Glosario de ciberseguridad

20 términos esenciales de ciberseguridad explicados de forma sencilla. Descubra el phishing, el smishing, la ingeniería social y mucho más.

A B D F I M P Q R S V W

A

Autenticación de dos factores (2FA)

Un método de seguridad que exige dos formas de verificación distintas para acceder a una cuenta: algo que usted sabe (contraseña) y algo que usted tiene (teléfono, llave de seguridad). La 2FA reduce notablemente el riesgo de que una cuenta se vea comprometida por phishing.

Relacionados:Ingeniería social Phishing

Ataque de día cero

Un ataque que explota una vulnerabilidad de software hasta entonces desconocida. Se denomina «día cero» porque los desarrolladores han tenido cero días para crear un parche. Estos ataques son especialmente peligrosos porque aún no existe defensa.

Relacionados:Malware (software malicioso)Inteligencia de amenazas

B

BEC (compromiso de correo empresarial)

Una estafa sofisticada dirigida a empresas que realizan transferencias. Los delincuentes comprometen o suplantan cuentas de correo empresariales para solicitar pagos fraudulentos. El fraude BEC ha causado más de 50.000 millones de dólares en pérdidas en todo el mundo.

Ejemplo

Un atacante accede al correo de un proveedor y envía facturas con datos bancarios modificados a la empresa víctima.

Relacionados:Whaling (fraude al directivo)Spear phishing Fraude del CEO

D

DMARC

Domain-based Message Authentication, Reporting, and Conformance: un protocolo de autenticación de correo que se basa en SPF y DKIM para protegerse contra la suplantación de direcciones. Permite a los propietarios de dominios definir cómo deben tratarse los correos no autenticados.

Relacionados:SPF (Sender Policy Framework)DKIM Suplantación de dirección de correo

DKIM

DomainKeys Identified Mail: un método de autenticación de correo que permite al remitente firmar digitalmente sus mensajes. El servidor receptor puede verificar la firma para asegurarse de que el correo no se ha alterado en tránsito.

Relacionados:DMARC SPF (Sender Policy Framework)Suplantación de dirección de correo

F

Fraude del CEO

Un tipo de fraude BEC en el que los atacantes suplantan al CEO o a otro alto directivo de la empresa para engañar a los empleados y lograr que transfieran dinero o compartan datos sensibles.

Ejemplo

Un correo del «CEO» a un contable: «Necesito que procese este pago de inmediato. Manténgalo confidencial.»

Relacionados:BEC (compromiso de correo empresarial)Whaling (fraude al directivo)Ingeniería social

I

IOC (indicador de compromiso)

Una prueba de que se ha producido una brecha de seguridad. Los IOC incluyen direcciones IP maliciosas, nombres de dominio, URL, huellas de archivos y direcciones de correo utilizadas en ataques. Herramientas como Luminir usan bases de IOC para detectar amenazas conocidas.

Relacionados:Inteligencia de amenazas Malware (software malicioso)

Inteligencia de amenazas

Información sobre amenazas cibernéticas actuales y potenciales, recopilada y analizada para ayudar a las organizaciones a comprender los riesgos y tomar decisiones de seguridad fundamentadas. Incluye métodos de ataque, actores maliciosos e indicadores de compromiso.

Relacionados:IOC (indicador de compromiso)DMARC

M

Malware (software malicioso)

Software malicioso diseñado para dañar, interrumpir u obtener acceso no autorizado a un sistema informático. Sus tipos incluyen virus, ransomware, troyanos, spyware y gusanos. Los correos de phishing son un vector de distribución principal.

Relacionados:Ransomware (secuestro de datos)TroyanoPhishing

P

Phishing

Un ciberataque en el que los delincuentes suplantan a organizaciones legítimas por correo, SMS o sitios web para robar información sensible como contraseñas, números de tarjeta o datos personales. El phishing es la forma más común de ataque de ingeniería social.

Ejemplo

Un correo que se hace pasar por su banco y le pide «verificar su cuenta» haciendo clic en un enlace que lleva a un sitio falso.

Relacionados:Spear phishing Smishing Vishing

Pretexting (pretexto)

Una técnica de ingeniería social en la que el atacante crea un escenario inventado (un pretexto) para ganarse a la víctima y robarle información. El atacante investiga a su objetivo para construir una historia creíble.

Ejemplo

Alguien llama a un empleado diciendo que es de RR. HH. y le pide su número de la seguridad social para una «verificación de nómina».

Relacionados:Ingeniería social Vishing

Q

Quishing

Phishing con código QR: una técnica de phishing en la que se incrustan URL maliciosas en códigos QR. Al escanearlos, el código QR redirige a las víctimas a sitios falsos diseñados para robar sus credenciales.

Ejemplo

Una pegatina falsa en un parquímetro, con un código QR que lleva a una página de pago diseñada para robar los datos de su tarjeta.

Relacionados:Phishing Smishing

R

Ransomware (secuestro de datos)

Un tipo de software malicioso que cifra los archivos de la víctima y exige el pago de un rescate a cambio de la clave de descifrado. Suele distribuirse mediante correos de phishing con archivos adjuntos o enlaces maliciosos.

Ejemplo

Un archivo adjunto que, al abrirse, cifra todos los archivos del ordenador y muestra una exigencia de rescate en Bitcoin.

Relacionados:Malware (software malicioso)Phishing

S

Spear phishing

Un ataque de phishing dirigido a una persona u organización concreta. A diferencia del phishing masivo, el spear phishing utiliza información personal sobre el objetivo para que el mensaje resulte más convincente.

Ejemplo

Un correo que se dirige a usted por su nombre, menciona su empresa y su cargo, y le pide aprobar una factura falsa.

Relacionados:Phishing Whaling (fraude al directivo)BEC (compromiso de correo empresarial)

Smishing

Phishing por SMS: una forma de phishing que utiliza mensajes de texto (SMS) para engañar a las víctimas y lograr que hagan clic en enlaces maliciosos o revelen información personal. El término combina «SMS» y «phishing».

Ejemplo

Un SMS que dice ser de un servicio de mensajería: «No se pudo entregar su paquete. Haga el seguimiento aquí: [enlace malicioso]».

Relacionados:Phishing Vishing Quishing

SPF (Sender Policy Framework)

Un método de autenticación de correo que especifica qué servidores están autorizados a enviar correos en nombre de un dominio. SPF ayuda a prevenir la suplantación de direcciones permitiendo a los servidores receptores verificar al remitente.

Relacionados:DMARC DKIM Suplantación de dirección de correo

Suplantación de dirección de correo

La creación de mensajes de correo con una dirección de remitente falsificada. La suplantación se utiliza habitualmente en ataques de phishing para que los correos parezcan provenir de fuentes de confianza como bancos, empleadores u organismos públicos.

Relacionados:Phishing DMARC SPF (Sender Policy Framework)DKIM

V

Vishing

Phishing de voz: un ataque de ingeniería social realizado mediante llamadas telefónicas. Los atacantes se hacen pasar por entidades legítimas como bancos, organismos públicos o soporte técnico para extraer información sensible.

Ejemplo

Una llamada de alguien que dice ser del departamento antifraude de su banco y le pide confirmar su número de cuenta.

Relacionados:Phishing Smishing Ingeniería social

W

Whaling (fraude al directivo)

Un ataque de spear phishing dirigido específicamente a altos directivos (CEO, director financiero, etc.). Estos ataques son muy personalizados y suelen incluir falsas solicitudes urgentes relacionadas con las operaciones de la empresa.

Ejemplo

Un correo que parece provenir del CEO y pide al director financiero transferir dinero con urgencia a la cuenta de un «nuevo proveedor».

Relacionados:Spear phishing BEC (compromiso de correo empresarial)Fraude del CEO

Protéjase de estas amenazas

Reenvíe los correos sospechosos a verificar@luminir.io y obtenga un análisis instantáneo con IA.