● 157 entries

Defensa y operaciones

Acceso a CredencialesTáctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos.
Acceso InicialTáctica de MITRE ATT&CK (TA0001) que agrupa las técnicas con las que un atacante consigue su primer punto de apoyo dentro del entorno objetivo.
Actor de AmenazaIndividuo o grupo que causa o intenta causar dano a sistemas de informacion, organizaciones o personas mediante operaciones ciberneticas.
Actor EstatalActor de amenaza patrocinado o alineado con un gobierno que realiza operaciones ciberneticas con fines estrategicos, de inteligencia, militares o economicos.
Agregacion de logsRecopilacion, normalizacion y almacenamiento centralizado de los registros de eventos de muchos sistemas en una sola plataforma para busqueda, analisis y retencion.
Aircrack-ngSuite de auditoría Wi-Fi de codigo abierto que captura trafico 802.11 y recupera claves WEP y WPA/WPA2 a partir de handshakes.
Aislamiento de EndpointAccion de respuesta de EDR que corta la conectividad de red de un host comprometido (salvo con la herramienta de seguridad) para evitar movimiento lateral durante la investigacion.
Ajuste de reglas SIEMProceso continuo de afinado de reglas de detección en un SIEM para reducir falsos positivos, cubrir huecos y alinearse con el modelo de amenazas de la organización.
Allowlisting de AplicacionesControl defensivo que solo permite ejecutar ejecutables, scripts y librerias aprobados explicitamente, bloqueando todo lo demas por defecto.
Amenaza InternaRiesgo de que un empleado, contratista o socio actual o anterior con acceso autorizado lo use indebidamente para causar dano, de forma intencional o negligente.
Antivirus (AV)Software de endpoint que detecta y elimina archivos maliciosos mediante bases de firmas, analisis de ficheros y heuristicas basicas; es la base historica de la seguridad en endpoint.
Antivirus de Nueva Generacion (NGAV)Proteccion de endpoint que complementa el escaneo por firmas con modelos de machine learning, analitica conductual y prevencion de exploits para detener amenazas desconocidas y fileless.
Banda de RansomwareGrupo cibercriminal con motivacion economica que desarrolla, opera o distribuye ransomware para extorsionar organizaciones cifrando archivos y amenazando con filtrar datos.
BIA (análisis de impacto en el negocio)Análisis estructurado que identifica los procesos de negocio críticos, sus dependencias y el impacto operativo, financiero y reputacional de su interrupción.
BlackCat / ALPHVOperacion de ransomware-as-a-service basada en Rust activa de finales de 2021 a 2024, conocida por cifradores multiplataforma y extorsion agresiva multi-etapa.
BloodHoundHerramienta de codigo abierto que usa teoria de grafos para mapear y analizar rutas de ataque en Active Directory y Azure AD hacia activos criticos como Domain Admin.
Blue TeamGrupo defensivo responsable de monitorizar, detectar, responder y mejorar continuamente las defensas frente a ataques.
Burp SuiteProxy interceptor y conjunto de herramientas de pruebas web de PortSwigger, usado para descubrir, manipular y explotar vulnerabilidades en aplicaciones HTTP y HTTPS.
Caza de AmenazasBúsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
CensysPlataforma de escaneo global de internet que publica datos estructurados sobre hosts y certificados TLS, util para ASM y pivotaje de infraestructura.
Centro de Operaciones de Seguridad (SOC)Equipo e instalación centralizada que monitoriza, detecta, investiga y responde de forma continua a incidentes de ciberseguridad en todo el entorno de TI.
Cibercrimen como Servicio (CaaS)Modelo del bajo mundo en el que vendedores especializados ofrecen herramientas, infraestructura o experiencia para que los clientes ejecuten ciberataques sin desarrollar capacidades propias.
Cluster UNC (Sin Categorizar)Etiqueta de seguimiento de Mandiant para un conjunto de intrusiones relacionadas cuyo actor, motivacion o patrocinador aun no esta confirmado para graduarse a APT o FIN.
Cobalt StrikePlataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control.
Consulta SPL de SplunkBúsqueda escrita en Search Processing Language de Splunk para filtrar, transformar, correlacionar y visualizar datos de máquina con fines de detección, hunting e informes.
Consulta WHOISConsulta a la base WHOIS o RDAP que devuelve los datos de registro de un dominio o IP: registrador, registrante, fechas y servidores de nombres.
Controles compensatoriosSalvaguardas alternativas que ofrecen un nivel de protección equivalente cuando no se puede implementar un control principal o exigido.
Controles correctivosMedidas de seguridad que actúan tras un incidente para limitar daños, erradicar amenazas y restablecer los sistemas a un estado conocido como seguro.
Controles de seguridadSalvaguardas o contramedidas —técnicas, administrativas o físicas— para prevenir, detectar o responder a amenazas sobre los activos de información.
Controles detectivosMedidas de seguridad diseñadas para identificar y alertar sobre actividades maliciosas, infracciones de políticas o anomalías una vez ocurren en el entorno.
Controles preventivosControles diseñados para impedir que un evento de seguridad llegue a producirse, eliminando la oportunidad o la capacidad de actuar.
Correlacion de logsVincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra.
Cuarentena (Endpoint)Accion de seguridad en endpoint que mueve un archivo sospechoso fuera de su ubicacion original a un almacen controlado y neutralizado para que no pueda ejecutarse pero si analizarse o restaurarse.
Cuenta señuelo (Honey Account)Credencial o cuenta señuelo —a menudo sin persona completa— diseñada para activar alertas cuando un atacante intenta usarla.
Cyber Kill ChainModelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
Defensa activaEstrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor.
Descubrimiento (Táctica MITRE)Táctica MITRE ATT&CK (TA0007) que reúne las técnicas que utiliza el atacante para conocer el entorno comprometido tras obtener acceso.
Deteccion de Sandbox / EmuladorTecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis.
Deteccion HeuristicaMetodo de deteccion que usa indicadores aproximados — patrones de codigo sospechosos, packers, cadenas anomalas y combinaciones de APIs — para marcar archivos probablemente maliciosos sin firma exacta.
Deteccion por ComportamientoEnfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos.
Diamond Model de Análisis de IntrusionesMarco de análisis de intrusiones que vincula cada evento malicioso a cuatro vértices: adversario, capacidad, infraestructura y víctima.
DNS pasivoBase de datos historica de resoluciones DNS observadas que permite consultar a que IPs apunto un dominio y que dominios compartieron una IP a lo largo del tiempo.
EDR (Detección y Respuesta en Endpoints)Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
Ejecución (Táctica MITRE)Táctica MITRE ATT&CK (TA0002) que reúne las técnicas con las que el adversario consigue ejecutar su código en un sistema local o remoto.
Elastic Stack (ELK)Plataforma open source de Elastic N.V. que combina Elasticsearch, Logstash, Kibana y Beats para ingerir, indexar, buscar y visualizar logs de seguridad y operacion a gran escala.
EPP (Plataforma de Protección de Endpoints)Suite preventiva de seguridad de endpoint que combina antivirus, antimalware, firewall de host y protección frente a exploits para bloquear amenazas antes de su ejecución.
Escaneo de imagenes de contenedorPractica de analizar imagenes OCI/Docker en busca de vulnerabilidades conocidas, secretos, malware e infracciones de politica antes de desplegarlas en un runtime de contenedores.
Escaneo de vulnerabilidadesProceso automatizado que sondea sistemas, aplicaciones o contenedores contra firmas conocidas para producir una lista de posibles debilidades.
Evaluación de vulnerabilidadesRevisión sistemática de un entorno para identificar, clasificar y priorizar debilidades de seguridad, normalmente sin explotación activa.
Evasión de DefensasTáctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
ExfiltraciónTáctica MITRE ATT&CK (TA0010) que cubre las técnicas usadas para sacar datos robados de la red víctima hacia una ubicación controlada por el atacante.
FalcoMotor de seguridad en tiempo de ejecucion cloud-native de codigo abierto que detecta comportamientos anomalos en contenedores, hosts y Kubernetes transmitiendo syscalls y eventos de auditoria a un motor de reglas.
Falso negativoActividad maliciosa que la deteccion no llego a marcar, dejando la amenaza inadvertida y permitiendo al atacante continuar sin alertar a los defensores.
Falso positivoAlerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
Fatiga de alertasDesensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales.
Firewall de base de datosDispositivo o proxy en linea que inspecciona el trafico SQL contra una politica de lista blanca y bloquea inyecciones, abuso de privilegios y sentencias no autorizadas antes de que lleguen al motor.
Framework VERISVocabulary for Event Recording and Incident Sharing de Verizon: un esquema abierto para describir incidentes de seguridad de forma estructurada y comparable.
Gestión de ActivosDescubrimiento, inventario, clasificación y seguimiento de ciclo de vida continuos de todos los activos de hardware, software, cloud y de datos que el programa de seguridad debe proteger.
Gestión de cambiosProceso estructurado para proponer, revisar, aprobar, planificar, implementar y revisar cambios en los sistemas de TI con riesgo controlado y trazabilidad clara.
Gestión de configuraciónDisciplina para establecer, registrar e imponer el estado deseado de sistemas y aplicaciones de modo que las configuraciones se mantengan conocidas, consistentes y seguras.
Gestión de la superficie de ataque (ASM)Descubrimiento, inventario, clasificación y monitorización continuos de todos los activos que exponen a la organización a posibles ciberataques.
Gestión de la superficie de ataque externa (EASM)Descubrimiento y monitorización continuos de todos los activos expuestos a internet que pertenecen a la organización, vistos desde la perspectiva de un atacante externo.
Gestión de parchesProceso integral de identificar, probar, desplegar y verificar las actualizaciones de software que corrigen vulnerabilidades o errores.
Google Chronicle SecOpsSIEM y SOAR cloud-native de Google Cloud (antes Backstory) que almacena telemetria a escala de petabytes con precio plano por empleado y la consulta con el lenguaje de deteccion YARA-L.
Grupo APTActor de amenaza con nombre y seguimiento (habitualmente patrocinado por un Estado) que ejecuta campanas dirigidas, prolongadas y bien recursos contra organizaciones o sectores concretos.
Grupo de Amenaza FINDesignacion estilo Mandiant para un grupo de amenaza con motivacion financiera cuyas intrusiones apuntan a pagos, retail, hosteleria e instituciones financieras.
Hack-backAcción ofensiva de represalia de una víctima privada contra la infraestructura del atacante, generalmente ilegal según la mayoría de las leyes nacionales de uso indebido de sistemas informáticos.
HackerPersona con profunda curiosidad tecnica que aplica resolucion creativa de problemas para entender, modificar o romper sistemas, software, redes o hardware.
Hacker de Sombrero BlancoProfesional de seguridad que usa habilidades ofensivas solo con autorizacion expresa para encontrar y reportar vulnerabilidades para que los defensores las corrijan.
Hacker de Sombrero GrisHacker que opera entre los extremos eticos y no eticos, sondeando sistemas sin autorizacion expresa pero, por lo general, con intencion de divulgar y no de causar dano.
Hacker de Sombrero NegroActor de amenazas malicioso que accede a sistemas sin autorizacion en busca de beneficio personal, ideologia o dano, infringiendo las leyes de delitos informaticos.
Hacker EticoProfesional autorizado a usar tecnicas ofensivas contra sistemas para identificar debilidades y ayudar a los propietarios a remediarlas antes de que los adversarios las exploten.
HacktivistaActor de amenaza que ejecuta ciberataques para impulsar una causa politica, social o ideologica en lugar de buscar lucro o objetivos de inteligencia estatal.
Hardening (endurecimiento de sistemas)Reducción de la superficie de ataque de un sistema eliminando funciones innecesarias, endureciendo configuraciones y aplicando valores seguros por defecto.
HashcatHerramienta de recuperacion de contrasenas, de codigo abierto y acelerada por GPU, que rompe cientos de algoritmos de hash y autenticacion mediante ataques de diccionario, reglas, mascara e hibridos.
HoneyfileDocumento señuelo colocado en el almacenamiento para generar una alerta si un atacante o usuario interno lo lee, copia o exfiltra.
HoneyuserIdentidad falsa provista en los servicios de directorio y sistemas de RR.HH. para que cualquier intento de inicio de sesión o enumeración revele de inmediato a un atacante.
Impacto (Táctica MITRE)Táctica MITRE ATT&CK (TA0040) que cubre las técnicas cuyo objetivo es alterar la disponibilidad o integridad de sistemas, datos o procesos de negocio.
Indicador de Ataque (IoA)Evidencia conductual de que un atacante está intentando una intrusión en curso, centrada en la intención y la técnica, no en artefactos posteriores.
Indicador de Compromiso (IoC)Artefacto observable —como un hash, IP, dominio, URL o clave de registro— que sugiere que un sistema ha sido o está siendo comprometido.
Ingenieria de deteccionDisciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias.
Initial Access Broker (IAB)Especialista del cibercrimen que obtiene acceso no autorizado a redes corporativas y lo vende a otros delincuentes, sobre todo a afiliados de ransomware.
Inteligencia de AmenazasConocimiento basado en evidencias sobre amenazas y actores —indicadores, TTPs y contexto— utilizado para orientar decisiones de seguridad y detección.
Inteligencia de Amenazas (CTI)Conocimiento basado en evidencia sobre los adversarios, sus motivaciones y métodos, utilizado para guiar las decisiones defensivas y priorizar controles.
Inteligencia de Amenazas TácticaInteligencia técnica de corta vida sobre herramientas, indicadores y firmas del adversario, consumida por analistas SOC y herramientas de seguridad para detectar y bloquear ataques.
Inteligencia Estratégica de AmenazasInteligencia de alto nivel y largo plazo sobre el panorama de amenazas, la intención del adversario y el contexto geopolítico, que orienta decisiones ejecutivas y del consejo.
Inteligencia Operacional de AmenazasInteligencia a medio plazo sobre campañas concretas, actores y sus TTPs, utilizada para preparar a los defensores, hacer threat hunting y priorizar controles.
Kali LinuxDistribucion Linux basada en Debian, mantenida por OffSec, que empaqueta cientos de herramientas de pentest, red team y forense digital.
Línea base de seguridadConfiguración mínima de seguridad documentada y aceptable que todo sistema de un tipo dado debe cumplir antes de entrar en producción.
LockBitOperacion rusoparlante de ransomware-as-a-service que se convirtio en la marca de ransomware mas activa entre 2022 y 2024, hasta su grave disrupcion por la Operacion Cronos.
MDR (Detección y Respuesta Gestionadas)Servicio gestionado en el que un proveedor externo opera la detección, la caza de amenazas y la respuesta a incidentes en nombre del cliente, normalmente sobre telemetría de EDR/XDR y SIEM.
MetasploitMarco de explotación de codigo abierto que reune exploits, payloads y modulos de post-explotacion en una unica plataforma para pentesters e investigadores.
Microsoft SentinelServicio SIEM y SOAR cloud-native de Microsoft en Azure, que consulta logs con Kusto Query Language (KQL) y se integra nativamente con Microsoft 365 Defender y orígenes de datos de Azure.
MimikatzHerramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
MISPMISP es una plataforma de inteligencia de amenazas de codigo abierto para recopilar, almacenar, correlacionar y compartir indicadores estructurados y contexto analitico entre comunidades de confianza.
mitmproxyProxy interactivo open-source con soporte TLS que ingenieros de seguridad y QA usan para interceptar, inspeccionar, modificar y reproducir trafico HTTP y HTTPS.
MITRE EngageFramework de adversary engagement de MITRE que codifica actividades de decepcion, denegacion y engagement para los defensores, sustituyendo a la base de conocimiento MITRE Shield.
Modelo de madurez de SOCMarco que evalúa un Security Operations Center en personas, procesos, tecnología y servicios para definir una hoja de ruta de mejora plurianual.
Monitorizacion de actividad de bases de datos (DAM)Control de seguridad que observa de forma continua consultas, acciones de usuarios privilegiados y cambios de esquema para aplicar politicas y detectar abusos en tiempo real.
Monitorizacion de Integridad de Archivos (FIM)Control de seguridad que detecta cambios inesperados en archivos criticos del sistema operativo, aplicaciones y configuracion comparandolos con una linea base criptografica.
Movimiento LateralTáctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
MTTC (tiempo medio de contención)Tiempo medio entre la detección de un incidente y el momento en que la amenaza ya no puede propagarse, exfiltrar datos ni causar más daño.
MTTD (tiempo medio de detección)Tiempo medio transcurrido entre el inicio de un incidente de seguridad y el momento en que los defensores lo identifican.
MTTR (tiempo medio de recuperación)Tiempo medio necesario para restablecer los sistemas y servicios afectados a su funcionamiento normal tras un incidente o una caída.
MTTR (tiempo medio de respuesta)Tiempo medio entre la detección de un incidente de seguridad y el inicio de una acción de respuesta efectiva.
NDR (Detección y Respuesta de Red)Tecnología de seguridad de red que analiza el tráfico —incluidos paquetes descifrados, metadatos y flujos— mediante análisis conductual y ML para detectar amenazas y orquestar la respuesta.
NessusEscaner comercial de vulnerabilidades de Tenable que identifica parches ausentes, configuraciones inseguras y servicios expuestos en redes, endpoints y cargas en la nube.
NetFlowProtocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red.
NmapEscaner de red de codigo abierto que mapea hosts, enumera puertos y servicios y realiza fingerprinting de sistemas operativos en redes IP.
OSSECSistema de deteccion de intrusiones basado en host, gratuito y de codigo abierto, que realiza analisis de logs, integridad de ficheros, deteccion de rootkits y respuesta activa en Linux, Windows, macOS y Solaris.
OTXOTX es un intercambio abierto y comunitario de inteligencia de amenazas —originalmente AlienVault, ahora LevelBlue OTX— donde los investigadores publican indicadores agrupados en Pulses.
Patrón de ataqueDescripción reutilizable de cómo los atacantes explotan una clase de debilidades, usada para mapear técnicas, crear detecciones y endurecer sistemas.
PCAPFormato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red.
PersistenciaTáctica MITRE ATT&CK (TA0003) que agrupa las técnicas con las que un atacante mantiene el acceso al sistema tras reinicios, cambios de credenciales y respuesta a incidentes.
Pirámide del DolorModelo de David Bianco que clasifica los indicadores de compromiso según cuánto le cuesta al atacante adaptarse cuando los defensores los detectan o bloquean.
Playbook de seguridadProcedimiento documentado y repetible que indica a los respondedores exactamente que hacer y en que orden para un tipo concreto de alerta o incidente.
Post-mortemRevision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez.
Postura de seguridadLa solidez global de las defensas de ciberseguridad de una organización, expresada como su capacidad de predecir, prevenir, detectar, responder y recuperarse ante amenazas.
Pruebas de penetraciónCiberataque simulado y autorizado contra sistemas, aplicaciones o personas para identificar debilidades explotables antes de que lo hagan adversarios reales.
Purple TeamModelo de ejercicio colaborativo en el que red team y blue team trabajan abiertamente juntos para mejorar la detección y la respuesta casi en tiempo real.
Ransomware ContiOperacion rusoparlante de ransomware activa entre 2020 y 2022 que opero uno de los programas de doble extorsion mas prolificos antes de disolverse tras grandes filtraciones internas.
Recolección (Táctica MITRE)Táctica MITRE ATT&CK (TA0009) que cubre las técnicas usadas para reunir información de interés antes de su exfiltración.
ReconocimientoPrimera fase de un ataque, en la que los adversarios recopilan información sobre personas, tecnología y exposición del objetivo antes de intentar la intrusión.
Red TeamGrupo de seguridad ofensiva que emula adversarios reales de extremo a extremo para evaluar cómo la organización detecta, contiene y responde a ataques.
Regla SigmaFirma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
Regla SnortFirma en el lenguaje de reglas de Snort que describe patrones de trafico de red para alertar o bloquear en modo IDS o IPS.
Regla YARAFirma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos.
REvil / SodinokibiOperacion rusoparlante de ransomware-as-a-service activa entre 2019 y 2021, conocida por la doble extorsion y el ataque de cadena de suministro a Kaseya VSA.
RPO (objetivo de punto de recuperación)Cantidad máxima aceptable de pérdida de datos, expresada como una ventana temporal, que una empresa puede tolerar tras una interrupción.
RTO (objetivo de tiempo de recuperación)Tiempo máximo aceptable durante el que un proceso o sistema puede estar indisponible tras una interrupción antes de que las consecuencias sean inaceptables.
Sandbox EscapeVulnerabilidad o cadena de exploits que permite a un codigo escapar de un sandbox aislante — navegador, VM o hipervisor — para lograr ejecucion en el entorno anfitrion.
Script KiddieAtacante sin habilidades que usa herramientas, scripts o servicios prefabricados por otros para lanzar ataques sin comprender las tecnicas subyacentes.
Security OnionDistribucion Linux gratuita y open source para threat hunting, monitorizacion de red y gestion de logs, creada por Doug Burks y mantenida por Security Onion Solutions.
Seguridad con eBPFUso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls.
ShodanMotor de busqueda que escanea internet de forma continua e indexa banners de servicios para consultar dispositivos expuestos, puertos, versiones de software y certificados.
SIEMPlataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
SLA (acuerdo de nivel de servicio)Contrato formal que define el nivel de servicio esperado entre un proveedor y su cliente, incluidos compromisos medibles de rendimiento y seguridad.
SOARPlataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.
Splunk Enterprise SecuritySolucion SIEM comercial de Splunk Inc. (adquirida por Cisco en 2024) que ingiere, indexa y correlaciona datos de maquina mediante Splunk Processing Language (SPL) para monitorizacion e investigacion de seguridad.
STIXSTIX es un estándar OASIS que define un lenguaje estructurado y legible por máquinas para representar e intercambiar inteligencia de amenazas entre organizaciones y herramientas.
SuricataMotor de IDS, IPS y monitorizacion de seguridad de red de alto rendimiento y codigo abierto, mantenido por la Open Information Security Foundation (OISF).
SysmonServicio de Sysinternals para Windows que genera telemetria detallada en el log de eventos sobre procesos, red, archivos, registro y carga de imagenes para monitoreo de seguridad.
Tácticas, Técnicas y Procedimientos (TTPs)Descripción por capas de cómo opera un actor de amenazas: tácticas (el porqué), técnicas (el cómo) y procedimientos (la implementación concreta).
TAXII ProtocolTAXII es un protocolo de capa de aplicacion de OASIS sobre HTTPS para publicar, descubrir y consumir inteligencia de amenazas —normalmente contenido STIX— entre organizaciones.
Tecnología de engañoEnfoque defensivo que despliega señuelos, migas de pan y activos falsos en todo el entorno para detectar, despistar y estudiar a los atacantes con alta fidelidad.
TLPTLP es un esquema simple de etiquetado mantenido por FIRST que indica el grado de sensibilidad de la informacion compartida y a quien puede redistribuirse.
Transparencia de certificadosEcosistema de registros publicos append-only de certificados TLS, definido en RFC 6962 y 9162, que permite auditar que certificados existen para cualquier dominio.
TrivyEscaner de codigo abierto y binario unico de Aqua Security que detecta CVE, malas configuraciones, secretos, SBOM y problemas de licencia en imagenes de contenedor, ficheros, repositorios Git y clusters Kubernetes.
UBA (Análisis del Comportamiento de Usuarios)Tecnología analítica que establece líneas base de actividad normal de los usuarios y marca anomalías para detectar abuso de cuentas, amenazas internas y credenciales comprometidas.
UEBA (Analítica de Comportamiento de Usuarios y Entidades)Tecnología de detección que perfila el comportamiento normal de usuarios y entidades y revela anomalías estadísticas o por aprendizaje automático que pueden indicar compromiso o riesgo interno.
UTM (Gestión Unificada de Amenazas)Appliance de seguridad de red todo-en-uno que combina firewall, IPS, filtrado web, antivirus y VPN en un único dispositivo, dirigida sobre todo a pymes y oficinas remotas.
WazuhPlataforma XDR y SIEM de codigo abierto —fork de OSSEC desde 2015— que unifica telemetria de endpoint, cloud y contenedores con dashboards integrados sobre Wazuh Indexer y Dashboard.
White TeamFacilitadores neutrales que diseñan, supervisan y arbitran ejercicios y competiciones de ciberseguridad para que sean seguros, justos y alineados con los objetivos.
WiresharkAnalizador de protocolos de red de codigo abierto que captura e inspecciona paquetes en tiempo real para solucion de problemas, analisis de seguridad y formacion.
XDR (Detección y Respuesta Extendidas)Plataforma de seguridad que unifica telemetría de endpoint, red, identidad, correo y nube para entregar detecciones correlacionadas y acciones de respuesta integradas.
Yellow TeamLos constructores —desarrolladores, arquitectos e ingenieros DevOps— que diseñan y entregan los sistemas que el red y el blue team atacan y defienden.
ZeekMonitor de seguridad de red de codigo abierto (antes Bro) que convierte el trafico en logs estructurados y conscientes del protocolo y en scripts para deteccion de amenazas.