Glosario de Ciberseguridad

  • Inicio
  • Glosario de Ciberseguridad

Este glosario de ciberseguridad reúne los términos clave de la seguridad informática empresarial con definiciones claras, directas y actualizadas. Está pensado para equipos técnicos, líderes de negocio y cualquier persona que necesite entender el lenguaje de la ciberseguridad sin tecnicismos innecesarios. Cada término explica qué es, por qué importa y cómo se aplica en una organización real, para que pueda tomar decisiones informadas sobre riesgos, controles y proveedores de seguridad con total confianza.

PTaaS (Pentest como Servicio)

PTaaS (Penetration Testing as a Service) es un modelo de pruebas de penetración continuas entregadas a través de una plataforma en la nube. Combina pruebas manuales realizadas por expertos con monitoreo bajo demanda, en lugar de un único informe anual. Permite detectar y corregir vulnerabilidades de forma constante.

Pentest (Prueba de Penetración)

Un pentest o prueba de penetración es un ataque simulado y autorizado contra un sistema, aplicación o red para identificar vulnerabilidades antes de que lo hagan atacantes reales. Los especialistas explotan las fallas encontradas para medir su impacto real y entregan recomendaciones de remediación priorizadas.

Red Team

El Red Team es un grupo de especialistas que simula ataques reales y avanzados contra una organización para evaluar su capacidad de detección y respuesta. A diferencia de un pentest tradicional, emula las tácticas, técnicas y procedimientos de adversarios reales, incluyendo ingeniería social y persistencia a largo plazo.

Blue Team / Purple Team

El Blue Team es el equipo defensivo encargado de detectar, contener y responder a los ataques, gestionando monitoreo, alertas y controles de seguridad. El Purple Team es el modelo de colaboración entre el Red Team ofensivo y el Blue Team defensivo, donde ambos comparten hallazgos para mejorar la postura de seguridad.

AppSec (Seguridad de Aplicaciones)

AppSec o Application Security es la disciplina enfocada en proteger las aplicaciones de software durante todo su ciclo de vida, desde el diseño hasta la operación. Incluye prácticas como revisión de código, pruebas de seguridad, gestión de dependencias y corrección de vulnerabilidades en el software desarrollado.

DevSecOps

DevSecOps es la práctica de integrar la seguridad de forma automatizada y continua dentro del ciclo de desarrollo y operaciones (DevOps). Su objetivo es incorporar controles de seguridad desde las primeras etapas del desarrollo, en lugar de verificarlos solo al final, reduciendo el costo y el tiempo de remediación.

OWASP Top 10

El OWASP Top 10 es un documento estándar de concienciación elaborado por la organización OWASP que lista los diez riesgos de seguridad más críticos para aplicaciones web. Sirve como referencia base para desarrolladores y equipos de seguridad al priorizar la prevención de las vulnerabilidades más comunes y peligrosas.

CVE

CVE (Common Vulnerabilities and Exposures) es un sistema público de identificadores únicos para vulnerabilidades de seguridad conocidas. Cada CVE asigna un código estándar a una falla específica, lo que permite a organizaciones de todo el mundo referirse a la misma vulnerabilidad de forma consistente y coordinar su remediación.

CVSS

CVSS (Common Vulnerability Scoring System) es un estándar abierto para calificar la severidad de las vulnerabilidades en una escala de 0 a 10. Considera factores como la facilidad de explotación y el impacto potencial, ayudando a los equipos a priorizar qué fallas corregir primero según su criticidad real.

Gestión de Vulnerabilidades

La gestión de vulnerabilidades es el proceso continuo de identificar, clasificar, priorizar y remediar las debilidades de seguridad en sistemas y aplicaciones. Incluye el escaneo periódico, la evaluación del riesgo de cada hallazgo y el seguimiento de su corrección hasta el cierre, reduciendo la superficie de ataque.

Zero-day

Una vulnerabilidad zero-day (día cero) es una falla de seguridad desconocida para el fabricante del software y para la que aún no existe un parche disponible. Los atacantes que la descubren pueden explotarla antes de que haya defensa, lo que las convierte en una de las amenazas más peligrosas y difíciles de mitigar.

Ingeniería Social

La ingeniería social es el conjunto de técnicas que manipulan psicológicamente a las personas para que revelen información confidencial o realicen acciones inseguras. El phishing, el pretexting y el vishing son ejemplos comunes. Explota la confianza humana en lugar de fallas técnicas, por lo que la concienciación es clave para prevenirla.

SAST / DAST

SAST (Static Application Security Testing) analiza el código fuente en reposo para detectar vulnerabilidades sin ejecutar la aplicación. DAST (Dynamic Application Security Testing) prueba la aplicación en ejecución, simulando ataques externos. Ambas técnicas son complementarias y se usan juntas para una cobertura más completa.

ISO 27001 / PCI-DSS / SOC 2

ISO 27001 es el estándar internacional para sistemas de gestión de seguridad de la información. PCI-DSS es la norma que protege los datos de tarjetas de pago. SOC 2 es un marco de auditoría que evalúa los controles de seguridad de proveedores de servicios. Las tres son referencias clave de cumplimiento y confianza empresarial.

Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.