La ciberseguridad sin tecnicismos
¿Qué es una VPN? ¿2FA? ¿Phishing? ¿Ransomware? Aquí tienes cada concepto explicado con claridad, ejemplos reales y cómo protegerte.
Privacidad y anonimato
13 términosVPN, IP, cifrado, GDPR, navegación anónima.
Una VPN (Virtual Private Network) es una red privada virtual que crea un túnel cifrado entre el dispositivo del usuario y un servidor remoto, ocultando la IP real y cifrando todo el tráfico, lo que dificulta que terceros (operador, web, gobierno) vean la actividad online.
Una dirección IP es el identificador numérico único que un dispositivo recibe al conectarse a internet (IPv4 tipo 192.168.0.1 o IPv6); permite localizar geográficamente al usuario (país, ciudad, operador) y rastrear su actividad online.
El DNS (Domain Name System) es el sistema de internet que traduce los nombres de dominio legibles (google.com) en direcciones IP (172.217.16.142) para que los navegadores puedan conectarse al servidor correcto sin tener que recordar números.
El cifrado es el proceso criptográfico de transformar información legible en un código ininteligible ("texto cifrado") que solo puede recuperarse con la clave correcta. Es la base de la privacidad digital: HTTPS, mensajería extremo a extremo, discos cifrados y banca online dependen de él.
Tor (The Onion Router) es una red descentralizada de anonimato que encamina el tráfico a través de al menos tres nodos cifrados ("capas de cebolla"), donde cada nodo solo conoce el anterior y el siguiente, lo que hace prácticamente imposible vincular el origen real con el destino visitado.
El GDPR (Reglamento General de Protección de Datos), llamado RGPD en español, es el reglamento europeo aplicable desde mayo de 2018 que regula cómo las empresas pueden recopilar, tratar y almacenar datos personales de ciudadanos de la UE, con multas de hasta 20 millones de euros o el 4% de la facturación global.
El modo incógnito o navegación privada es una función del navegador que no guarda localmente historial, cookies ni caché al cerrar la ventana. NO hace al usuario anónimo en internet: la web visitada, el operador y el empleador siguen viendo la actividad y la IP real.
Los datos personales son cualquier información que permita identificar, directa o indirectamente, a una persona física viva: nombre, email, teléfono, dirección, IP, foto, datos de salud, geolocalización o cualquier identificador. En la UE están protegidos por el GDPR.
Las cookies de terceros son pequeños archivos que un dominio distinto al de la página visitada (típicamente una red publicitaria o un proveedor de análisis) guarda en el navegador del usuario para seguir su actividad entre webs y mostrarle publicidad personalizada.
El browser fingerprinting es una técnica de rastreo que identifica un dispositivo combinando decenas de datos técnicos del navegador (versión, fuentes instaladas, resolución, idioma, zona horaria, tarjeta gráfica vía Canvas/WebGL) en una "huella" casi única, sin necesidad de cookies.
DNS sobre HTTPS (DoH) es un protocolo que envía las consultas DNS cifradas dentro de tráfico HTTPS, en lugar del DNS tradicional en claro por el puerto 53, para que el operador o cualquier intermediario en la red no pueda ver ni manipular qué dominios visita el usuario.
Los metadatos EXIF son información adicional que las cámaras y móviles incrustan automáticamente dentro de cada archivo de imagen: marca y modelo del dispositivo, fecha y hora exactas, ajustes de disparo y, si el GPS está activo, las coordenadas precisas donde se tomó la foto.
El derecho al olvido es el derecho, reconocido en la UE, a solicitar que una empresa elimine los datos personales propios —o que un buscador deje de mostrar determinadas URLs al buscar por el nombre— cuando ya no exista un motivo legítimo para conservarlos.
Amenazas digitales
17 términosPhishing, malware, ransomware, virus, troyanos.
El phishing es una técnica de fraude en la que un atacante se hace pasar por una entidad legítima (banco, Hacienda, Amazon, una empresa) mediante email, SMS o redes sociales para engañar al usuario y robarle credenciales, datos personales o dinero.
El malware (de "malicious software") es el término genérico para cualquier software diseñado para dañar, espiar o tomar control de un dispositivo: virus, troyanos, ransomware, spyware, gusanos, adware, rootkits y keyloggers son tipos de malware.
El ransomware es un tipo de malware que cifra los archivos del dispositivo o de la red infectada y exige al usuario un rescate (normalmente en criptomonedas) para devolverle el acceso; sin copia de seguridad limpia, las víctimas pueden perder sus datos.
Un virus informático es un programa malicioso que se inserta en archivos legítimos y, al ejecutarse, se replica infectando otros archivos del sistema. Históricamente fue el tipo de malware más común; hoy ha sido superado por troyanos y ransomware.
Un troyano es un tipo de malware que se disfraza de software legítimo y útil (un crack, un instalador, una actualización falsa) para engañar al usuario y que lo ejecute voluntariamente, mientras hace daño en segundo plano: instala backdoors, roba datos o descarga más malware.
El spyware es un tipo de malware diseñado para espiar al usuario sin que lo sepa: registra pulsaciones de teclado, capturas de pantalla, navegación, conversaciones, audio y vídeo, y envía toda esa información al atacante.
El adware es un tipo de software (normalmente no deseado) que muestra publicidad invasiva: pop-ups, redirecciones de búsqueda, anuncios insertados en el navegador y modificación de la página de inicio. Suele ser más molesto que peligroso, aunque a veces sirve de puerta a otro malware.
Un gusano informático (worm) es un tipo de malware que se replica autónomamente y se propaga por la red explotando vulnerabilidades, sin necesidad de un archivo anfitrión ni de la intervención del usuario, a diferencia de un virus tradicional.
Un ataque DDoS (Distributed Denial of Service) es un ataque informático en el que miles de dispositivos infectados (botnet) envían simultáneamente peticiones a un servidor web para saturarlo y dejarlo fuera de servicio para los usuarios legítimos.
Un deepfake es un vídeo, audio o imagen sintética generada con inteligencia artificial (típicamente redes neuronales tipo GAN o modelos generativos) que imita los rasgos faciales o la voz de una persona real, y se usa para desinformación, fraude y suplantación de identidad.
Conjunto de técnicas para engañar a personas (no a máquinas) y conseguir que revelen información, hagan clic donde no deben o den acceso a algo. El phishing, las llamadas fraudulentas o el "el sobrino que necesita dinero" son ingeniería social.
Variantes del phishing: el smishing usa SMS/mensajería ("tu paquete está retenido, paga aquí") y el vishing usa llamadas de voz ("le llamo del banco, hay un cargo sospechoso"). El objetivo es el mismo: robar datos, dinero o credenciales.
Software fraudulento que te asusta con falsas alertas ("¡tu equipo tiene 5 virus!") para que compres un programa inútil o instales malware real.
Aplicaciones de espionaje que alguien instala a escondidas en el móvil de otra persona para vigilar sus mensajes, llamadas y ubicación.
Programa o dispositivo que registra todo lo que escribes en el teclado —incluidas contraseñas— y se lo envía a un atacante.
Malware especialmente sigiloso que se esconde en lo más profundo del sistema para tomar control total y pasar inadvertido a los antivirus.
Red de miles o millones de dispositivos infectados que un atacante controla a distancia para lanzar ataques masivos, enviar spam o minar criptomonedas.
Autenticación
11 términos2FA, biometría, password manager, SSO, OAuth.
La 2FA (autenticación de dos factores) es un sistema de seguridad que añade un segundo paso al inicio de sesión —un código por SMS, una app de autenticación o una llave física— además de la contraseña. Google estima que bloquea el 99,9% de los ataques automatizados.
La biometría es un método de autenticación que identifica a una persona por sus rasgos físicos o de comportamiento únicos: huella dactilar, reconocimiento facial, iris, voz o forma de teclear. Es cómoda y segura para el uso diario, aunque plantea cuestiones de privacidad.
Un gestor de contraseñas es una aplicación (Bitwarden, 1Password, LastPass) que guarda todas las contraseñas cifradas detrás de una única clave maestra, las autocompleta al iniciar sesión y genera contraseñas únicas y aleatorias para cada cuenta.
El SSO (Single Sign-On) es un sistema de inicio de sesión único que permite acceder a varias aplicaciones con un solo proceso de autenticación frente a un proveedor de identidad (Google, Microsoft, Okta), sin volver a introducir credenciales. Es la base del "Login con Google" o "Login con Apple".
OAuth es un protocolo estándar de autorización que permite a una aplicación acceder a recursos de tu cuenta en otro servicio (Google, Facebook, GitHub) en tu nombre, sin tener que compartir la contraseña: el proveedor emite un token con permisos limitados.
Una passkey es una credencial de acceso basada en criptografía de clave pública (estándar FIDO2/WebAuthn) que reemplaza a las contraseñas: la clave privada se guarda en el dispositivo y se desbloquea con biometría o PIN. No hay nada que recordar ni teclear, y es inmune al phishing.
FIDO2 es un estándar abierto de autenticación sin contraseña, impulsado por la FIDO Alliance y el W3C, que usa criptografía de clave pública en una llave de seguridad física (YubiKey, Titan) o en el propio dispositivo del usuario. Es inmune al phishing.
WebAuthn (Web Authentication API) es un estándar del W3C que permite a las páginas web ofrecer inicio de sesión sin contraseña mediante huella dactilar, reconocimiento facial o llave de seguridad. Es la pieza de FIDO2 que vive en el navegador.
Una passphrase o frase de contraseña es una clave compuesta por varias palabras al azar (por ejemplo "caballo grapa batería correcto") que sustituye a la contraseña tradicional: es mucho más larga, más fácil de recordar y muy difícil de adivinar por fuerza bruta.
Los códigos de recuperación son una lista de claves de un solo uso (típicamente 8-10) que un servicio entrega al activar la 2FA y que permiten recuperar el acceso a la cuenta si se pierde el móvil o la llave de seguridad usados como segundo factor.
La autenticación basada en riesgo (o adaptativa) es un sistema que evalúa cada intento de inicio de sesión —dispositivo, ubicación, hora, comportamiento, IP, red— y exige más o menos verificación según el nivel de riesgo: acceso directo si todo es habitual, segundo factor o bloqueo si detecta señales sospechosas.
Redes seguras
11 términosFirewall, WPA3, WiFi pública, VPN corporativa.
Un firewall (cortafuegos) es un sistema de seguridad de red, en software o hardware, que monitoriza y filtra el tráfico entrante y saliente según reglas predefinidas: bloquea las conexiones consideradas sospechosas o no autorizadas y permite las legítimas.
WPA3 (Wi-Fi Protected Access 3) es el protocolo de seguridad WiFi más moderno (estandarizado en 2018), sucesor de WPA2: cifra el tráfico WiFi con claves más robustas, resiste ataques de fuerza bruta offline mediante el handshake SAE y mejora la privacidad incluso en redes abiertas.
Una WiFi pública es una red WiFi abierta o con contraseña compartida que ofrecen establecimientos como cafés, aeropuertos u hoteles. Es cómoda pero arriesgada: cualquier usuario conectado a la misma red puede potencialmente espiar el tráfico (sniffing) o lanzar ataques de tipo evil twin o MITM.
NAT (Network Address Translation) es el mecanismo de red que permite que múltiples dispositivos con IPs privadas (192.168.x.x) compartan una sola IP pública para salir a internet. Es lo que hace el router doméstico para conectar todos los dispositivos del hogar.
El port forwarding (redirección de puertos) es una configuración del router que redirige las peticiones a un puerto público concreto hacia un dispositivo específico de la red interna. Se usa para hospedar servidores caseros, juegos online, cámaras IP o NAS accesibles desde fuera.
Zero Trust es un modelo de seguridad ("nunca confiar, siempre verificar") en el que no se concede confianza por defecto a ningún usuario, dispositivo o conexión, ni dentro ni fuera de la red corporativa: cada acceso a cada recurso se autentica, autoriza y registra de forma explícita.
Una VPN corporativa conecta de forma cifrada el equipo de un empleado (en casa, en un hotel, en una cafetería) con la red interna de la empresa, como si estuviera físicamente en la oficina. Es la base del teletrabajo seguro.
La segmentación de red consiste en dividir una red en zonas o subredes aisladas (mediante VLAN, subredes y reglas de firewall) para que un problema o un intruso en una zona —por ejemplo, una infección de ransomware— no pueda saltar fácilmente al resto.
Una DMZ (zona desmilitarizada) en redes es una subred intermedia donde se colocan los servicios accesibles desde internet (web, correo, DNS), aislada tanto de la red interna como del exterior, para que un servidor comprometido no dé acceso directo a la red corporativa.
Un honeypot es un sistema trampa (servidor, servicio o dato falso) que se despliega deliberadamente para que parezca un objetivo valioso y atraiga a los atacantes, permitiendo detectarlos, alertar al equipo de seguridad y estudiar sus técnicas sin poner en riesgo los sistemas reales.
Un IDS (Intrusion Detection System) y un IPS (Intrusion Prevention System) son sistemas de seguridad que inspeccionan el tráfico de red en busca de patrones de ataque: el IDS solo genera alertas cuando detecta algo sospechoso; el IPS, además, bloquea automáticamente la conexión maliciosa.
Certificados y cifrado
9 términosSSL, TLS, HTTPS, cifrado AES, autoridades certificadoras.
SSL (Secure Sockets Layer) es el protocolo original de cifrado de comunicaciones web (1995), hoy obsoleto y formalmente sustituido por TLS, aunque coloquialmente se sigue usando "SSL" para referirse a ambos.
TLS (Transport Layer Security) es el protocolo criptográfico que cifra y autentica las comunicaciones en red modernas: HTTPS, banca online, email seguro (IMAPS/SMTPS) y muchas VPN se apoyan en TLS. Sucesor de SSL; la versión actual es TLS 1.3 (2018).
HTTPS (HTTP Secure) es la versión cifrada del protocolo web HTTP: usa TLS para cifrar el tráfico entre el navegador y el servidor, y se reconoce por el "https://" en la URL y el candado del navegador. En 2024 más del 95% del tráfico web es HTTPS.
Let's Encrypt es una autoridad certificadora gratuita y automatizada, lanzada en 2016 por la Internet Security Research Group, que emite certificados TLS válidos para cualquier web sin coste. Democratizó el HTTPS y hoy emite más de un millón de certificados al día.
Una autoridad certificadora (CA) es una entidad de confianza que emite y firma certificados digitales, garantizando que una web o servidor es quien dice ser. Los navegadores incluyen una lista de CAs raíz en las que confían (DigiCert, Let's Encrypt, GlobalSign, Sectigo).
HSTS (HTTP Strict Transport Security) es una cabecera de seguridad HTTP por la que un servidor le indica al navegador que solo se conecte a ese dominio por HTTPS, impidiendo ataques de "SSL stripping" que rebajen la conexión a HTTP.
Un certificado wildcard (comodín) es un certificado SSL/TLS que mediante un asterisco (*.ejemplo.com) cubre con un único certificado un dominio y todos sus subdominios directos de un nivel (www, blog, tienda, api, etc.).
Un certificado autofirmado (self-signed) es un certificado SSL/TLS que el propio servidor genera y firma con su propia clave, sin pasar por una autoridad certificadora reconocida. Cifra la conexión, pero los navegadores no confían en él y muestran un aviso de seguridad.
OCSP (Online Certificate Status Protocol) es un protocolo que permite al navegador preguntar en tiempo real a la autoridad certificadora si un certificado SSL/TLS sigue siendo válido o ha sido revocado antes de su caducidad.
Tipos de ataques
11 términosMan-in-the-middle, SQL injection, XSS, brute force, DDoS.
Un ataque man-in-the-middle (MITM) es un ataque informático en el que el atacante se sitúa entre dos partes que se comunican, pudiendo leer, modificar e incluso suplantar los mensajes sin que ninguno de los extremos lo perciba. HTTPS y VPN son las defensas habituales.
La SQL injection (SQLi) es un ataque a bases de datos en el que el atacante inyecta sentencias SQL maliciosas a través de formularios o parámetros de una web vulnerable, consiguiendo extraer, modificar o borrar datos. Es uno de los ataques web más comunes (OWASP Top 10).
El XSS (Cross-Site Scripting) es un ataque web en el que el atacante inyecta código JavaScript malicioso en una página legítima vulnerable; cuando otros usuarios visitan la página, su navegador ejecuta ese script, lo que permite robar cookies de sesión, credenciales o redirigir a sitios falsos.
Un ataque de fuerza bruta consiste en probar de forma automatizada miles o millones de combinaciones de contraseña, PIN o clave de cifrado hasta dar con la correcta. Es lento pero eficaz contra contraseñas cortas o débiles; la 2FA y las contraseñas largas y aleatorias lo bloquean.
El sniffing es la captura pasiva de paquetes que circulan por una red mediante herramientas como Wireshark; un atacante en la misma red puede "escuchar" todo el tráfico sin modificarlo, y si la conexión no está cifrada (sin HTTPS o VPN) leerá contraseñas y datos en claro.
El spoofing es la falsificación de identidad en el ámbito digital: el atacante se hace pasar por otra entidad (IP origen, dirección de email, web, número de teléfono o servidor DNS) para engañar a la víctima. Tipos comunes son el IP spoofing, email spoofing, DNS spoofing y caller ID spoofing.
El cryptojacking es un ataque en el que un atacante usa los recursos del dispositivo de la víctima (CPU/GPU) sin permiso para minar criptomonedas, mediante malware instalado o JavaScript en una web hackeada. La víctima paga la electricidad y sufre lentitud, ventiladores al máximo y desgaste del hardware.
Ataque automatizado que prueba en muchas webs combinaciones de email y contraseña robadas de otras filtraciones, contando con que la gente las reutiliza.
Registro de dominios casi idénticos a webs famosas, jugando con erratas comunes (gogle.com, paypl.com), para engañar a quien teclea mal.
Ataque que no golpea al objetivo directamente, sino a un proveedor o componente de confianza que este utiliza, para colarse a través de él.
Estafa en la que un delincuente convence a tu operadora de pasar tu número a una SIM suya, para recibir tus SMS y llamadas —incluidos los códigos de verificación.
Conceptos clave
12 términosZero-trust, end-to-end, hash, IAM, criptografía.
Un hash es una función matemática unidireccional que convierte cualquier dato (texto, archivo) en un código de longitud fija e irreversible. Se usa para verificar la integridad de archivos, almacenar contraseñas de forma segura (junto a salt + bcrypt/Argon2) y firmar digitalmente.
Una firma digital es un mecanismo criptográfico basado en clave pública/privada que prueba quién creó un documento electrónico y garantiza que no ha sido alterado desde entonces. La firma digital cualificada (eIDAS) tiene el mismo valor legal que una firma manuscrita.
La criptografía es la ciencia y técnica de proteger información mediante matemáticas: cifrar (confidencialidad), comprobar integridad y autenticar (firmas digitales). Es la base de HTTPS, mensajería cifrada, banca online, criptomonedas y toda la seguridad digital moderna.
IAM (Identity and Access Management) es el conjunto de procesos y tecnologías que gestionan las identidades digitales y los permisos de acceso en una organización o servicio: define quién es cada usuario, qué puede hacer y deja registro de ello. Soluciones típicas: Okta, Microsoft Entra ID, Auth0, AWS IAM.
El principio de menor privilegio (least privilege) es una regla fundamental de seguridad que establece que cada usuario, proceso o sistema debe tener solo los permisos mínimos imprescindibles para realizar su trabajo, y nada más. Limita el impacto si una cuenta o componente es comprometido.
OWASP (Open Web Application Security Project) es una fundación sin ánimo de lucro dedicada a mejorar la seguridad del software, que publica el famoso "OWASP Top 10" con los riesgos más críticos en aplicaciones web, además de guías, estándares (ASVS) y herramientas open source como ZAP.
El pentesting (pruebas de penetración) es una auditoría de seguridad activa y autorizada en la que profesionales atacan los sistemas de una organización buscando vulnerabilidades, para que esta pueda corregirlas antes de que las exploten atacantes reales. Termina con un informe detallado de hallazgos y recomendaciones.
La autenticación multifactor (MFA) es un sistema de inicio de sesión que exige al menos dos pruebas de identidad de categorías diferentes —algo que sabes (contraseña), algo que tienes (móvil, llave física) y/o algo que eres (huella, cara)— para conceder acceso. El 2FA es un MFA con exactamente dos factores.
Un parche de seguridad es una actualización de software publicada por su fabricante para corregir una vulnerabilidad descubierta. Mantener el sistema operativo, el navegador y las apps al día con sus parches es una de las medidas de seguridad más eficaces y más ignoradas.
La defensa en profundidad (defense in depth) es una estrategia de ciberseguridad basada en superponer varias capas independientes de protección —técnica, física y de procedimiento— para que, si una capa falla, las demás sigan conteniendo el ataque.
La regla 3-2-1 es una norma clásica de copias de seguridad: mantener 3 copias de los datos (el original más dos respaldos), guardadas en 2 tipos de soporte distintos, con al menos 1 copia físicamente fuera del lugar donde están las demás (off-site).
Una vulnerabilidad de día cero (zero-day) es un fallo de seguridad desconocido para el fabricante del software y, por tanto, sin parche disponible: los atacantes que la conozcan pueden explotarla sin que exista todavía una solución oficial.