Saltar al contenido
>_ITDITDPlataforma de seguridad web
timeline

Historia de la seguridad

Desde los años 70 hasta hoy: los grandes incidentes, vulnerabilidades, malware y tecnologías de defensa que dieron forma a la seguridad, en una sola cronología. Cada entrada enlaza con una explicación más detallada en este sitio.

La historia de la seguridad es el registro de los nuevos ataques y de la tecnología creada para detenerlos. Vista en conjunto, aclara qué conviene priorizar al defender hoy. Los colores indican la categoría.

  • Brecha / ataque
  • Vulnerabilidad
  • Malware
  • Tecnología de defensa
  • Estándar / ley

Los cimientos

1970s–1980s
  1. 1976Criptografía de clave pública

    Diffie–Hellman publicó la idea del intercambio de claves públicas: la base sobre la que se sostienen TLS, las firmas digitales y las passkeys de hoy.

  2. 1988El gusano Morris

    El primer gusano de internet a gran escala: afectó a muchas máquinas e impulsó la creación de CERT. Le enseñó al mundo que el código que se ejecuta se propaga.

    Leer más
  3. 1988Fundación del CERT/CC

    Creado a raíz del gusano como el primer centro para coordinar la respuesta a vulnerabilidades: la semilla de la divulgación coordinada.

La era de la web

1990s
  1. 1995SSL / TLS

    Llega el cifrado del tráfico web (más tarde estandarizado como TLS): el núcleo de HTTPS que frena la interceptación y la manipulación.

  2. 1998Inyección SQL

    El fallo por el que una entrada secuestra una consulta a la base de datos gana amplia conciencia; sigue siendo un riesgo de primer nivel. Defensa: consultas parametrizadas.

    Leer más
  3. 1999El programa CVE

    Comienza un identificador compartido para cada vulnerabilidad, para que todo el mundo pueda nombrar el mismo agujero de la misma manera.

    Leer más
  4. 2000ILOVEYOU

    Un gusano que se propagó de forma explosiva mediante archivos adjuntos de correo: una plantilla temprana de la infección basada en la ingeniería social.

Gusanos e infección masiva

2000s
  1. 2003SQL Slammer

    Un gusano que saturó internet en minutos: la prueba de que un fallo conocido sin parchear puede convertirse en una caída global.

  2. 2003OWASP Top 10

    La lista que resumió el riesgo de las aplicaciones web en diez puntos: desde entonces, un lenguaje común para los desarrolladores.

  3. 2005XSS (el gusano Samy)

    Un gusano XSS que alcanzó ~1 millón de perfiles en un día: una lección vívida de por qué hay que escapar la salida.

    Leer más
  4. 2006PCI DSS

    El estándar de seguridad común para quien maneja datos de tarjetas: el inicio de la seguridad impulsada por el cumplimiento.

  5. 2008Conficker

    Una botnet que alcanzó millones de máquinas: otro recordatorio de lo peligroso que es tardar en parchear.

La era de las brechas

2010–2016
  1. 2010Stuxnet

    Un ataque de un Estado-nación contra sistemas de control industrial: la prueba de que un ciberataque puede dañar equipos físicos.

  2. 2014Heartbleed

    Un fallo de OpenSSL que podía filtrar claves privadas y sesiones desde la memoria del servidor: el emblema del riesgo de las dependencias.

    Leer más
  3. 2014Shellshock

    Un fallo de Bash que podía permitir la ejecución remota de código: un agujero en un componente omnipresente tiene un alcance enorme.

    Leer más
  4. 2014Llaves de seguridad FIDO / U2F

    Llega un estándar de segundo factor resistente al phishing: el camino que conduce a las passkeys.

    Leer más
  5. 2015Let's Encrypt

    Certificados TLS gratuitos y automáticos: el punto de inflexión que convirtió HTTPS en lo estándar en lugar de un lujo.

    Leer más
  6. 2016Mirai (botnet de IoT)

    Secuestró dispositivos IoT con contraseñas por defecto para formar un DDoS masivo: el peligro de las credenciales por defecto o débiles.

    Leer más

Ransomware y cadena de suministro

2017–2021
  1. 2017WannaCry / NotPetya

    Daños de ransomware a escala mundial: sistemas sin parchear más una propagación rápida pueden paralizar organizaciones enteras.

    Leer más
  2. 2017La brecha de Equifax

    ~147 millones de registros perdidos por un fallo sin parchear de Apache Struts: el peor coste de ignorar el CVE de una dependencia.

    Leer más
  3. 2018Entra en vigor el GDPR

    La amplia ley de protección de datos de la UE: las brechas conllevan ahora fuertes multas y obligaciones de notificación.

  4. 2019Capital One (SSRF)

    Un SSRF más una mala configuración de la nube expusieron más de 100 millones de registros: el error de diseño arquetípico de la era de la nube.

    Leer más
  5. 2020SolarWinds

    Un ataque a la cadena de suministro oculto dentro de una actualización de software legítima: la propia vía de distribución de confianza convertida en arma.

    Leer más
  6. 2021Codecov

    La manipulación de una herramienta de CI filtró numerosos secretos: extendió la constatación de que la cadena de compilación también es un objetivo.

    Leer más
  7. 2021Log4Shell

    Un fallo de Log4j por el que con solo registrar una cadena se podía ejecutar código: una dura lección sobre parchear las dependencias rápido.

    Leer más

Moderna (passkeys e IA)

2022–
  1. 2022Passkeys

    Un reemplazo de las contraseñas resistente al phishing llega a los principales sistemas operativos y navegadores.

    Leer más
  2. 2023MOVEit / Cl0p

    Explotación masiva del fallo de un producto de transferencia de archivos: el agujero de un solo componente se propagó a miles de organizaciones.

    Leer más
  3. 2024La puerta trasera de xz-utils

    Una puerta trasera estuvo a punto de colarse en una biblioteca de compresión omnipresente, detectada justo a tiempo: los ataques a la cadena de suministro se vuelven más sutiles.

    Leer más
  4. 2024La era de la IA

    La IA generativa acelera tanto el ataque como la defensa, con nuevos riesgos como las claves filtradas y la inyección de prompts.

    Leer más