Glosario
CVE, CVSS, RCE, SSRF, XSS, SPF/DKIM/DMARC: cada término con una respuesta de una línea y una explicación sencilla.
¿Qué es una passkey (clave de acceso)? Inicio de sesión sin contraseña y sin nada que robar
Una passkey es un inicio de sesión sin secreto compartido. Tu dispositivo firma con una clave privada más datos biométricos y el servidor solo guarda la clave pública correspondiente. Así una fuga no se puede aprovechar, y la firma está ligada al dominio: no se completa en un sitio falso, lo que la hace estructuralmente resistente al phishing. Más segura que contraseña + código SMS; migra primero las cuentas importantes.
¿Qué es el hashing de contraseñas? Almacenar contraseñas con seguridad mediante una transformación de un solo sentido
El hashing de contraseñas consiste en almacenar una contraseña como una transformación de un solo sentido e irreversible. Nunca guardes texto plano. A diferencia del cifrado, no puedes descifrarla de vuelta: ese es el objetivo. Pero MD5/SHA-256 a secas caen ante tablas arcoíris y fuerza bruta. La solución: una sal por usuario más un hash deliberadamente lento (bcrypt/Argon2/scrypt). No lo programes tú mismo; usa la función estándar.
¿Qué es una sal? El 'condimento' por usuario que se añade a un hash de contraseña
Una sal es un valor aleatorio y por usuario que se añade antes de aplicar el hash a una contraseña. La misma contraseña se almacena entonces distinta para cada usuario, lo que derrota las tablas arcoíris precalculadas e impide que una sola ejecución de cracking rompa muchas cuentas. Una sal no es secreta: guárdala junto al hash. bcrypt/Argon2 añaden una automáticamente.
¿Qué es el phishing? Los tipos de ataque y defensas más seguras que 'saber detectarlo'
El phishing suplanta a una parte de confianza para llevarte a una página de inicio de sesión falsa y robar credenciales o datos (o ejecutar malware). Apunta al juicio humano en lugar de a un fallo de software, y es la vía de entrada número uno del ransomware y las brechas. El phishing moderno con atacante en el medio (AiTM) retransmite incluso códigos de un solo uso al sitio real en tiempo real, así que el MFA por SMS/aplicación puede ser derrotado. La defensa segura no es 'detectarlo' sino mecanismos: MFA resistente al phishing ligado al dominio (passkeys/llaves de seguridad), ir al sitio oficial directamente en lugar de hacer clic en enlaces, y autenticación de correo (SPF/DKIM/DMARC).
¿Qué es un JWT (JSON Web Token)? Cómo funciona el pase firmado y cómo usarlo de forma segura
Un JWT es un 'pase' a prueba de manipulación que un servidor emite firmándolo. Tiene tres partes —encabezado.carga útil.firma— y el servidor verifica la firma para confirmar su autenticidad. Cuidado con: (1) verifica siempre la firma y fija el alg esperado (rechaza alg:none); (2) cualquiera puede leer el contenido, así que no pongas secretos en él; (3) mantén la expiración corta y ten una estrategia de revocación. Decodificar (leer) y verificar (comprobar la autenticidad) son cosas distintas.
¿Qué es el ransomware? Cómo funciona, cómo entra y cómo evitar pagar
El ransomware es malware que cifra tus archivos y exige un pago para devolvértelos. Los ataques modernos añaden la doble extorsión: roban datos primero y amenazan con filtrarlos, así que el descifrado por sí solo no detiene la brecha. Principales vías de entrada: phishing, VPN/RDP débil o sin MFA, y fallos expuestos a Internet sin parchear. La defensa más importante son las copias de seguridad sin conexión/inmutables más pruebas de restauración: poder recuperarse sin pagar. También cierra la entrada (MFA, parches) y limita el radio de impacto (privilegios mínimos, segmentación).
Qué es BitLocker: el cifrado de disco de Windows que protege los datos de un equipo perdido o robado
BitLocker es el cifrado de disco integrado en Windows. Protege los datos cuando el PC está apagado o se extrae el disco, convirtiendo un robo o una pérdida en texto cifrado. El gran escollo es la clave de recuperación: si la pierdes, te bloqueas a ti mismo. No protege un PC encendido y con sesión iniciada, así que combínalo con un inicio de sesión fuerte y el bloqueo automático.
Qué es C2 (mando y control): el canal que usan los atacantes para controlar un dispositivo tras una brecha
C2 es el canal que un dispositivo comprometido usa para llamar al servidor del atacante (una baliza) para recibir órdenes y exfiltrar datos: la fase posterior a la brecha. Las claves para detectarlo son el tráfico saliente periódico sospechoso y los destinos maliciosos conocidos. Defensas: filtrado de salida, monitoreo de DNS, cotejo de IOC/IOA, mínimo privilegio. Confirmar que 'no hay C2 residente' es una parte clave de la investigación de una brecha.
Qué es CORS: cómo funciona y qué expone una mala configuración
CORS es cómo el navegador controla si el JS de otro origen puede leer las respuestas de tu API. Una mala configuración —reflejar cualquier Origin, o Access-Control-Allow-Origin:* con credenciales— deja que un tercero lea datos con sesión iniciada. La defensa real: una lista de permitidos, no reflejar el Origin a ciegas, denegar por defecto.
Qué es EDR: registrar el 'comportamiento' de los endpoints para detectar y responder a los ataques que se cuelan
EDR registra de forma continua el comportamiento del endpoint, detecta actividad sospechosa (estilo IOA) y apoya la respuesta (aislar, investigar). Atrapa ataques sin archivos y de abuso de herramientas legítimas que el antivirus basado en firmas/IOC se pierde, mediante el comportamiento y una línea de tiempo. Los equipos pequeños a menudo no necesitan un EDR completo: la protección integrada del sistema operativo más registros más la mentalidad IOA aportan gran parte del valor.
Qué es un IOA (Indicador de Ataque): detectar una brecha por el comportamiento, no por los rastros
Un IOA (Indicador de Ataque) detecta una brecha por el comportamiento de un ataque en curso (escalada de privilegios → movimiento lateral → exfiltración). Es la contraparte del IOC a posteriori. Los atacantes cambian hashes e IPs al instante, pero la técnica (el comportamiento) es difícil de cambiar, así que los IOA perduran. Incluso los equipos pequeños pueden acercarse a ello vigilando el comportamiento que difiere de lo normal.
Qué es un IOC (Indicador de Compromiso): rastros que revelan una brecha
Un IOC (Indicador de Compromiso) es un rastro que deja una brecha: hashes de archivos maliciosos conocidos, IPs/dominios de atacantes, URLs, procesos inusuales. Su valor es detectar/bloquear mecánicamente lo malo conocido. Pero es una pista reactiva que los atacantes pueden cambiar barato, así que el cotejo de IOC es una última comprobación, no una cura. La defensa real es un diseño que no arda (mínimo privilegio, parcheo, MFA).
Qué es la fijación de sesión: hacer que una víctima inicie sesión con un ID que el atacante ya conoce
La fijación de sesión hace que una víctima use un ID de sesión conocido por el atacante, y luego la suplanta después de que inicie sesión con él. La defensa real: regenerar el ID de sesión al iniciar sesión (y al cambiar de privilegios). No aceptes IDs desde la URL y refuerza las cookies con HttpOnly/Secure/SameSite.
Qué es el clickjacking: trampas invisibles que te hacen pulsar botones ocultos
El clickjacking superpone de forma invisible tu sitio real sobre la página del atacante para que el usuario realice una acción no deseada (una transferencia, un cambio de configuración, un consentimiento). La defensa real es negarse a ser enmarcado: CSP frame-ancestors más X-Frame-Options.
Qué es IDOR: ver los datos de otra persona con solo cambiar un ID
IDOR permite a un usuario cambiar ?id=124 por 125 y leer la factura o los datos personales de otra persona: control de acceso roto. La defensa real: en el servidor, comprobar en cada acceso si el usuario con sesión iniciada tiene permitido ese objeto. Los IDs difíciles de adivinar no son un arreglo.
Qué es la redirección abierta (open redirect): tu URL de confianza usada como trampolín hacia otro sitio
Una redirección abierta permite que un parámetro tipo ?next= reenvíe a los usuarios a cualquier sitio externo, tomando prestada la confianza de tu dominio para el phishing. La defensa real: nunca aceptar URLs externas como destino de redirección; solo rutas relativas y una lista de permitidos.
Qué es el path traversal (recorrido de rutas): leer archivos que el servidor nunca debería servir, mediante ../
El path traversal mezcla ../ en una entrada de nombre de archivo para escapar del directorio base y leer o escribir .env, configuración o claves. La defensa real: nunca usar la entrada del usuario como ruta de archivo en bruto, y normalizar y luego confinar dentro de un directorio base permitido.
Qué es CSRF (Cross-Site Request Forgery): hacer que un usuario con sesión iniciada actúe sin querer
CSRF hace que el navegador de un usuario con sesión iniciada envíe una acción no deseada, abusando de la costumbre del navegador de adjuntar cookies automáticamente. La defensa real son los tokens CSRF más las cookies SameSite. Nunca uses GET para cambios de estado.
Qué son SPF / DKIM / DMARC: el trío que protege tu dominio del correo falsificado
SPF/DKIM/DMARC son tres ajustes de DNS para que los receptores puedan verificar el correo de tu dominio. SPF = qué servidores pueden enviar, DKIM = una firma criptográfica, DMARC = la política más los informes. Juntos frenan la falsificación en tu nombre. Sube DMARC desde p=none en adelante.
Qué es la inyección SQL (SQLi): cuando la entrada reescribe los comandos de tu base de datos
La SQLi ocurre cuando la entrada se lee como 'parte del comando' en lugar de como dato, cambiando el significado de una consulta: directo a leer/alterar/borrar. La defensa real es dejar de concatenar SQL en cadenas y pasar los valores mediante marcadores de posición (sentencias preparadas).
Qué es el XSS (Cross-Site Scripting): código ejecutándose en el navegador de otra persona
El XSS hace que una cadena proporcionada por el atacante se ejecute 'como script' en el navegador de otro usuario: directo al robo de sesión y la suplantación. La defensa real es el escape en la salida. No desactives el autoescape de tu framework.
Qué es un CVE: el 'dorsal' compartido de las vulnerabilidades
Un CVE es un identificador compartido a nivel global para una vulnerabilidad (p. ej. CVE-2025-12345). CVE = el nombre, CVSS = la gravedad, KEV = si se explota. Es el ancla del monitoreo. Síguelo con máquinas, no a mano.
Qué es CVSS: la puntuación de gravedad y cómo se calcula en realidad
CVSS valora la gravedad de 0.0 a 10.0. La puntuación se calcula a partir de métricas definidas (vector de ataque, complejidad, privilegios, interacción del usuario, alcance, impacto en CIA) mediante una fórmula pública, no a ojo. Conoce la rúbrica y podrás leer qué significa un 10.0. Aun así, prioriza con KEV (si se explota) y con si lo usas.
Qué es .env: qué pasa cuando se filtra un archivo de entorno
.env guarda los secretos de una app (autenticación de BD, claves de API, claves de cifrado). Como las claves están reunidas en un solo archivo, su exposición filtra todos los secretos a la vez. Mantén la app fuera del docroot, nunca la subas a git y rota todo si se filtra.
Qué es la RCE (ejecución remota de código): por qué es la peor clase de fallo
La RCE permite a un atacante ejecutar código arbitrario en tu servidor: directo a la toma de control, la peor clase. El radio de impacto lo determinan los privilegios del proceso en ejecución. Las defensas centrales son el parcheo rápido, la monitorización de CVE y los privilegios mínimos.
Qué es la SSRF (Server-Side Request Forgery, falsificación de solicitudes del lado del servidor)
La SSRF abusa de URLs de entrada externa para hacer que un servidor golpee recursos internos (IPs internas, metadatos de la nube). Si recuperas URLs, necesitas una lista de destinos permitidos, bloqueo de objetivos internos y cerrar las brechas de redirección/reenlace de DNS. Fue el punto de entrada de la brecha de Capital One.