) en los que los atacantes obtienen acceso a cuentas de correo electrónico en una empresa en la cadena de suministro y luego usan las cuentas para dirigirse a los clientes de esa empresa.

Virtual Private Network (VPN)

Una tecnología que crea una conexión segura a través de una red menos segura, como Internet. La tecnología VPN se desarrolló para permitir a los usuarios remotos y sucursales acceder a aplicaciones corporativas, correo electrónico y otros recursos de forma segura.

Virus

Un virus informático se copia a sí mismo en otro equipo e infecta archivos en ese equipo. A veces también se conoce como un “File Infector” o “File Virus.”

Vishing

Ingeniería social basada en el teléfono, también conocida como "phishing de voz". Al igual que el phishing, el vishing es cuando el hacker llama o le deja mensajes de voz e intenta engañarlo para que entregue información confidencial.

Web Browser

Un programa de software que solicita y recupera información de sitios web. También conocido simplemente como "navegador". Para simplificar, cuando escribe una dirección web como www.securitymoments.com (también llamada "URL" o "Localizador uniforme de recursos") en la barra de direcciones de su navegador, su navegador traduce esa URL en una dirección de Protocolo de Internet (IP) (la dirección de un servidor en Internet en algún lugar). El servidor que aloja esa página web la envía a su navegador. Algunos ejemplos son Google Chrome, Mozilla Firefox, Microsoft Edge o Safari.

Web Portal

El sitio web de una organización que le permite realizar ciertas funciones como pagar facturas u otras tareas.

Whaling

Ataques de phishing dirigidos a ejecutivos de alto rango en organizaciones importantes u otras figuras públicas altamente visibles. También conocido como phishing de ballenas.

Wi-Fi

Una instalación que permite que las computadoras, teléfonos inteligentes u otros dispositivos se conecten a Internet o se comuniquen entre sí de forma inalámbrica dentro de un área en particular.

Wi-Fi Hotspots

Una ubicación física que ofrece acceso inalámbrico a Internet.

Wi-Fi Pineapple

Un dispositivo de piratería que anuncia un nombre de punto de acceso falso como AT&T Wi-Fi. El Wi-Fi Pineapple tiene dos radios: una para que te conectes, pensando que es AT&T Wi-Fi, y otra que se conecta al Wi-Fi real de AT&T, por lo que el dispositivo se encuentra en el medio entre tú y el punto de acceso Wi-Fi real de AT&T y ve y graba todo lo que haces mientras estás en línea.

Wireless Access Point

Un dispositivo que permite que los dispositivos inalámbricos se conecten a una red cableada mediante Wi-Fi.

World Wide Web (WWW)

Una colección de sitios web llenos de información. Estos sitios web se pueden buscar y están conectados entre sí por enlaces. Llamado “The Web” para abreviar.

Worm

Un programa de software de malware independiente que se replica rápidamente para que pueda propagarse a otras computadoras.

Zero-day Attack

Una amenaza informática que intenta explotar vulnerabilidades desconocidas para otros, no reveladas al proveedor de software o para las que no hay ninguna corrección de seguridad disponible. También conocido como “Zero-day Threat.”

Zero-day Exploits

Código real que puede usar un agujero de seguridad para llevar a cabo un ataque. Usado o compartido por atacantes antes de que el proveedor de software conozca la vulnerabilidad.

Zombie

Una computadora que ha sido comprometida por un hacker a través de un virus informático, gusano informático o programa troyano y puede usarse para realizar tareas maliciosas bajo la dirección remota del hacker.