¿QUÉ SIGNIFICA...? en seguridad informática.
GLOSARIO DE TÉRMINOS DE SEGURIDAD INFORMÁTICA
1. Algoritmo de cifrado. Método para cifrar
información. es un procedimiento que utiliza un algoritmo de cifrado con
cierta clave (clave de cifrado) transforma un mensaje, sin atender a su
estructura lingüística o significado, de tal forma que sea incomprensible o, al
menos, difícil de comprender a toda persona que no tenga la clave secreta
(clave de descifrado) del algoritmo.
2. Algoritmo de descifrado. En el
descifrado el texto de entrada es el texto cifrado, debiéndose usar la clave en orden inverso.
3. Amenaza. Una amenaza informática es toda
circunstancia, evento o persona que tiene el potencial de causar daño a un
sistema en forma de robo, destrucción, divulgación, modificación de datos o
negación de servicio (DoS).
4. Ataque informático. Un ataque Web es un
ataque que se comete contra una aplicación cliente y se origina desde un lugar
en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han
sido creados para atacar intencionalmente a los usuarios de ésta.
5. Cifrado asimétrico. Al usar claves
diferentes: una pareja compuesta por una clave pública, que sirve
para cifrar, y por una clave privada, que sirve para descifrar. El
punto fundamental sobre el que se sostiene esta descomposición pública/privada
es la imposibilidad práctica de deducir la clave privada a partir de la clave
pública. Este tipo de cifrado suele denominarse PKE (del inglés public-key
encription).
6.
Cifrado
simétrico. cuando utiliza la misma clave para cifrar y descifrar.
7. Clave de cifrado. Una clave, palabra clave o clave
criptográfica es una pieza de información que controla la operación
de un algoritmo de criptografía. Habitualmente, esta información
es una secuencia de números o letras mediante la cual, en
criptografía, se especifica la transformación del texto
plano en texto cifrado, o viceversa.
8. Codificación. Operación que tiene lugar
para enviar datos de un lugar a otro, procesarlos y obtener resultados a partir
de ellos.
En seguridad informática, aquellas que precisan de aspectos de seguridad y confidencialidad y, por ende, implican la creación de mensajes cifrados que sólo pueden ser leídos por cierto tipo de ordenadores o por el usuario que los ha creado, como ocurre con las contraseñas y datos personales en transacciones en línea.
En seguridad informática, aquellas que precisan de aspectos de seguridad y confidencialidad y, por ende, implican la creación de mensajes cifrados que sólo pueden ser leídos por cierto tipo de ordenadores o por el usuario que los ha creado, como ocurre con las contraseñas y datos personales en transacciones en línea.
Este tipo de codificación tiene un alto
valor de confiabilidad y se utiliza en todo tipo de tareas y entornos
informáticos.
9.
Confidencialidad.
Servicio de seguridad o condición que asegura que la información no pueda estar
disponible o ser descubierta por o para personas, entidades o procesos no
autorizados. También puede verse como la capacidad del sistema para evitar que
personas no autorizadas puedan acceder a la información almacenada en él.
10. Cracker. El término cracker (del inglés cracker,
y este de to crack, ‘romper’, ‘quebrar’) se utiliza para referirse
a las personas que "rompen" algún sistema de seguridad. Los crackers pueden
estar motivados por una multitud de razones, incluyendo fines de lucro,
protesta, o por el desafío. Mayormente, se entiende que los crackers se
dedican a la edición desautorizada de software propietario.
11. Creación o Phishing. es un término informático que
denomina un modelo de abuso informático y que se comete mediante el uso de
métodos que utilizan la manipulación en el diseño del correo electrónico para
lograr que un enlace parezca una ruta legítima de la organización por la cual
se hace pasar el impostor. URL manipuladas, o el uso de subdominios.
12. Criptoanálisis. Criptoanálisis es el
proceso de intentar regenerar el mensaje desde el texto cifrado pero sin
conocimiento de las claves de encriptación. Esta es la tarea normal de los
intrusos. Si el intruso o criptoanalista no puede determinar un mensaje
desde el texto cifrado (sin la clave), entonces el sistema de
criptografiado es seguro.
13. Cripto asimetría. Es el
método criptográfico que usa un par de claves para el envío de
mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje.
Una clave es pública y se puede entregar a cualquier persona,
la otra clave es privada y el propietario debe guardarla de
modo que nadie tenga acceso a ella.
14. Criptografía. a) Diseño de
procedimientos para cifrar los mensajes, de forma que si son interceptados no
se pueda saber su contenido.
b) Disciplina que estudia los principios, métodos y medios de transformar los datos con objeto de ocultar la información contenida en los mismos, detectar su modificación no autorizada y prevenir su uso no permitido.
b) Disciplina que estudia los principios, métodos y medios de transformar los datos con objeto de ocultar la información contenida en los mismos, detectar su modificación no autorizada y prevenir su uso no permitido.
15. Criptograma. Resultado del cifrado de un
mensaje, texto cifrado y listo para su transmisión.
16. Criptologia. Ciencia para el estudio de
la creación y utilización de sistemas de encriptación.
17. Cripto simetría. Algoritmo de cifrado
que requiere que ambas partes compartan una clave secreta, necesitan de un
medio de distribución de claves seguro entre emisor/receptor.
18. Cripto sistema. Conjunto de transformaciones
que convierten un texto en claro en un texto cifrado y viceversa,
seleccionándose unos, o un, algoritmo particular mediante una clave, para que
sólo un receptor autorizado pueda descifrarlo. Las transformaciones están
normalmente definidas por un algoritmo matemático.
19. Disponibilidad. La disponibilidad es la
característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o
aplicaciones. Grosso modo, la disponibilidad es el acceso a la información y a
los sistemas por personas autorizadas en el momento que así lo requieran.
20. Exploit. Fragmento de software,
fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin
de aprovechar una vulnerabilidad de seguridad de un sistema de información
para conseguir un comportamiento no deseado del mismo. Ejemplos de
comportamiento erróneo: Acceso de forma no autorizada, toma de control de un
sistema de cómputo, consecución privilegios no concedidos lícitamente.
21. Hacker. Un hacker es alguien que
descubre las debilidades de una computadora o de una red informática, aunque el
término puede aplicarse también a alguien con un conocimiento avanzado de
computadoras y de redes informáticas.
22. Hacker ético. Se
definen a sí mismos como personas que se dedican a programar de manera
apasionada y creen que es un deber para ellos compartir la información y
elaborar software gratuito. El hacking ético es en sí una auditoría efectuada por
profesionales de seguridad de la información, quienes reciben el nombre de
“pentester”. A la actividad que realizan
se le conoce como “hacking ético”
o “pruebas de penetración”.
23. Ingeniería social. Es la práctica de
obtener información confidencial a través de la manipulación de usuarios legítimos.
Es una técnica que pueden usar ciertas personas, para obtener información,
acceso o privilegios en sistemas de información que les
permitan realizar algún acto que perjudique o exponga
la persona u organismo comprometido a riesgo o abusos.
24. Integridad. Propiedad de prevenir la
modificación no autorizada de la información.
25. Intercepción. Se produce cuando un
programa, proceso o persona accede a una parte del sistema para la cual no
tiene autorización. Es el incidente de seguridad más difícil de detectar, ya
que generalmente no produce una alteración en el sistema. Este es un ataque en
contra de la confidencialidad. Ejemplos de este tipo de
ataque: acceso a una base de datos, entrada a través de la red en un sistema
informático ajeno, etc.
26. Interrupción. Un recurso del sistema es
destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad.
Ejemplos de estos ataques: destrucción de un elemento de hardware, como un
disco duro, cortar una línea de comunicación o deshabilitar el sistema de
gestión de archivos.
27. Mensaje. Información de registro, un
flujo de datos expresado en notación ordinaria o críptica y preparado en un
formato específico para su transmisión por cualquier medio
de telecomunicaciones.
28. Modificación. Acceso no autorizado que
cambia el entorno para su beneficio. Su detección es difícil según sea la
circunstancia.
29. Oficial de seguridad. El oficial de seguridad de la información o director de seguridad de la información,
en inglés, CISO (chief
information security officer: (‘oficial principal de seguridad de la
información’) es el responsable máximo en planificar, desarrollar, controlar y
gestionar las políticas, procedimientos y acciones con el fin de mejorar
la seguridad de la información dentro de sus pilares fundamentales de
confidencialidad, integridad y disponibilidad.
30. Protección. Parte de la seguridad
interna relativa al control de acceso de programas, procesos o usuarios a los
recursos de un sistema informático.
31.
Protocolos.
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de
la transmisión de datos entre la comunicación de dispositivos para ejercer una
confidencialidad, integridad, autenticación y el no repudio de la información. Se
componen de:
a.
Criptografía (Cifrado
de datos). Se ocupa de transposicionar u ocultar el mensaje enviado por el
emisor hasta que llega a su destino y puede ser descifrado por el receptor.
b.
Lógica
(Estructura y secuencia). Llevar un orden en el cual se agrupan los datos del
mensaje el significado del mensaje y saber cuándo se va enviar el mensaje.
c.
Identificación
(Autentication). Es una validación de identificación es la técnica
mediante la cual un proceso comprueba que el compañero de comunicación es quien
se supone que es y no se trata de un impostor.
32. Seguridad. Conjunto de medidas
preventivas y reactivas que tienen como objetivo mantener la confidencialidad,
disponibilidad e integridad de la información.
33. Texto plano. Un archivo de texto llano,
texto simple, texto plano, texto sencillo o texto pelado es un archivo
informático compuesto únicamente por texto sin formato, sólo caracteres, lo que
lo hace también legible por humanos.
34. Vulnerabilidad.
Definimos vulnerabilidad como debilidad de cualquier tipo que compromete
la seguridad del sistema informático.
Las
vulnerabilidades de los sistemas informáticos las podemos agrupar en función
de:
1.
Diseño
·
Debilidad en el diseño de
protocolos utilizados en las redes.
·
Políticas de seguridad deficiente
e inexistente.
2.
Implementación
·
Errores de programación.
·
Existencia de “puertas traseras”
en los sistemas informáticos.
·
Descuido de los fabricantes.
3.
Uso
·
Mala configuración de los
sistemas informáticos.
·
Desconocimiento y falta de
sensibilización de los usuarios y de los responsables de informática.
·
Disponibilidad de herramientas
que facilitan los ataques.
·
Limitación gubernamental de
tecnologías de seguridad.