Historia de la seguridad
Desde los años 70 hasta hoy: los grandes incidentes, vulnerabilidades, malware y tecnologías de defensa que dieron forma a la seguridad, en una sola cronología. Cada entrada enlaza con una explicación más detallada en este sitio.
La historia de la seguridad es el registro de los nuevos ataques y de la tecnología creada para detenerlos. Vista en conjunto, aclara qué conviene priorizar al defender hoy. Los colores indican la categoría.
- Brecha / ataque
- Vulnerabilidad
- Malware
- Tecnología de defensa
- Estándar / ley
Los cimientos
1970s–1980s- 1976Criptografía de clave pública
Diffie–Hellman publicó la idea del intercambio de claves públicas: la base sobre la que se sostienen TLS, las firmas digitales y las passkeys de hoy.
- 1988El gusano Morris
El primer gusano de internet a gran escala: afectó a muchas máquinas e impulsó la creación de CERT. Le enseñó al mundo que el código que se ejecuta se propaga.
Leer más - 1988Fundación del CERT/CC
Creado a raíz del gusano como el primer centro para coordinar la respuesta a vulnerabilidades: la semilla de la divulgación coordinada.
La era de la web
1990s- 1995SSL / TLS
Llega el cifrado del tráfico web (más tarde estandarizado como TLS): el núcleo de HTTPS que frena la interceptación y la manipulación.
- 1998Inyección SQL
El fallo por el que una entrada secuestra una consulta a la base de datos gana amplia conciencia; sigue siendo un riesgo de primer nivel. Defensa: consultas parametrizadas.
Leer más - 1999El programa CVE
Comienza un identificador compartido para cada vulnerabilidad, para que todo el mundo pueda nombrar el mismo agujero de la misma manera.
Leer más - 2000ILOVEYOU
Un gusano que se propagó de forma explosiva mediante archivos adjuntos de correo: una plantilla temprana de la infección basada en la ingeniería social.
Gusanos e infección masiva
2000s- 2003SQL Slammer
Un gusano que saturó internet en minutos: la prueba de que un fallo conocido sin parchear puede convertirse en una caída global.
- 2003OWASP Top 10
La lista que resumió el riesgo de las aplicaciones web en diez puntos: desde entonces, un lenguaje común para los desarrolladores.
- 2005XSS (el gusano Samy)
Un gusano XSS que alcanzó ~1 millón de perfiles en un día: una lección vívida de por qué hay que escapar la salida.
Leer más - 2006PCI DSS
El estándar de seguridad común para quien maneja datos de tarjetas: el inicio de la seguridad impulsada por el cumplimiento.
- 2008Conficker
Una botnet que alcanzó millones de máquinas: otro recordatorio de lo peligroso que es tardar en parchear.
La era de las brechas
2010–2016- 2010Stuxnet
Un ataque de un Estado-nación contra sistemas de control industrial: la prueba de que un ciberataque puede dañar equipos físicos.
- 2014Heartbleed
Un fallo de OpenSSL que podía filtrar claves privadas y sesiones desde la memoria del servidor: el emblema del riesgo de las dependencias.
Leer más - 2014Shellshock
Un fallo de Bash que podía permitir la ejecución remota de código: un agujero en un componente omnipresente tiene un alcance enorme.
Leer más - 2014Llaves de seguridad FIDO / U2F
Llega un estándar de segundo factor resistente al phishing: el camino que conduce a las passkeys.
Leer más - 2015Let's Encrypt
Certificados TLS gratuitos y automáticos: el punto de inflexión que convirtió HTTPS en lo estándar en lugar de un lujo.
Leer más - 2016Mirai (botnet de IoT)
Secuestró dispositivos IoT con contraseñas por defecto para formar un DDoS masivo: el peligro de las credenciales por defecto o débiles.
Leer más
Ransomware y cadena de suministro
2017–2021- 2017WannaCry / NotPetya
Daños de ransomware a escala mundial: sistemas sin parchear más una propagación rápida pueden paralizar organizaciones enteras.
Leer más - 2017La brecha de Equifax
~147 millones de registros perdidos por un fallo sin parchear de Apache Struts: el peor coste de ignorar el CVE de una dependencia.
Leer más - 2018Entra en vigor el GDPR
La amplia ley de protección de datos de la UE: las brechas conllevan ahora fuertes multas y obligaciones de notificación.
- 2019Capital One (SSRF)
Un SSRF más una mala configuración de la nube expusieron más de 100 millones de registros: el error de diseño arquetípico de la era de la nube.
Leer más - 2020SolarWinds
Un ataque a la cadena de suministro oculto dentro de una actualización de software legítima: la propia vía de distribución de confianza convertida en arma.
Leer más - 2021Codecov
La manipulación de una herramienta de CI filtró numerosos secretos: extendió la constatación de que la cadena de compilación también es un objetivo.
Leer más - 2021Log4Shell
Un fallo de Log4j por el que con solo registrar una cadena se podía ejecutar código: una dura lección sobre parchear las dependencias rápido.
Leer más
Moderna (passkeys e IA)
2022–- 2022Passkeys
Un reemplazo de las contraseñas resistente al phishing llega a los principales sistemas operativos y navegadores.
Leer más - 2023MOVEit / Cl0p
Explotación masiva del fallo de un producto de transferencia de archivos: el agujero de un solo componente se propagó a miles de organizaciones.
Leer más - 2024La puerta trasera de xz-utils
Una puerta trasera estuvo a punto de colarse en una biblioteca de compresión omnipresente, detectada justo a tiempo: los ataques a la cadena de suministro se vuelven más sutiles.
Leer más - 2024La era de la IA
La IA generativa acelera tanto el ataque como la defensa, con nuevos riesgos como las claves filtradas y la inyección de prompts.
Leer más