● 120 entries

Seguridad de red

Apropiación de subdominioAtaque en el que un registro DNS huérfano (a menudo un CNAME) apunta a un recurso cloud o SaaS no reclamado, permitiendo a un atacante registrarlo y suplantar el subdominio.
ARC (Authenticated Received Chain)Estándar de correo (RFC 8617) que preserva los resultados de autenticación a través de saltos de reenvío permitiendo a cada intermediario firmar criptográficamente la cadena de comprobaciones previas.
ARPProtocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas.
Ataque de Desautenticacion Wi-FiUn ataque de desautenticacion Wi-Fi abusa de las tramas de gestion 802.11 no protegidas para forzar la desconexion de clientes de un punto de acceso, provocando denegacion de servicio o ataques posteriores.
Autoridad de certificación (CA)Entidad de confianza que emite y firma certificados digitales, vinculando claves públicas a identidades verificadas como dominios u organizaciones.
BIMIEstándar de correo que permite mostrar un logo de marca verificado junto a los mensajes autenticados en clientes compatibles, siempre que el dominio aplique una política DMARC de quarantine o reject.
Canary TokenTipo de honeytoken que envía una señal silenciosa al ser activado, actuando como alarma temprana ante accesos o manipulaciones no autorizadas.
Certificado autofirmadoCertificado digital firmado con la misma clave privada cuya clave pública contiene, sin intervención de una autoridad de certificación externa.
Certificado de validación extendidaCertificado TLS emitido solo después de que la CA realiza una verificación estricta y estandarizada de la identidad legal, existencia física y autoridad de la organización solicitante.
Certificado wildcardCertificado X.509 cuyo nombre de sujeto usa un asterisco para cubrir cualquier etiqueta única bajo un dominio determinado, por ejemplo *.example.com.
Certificado X.509Estructura estándar de certificado digital que vincula una clave pública con una identidad mediante la firma de una autoridad de certificación de confianza.
CortafuegosDispositivo o software de seguridad de red que supervisa y controla el tráfico entrante y saliente según un conjunto de reglas, separando redes de confianza de las no confiables.
Cortafuegos con estadoCortafuegos que mantiene una tabla de conexiones activas y permite automáticamente el tráfico de retorno que coincide con una sesión establecida.
Cortafuegos de aplicaciones web (WAF)Proxy inverso que inspecciona tráfico HTTP/HTTPS para bloquear ataques web como inyección SQL, XSS o abuso de bots antes de llegar a la aplicación.
Cortafuegos de nueva generación (NGFW)Cortafuegos avanzado que combina inspección con estado con conocimiento de aplicaciones, IPS integrado, control por identidad de usuario e inspección TLS para aplicar políticas más ricas.
Cortafuegos sin estadoCortafuegos que evalúa cada paquete de forma independiente contra reglas estáticas, sin llevar registro del estado de las conexiones.
DANEFamilia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas.
Detección basada en anomalíasEnfoque de detección que construye una línea base de actividad normal y marca como potencialmente maliciosas las desviaciones respecto a ella.
Detección basada en firmasMétodo de detección que compara tráfico, archivos o comportamientos observados con una base de datos de patrones maliciosos conocidos (firmas) para marcar actividad maliciosa.
DHCPProtocolo basado en UDP (RFC 2131, puertos 67/68) que asigna automáticamente direcciones IP y parámetros de configuración de red a los clientes que se incorporan a una red.
Dirección IPIdentificador numérico asignado a una interfaz de red para el enrutamiento en redes IP: 32 bits en IPv4 (RFC 791) o 128 bits en IPv6 (RFC 8200).
Dirección MACIdentificador de hardware de 48 bits (IEEE 802) grabado en una interfaz de red y utilizado para la entrega dentro de un mismo segmento de capa de enlace.
DKIMEstándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
DMARCEstándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
DNS over HTTPS (DoH)Protocolo que cifra las consultas DNS transportándolas dentro de HTTPS, evitando que un observador en la ruta pueda leer o modificar las búsquedas.
DNS over TLS (DoT)Protocolo que cifra las consultas DNS dentro de una sesión TLS dedicada, protegiéndolas de escuchas y manipulaciones en la red.
DNS RebindingAtaque desde el navegador que abusa de TTL DNS bajos para que un nombre se resuelva primero al servidor del atacante y luego a una IP interna, eludiendo la política de mismo origen.
DNSBL (lista negra DNS)Mecanismo basado en DNS (RFC 5782) que permite a los sistemas de correo consultar una lista de IPs o dominios conocidos por spam o malware y aplicar bloqueo, puntuación o enrutamiento.
DNSSECConjunto de extensiones del DNS que usa firmas digitales para que los resolutores verifiquen la autenticidad e integridad de los registros DNS.
Fichero known_hostsFichero del cliente OpenSSH (~/.ssh/known_hosts) que fija las claves publicas de los servidores para que SSH detecte cambios de host-key que podrian indicar un ataque MITM.
Fijación de certificadosTécnica por la que una aplicación incrusta un certificado o clave pública esperados y rechaza cualquier conexión TLS que no coincida, neutralizando CAs comprometidas o fraudulentas.
Filtrado de paquetesTécnica de seguridad de red que inspecciona los campos de cabecera de cada paquete y lo permite o descarta según un conjunto de reglas estáticas.
FTPProtocolo legado de transferencia de archivos (RFC 959) que usa TCP 21 para control y 20 para datos, transmitiendo credenciales y archivos en claro y en gran medida obsoleto por motivos de seguridad.
Fuga de rutas BGPPropagación no intencionada de BGP en la que un sistema autónomo anuncia rutas fuera de la relación comercial prevista, desviando a menudo tráfico global hacia el AS equivocado.
Gestion de BotsLa gestion de bots consiste en detectar trafico automatizado y distinguir los bots buenos de los maliciosos, para permitirlos, desafiarlos o bloquearlos en consecuencia.
GnuPG (GPG)Implementación libre del estándar OpenPGP (RFC 4880, RFC 9580) utilizada para firmar, cifrar y descifrar datos, incluidos correos y paquetes de software.
GreylistingTécnica antispam que devuelve un rechazo SMTP temporal a las triadas de remitente desconocidas y solo acepta el mensaje cuando llega un reintento posterior correctamente realizado.
Handshake TLSIntercambio inicial del protocolo Transport Layer Security que autentica al servidor (y opcionalmente al cliente) y deriva las claves simétricas que cifran el resto de la sesión.
HoneynetRed controlada de honeypots interconectados diseñada para estudiar el comportamiento de los atacantes en un entorno multihost realista.
HoneypotSistema o servicio señuelo expuesto deliberadamente para atraer atacantes, observar sus técnicas y desviarlos de los activos productivos.
HoneytokenDato falso —credencial, archivo, registro o clave de API— que no tiene uso legítimo y dispara una alerta en cuanto se utiliza.
HTTP Strict Transport Security (HSTS)Política de seguridad web enviada en una cabecera HTTP que indica al navegador acceder a un dominio solo por HTTPS durante el periodo declarado.
HTTP/3 / QUICHTTP/3 (RFC 9114) es la asignacion de HTTP sobre QUIC (RFC 9000), un transporte cifrado basado en UDP que integra TLS 1.3 y multiplexa streams sin bloqueo en cabeza de linea.
HTTPSHTTP transportado sobre una conexión protegida por TLS, que aporta confidencialidad, integridad y autenticación del servidor al tráfico web.
ICMPProtocolo de control y diagnóstico de capa de red (RFC 792 para IPv4 y RFC 4443 para IPv6) usado por hosts y routers para notificar errores y señalar condiciones del camino.
IDS basado en host (HIDS)Agente de detección de intrusiones instalado en un servidor o endpoint que vigila archivos, procesos, registros y llamadas al sistema en busca de actividad maliciosa.
IDS basado en red (NIDS)Sensor de detección de intrusiones que inspecciona tráfico capturado de un segmento de red para identificar patrones maliciosos y violaciones de política.
IEEE 802.1XEstándar de control de acceso a red basado en puerto que autentica al dispositivo o usuario antes de permitir el tráfico en un puerto cableado o inalámbrico.
Infraestructura de clave pública (PKI)Conjunto de políticas, software, hardware y autoridades de confianza que emite, distribuye, valida y revoca certificados digitales que asocian identidades con claves públicas.
Inspección profunda de paquetes (DPI)Técnica de inspección que examina toda la carga útil de los paquetes —no solo las cabeceras— para identificar aplicaciones, contenido y amenazas.
IPsecConjunto de protocolos de IETF que autentica y cifra paquetes IP para proporcionar comunicaciones seguras a nivel de red.
Kill switch de VPNSalvaguarda que bloquea automaticamente todo el trafico de red del host cuando se cae el tunel VPN, evitando fugas accidentales por una conexion sin cifrar.
Limitacion de TasaLa limitacion de tasa restringe el numero de peticiones que un identificador (IP, usuario, API key o token) puede realizar en una ventana de tiempo, protegiendo APIs y apps frente al abuso, scraping y fuerza bruta.
Lista de revocación de certificados (CRL)Lista firmada y publicada periódicamente por una CA con los certificados invalidados antes de su caducidad natural, que los validadores consultan para detectar certificados revocados.
MicrosegmentaciónForma de segmentación fina que aplica políticas de lista blanca entre cargas de trabajo o aplicaciones individuales, normalmente a nivel de host o hipervisor.
Mitigacion de DDoSLa mitigacion de DDoS es el conjunto de tecnicas y servicios que absorben, filtran y redirigen los ataques distribuidos de denegacion de servicio antes de saturar la red, la infraestructura o la aplicacion objetivo.
MTA-STSMecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS.
Network Access Control (NAC)Conjunto de políticas y tecnologías que autentican dispositivos y usuarios antes de conceder acceso a la red y aplican de forma continua requisitos de cumplimiento.
Network Address Translation (NAT)Técnica con la que un router reescribe direcciones IP y puertos al pasar los paquetes, permitiendo que muchos hosts internos compartan una o pocas direcciones públicas.
Notación CIDRLa notación Classless Inter-Domain Routing expresa un prefijo IP como una dirección seguida de una barra y el número de bits significativos, p. ej., 10.0.0.0/8.
OCSP (Online Certificate Status Protocol)Protocolo basado en HTTP que permite a un cliente consultar en tiempo real a la CA si un certificado X.509 concreto es válido, está revocado o es desconocido.
OpenVPNVPN de código abierto que se ejecuta en espacio de usuario y emplea TLS/OpenSSL para autenticar pares y tunelizar tráfico IP o Ethernet.
Pasarela de correo seguroServicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
PGPPretty Good Privacy, esquema de cifrado y firma de extremo a extremo para correo, ficheros y mensajes, creado por Phil Zimmermann en 1991.
Port KnockingTécnica que mantiene los puertos de servicio cerrados por defecto y los abre solo cuando el cliente envía una secuencia predefinida de intentos de conexión.
Protocolo DiameterProtocolo AAA (autenticacion, autorizacion y contabilidad) estandarizado en el RFC 6733 que reemplazo a RADIUS en IMS, EPC de LTE y redes de roaming/IPX.
Proxy directoProxy configurado en el lado del cliente que retransmite las solicitudes salientes a servicios externos en nombre del usuario.
Proxy inversoServidor situado frente a uno o varios servicios de backend que recibe las solicitudes de los clientes en su nombre y las reenvía hacia el interior.
Proxy transparenteProxy interpuesto en la ruta de red que intercepta el tráfico de los clientes sin necesidad de configuración en ellos.
RADIUSProtocolo AAA ampliamente desplegado que utilizan los equipos de red para autenticar, autorizar y contabilizar el acceso de usuarios o dispositivos.
Red Zero TrustArquitectura de red que nunca confía en usuarios, dispositivos o servicios por defecto y exige verificación continua basada en identidad para cada conexión.
Reenvio de agente SSHFuncion de OpenSSH activada con -A o ForwardAgent yes que expone un socket UNIX en el host remoto para que sus comandos usen el agente SSH local y autentiquen saltos posteriores.
Reenvío de puertosConfiguración de NAT en la que un router redirige el tráfico que llega a un puerto público concreto hacia un host y un puerto internos elegidos.
S/MIMEEstándar IETF para firmar y cifrar de extremo a extremo mensajes MIME mediante certificados X.509 emitidos por una CA pública o corporativa.
SASESASE es una arquitectura entregada desde la nube, acunada por Gartner en 2019, que converge SD-WAN con servicios de seguridad como SWG, CASB, ZTNA y FWaaS en el borde de la red.
Secuestro BGPAtaque en el que un sistema autónomo anuncia prefijos IP que no le pertenecen legítimamente, atrayendo y, potencialmente, interceptando tráfico global de Internet.
Segmentación de redPráctica de dividir la red en varias zonas con tráfico controlado entre ellas para contener brechas y aplicar el principio de mínimo privilegio.
Seguridad 5GArquitectura de seguridad de las redes moviles 5G, definida en 3GPP TS 33.501, que cubre privacidad del abonado, autenticacion mutua y proteccion del trafico de senalizacion y de usuario.
Seguridad CDNLa seguridad CDN aprovecha el edge global de una red de distribucion de contenidos —que termina TLS cerca del usuario— para aplicar proteccion DDoS, WAF, gestion de bots e higiene TLS.
Seguridad HTTP/2El modelo de seguridad de HTTP/2 (RFC 9113) sobre TLS 1.2+ y los problemas operativos de HPACK, multiplexacion, tramas CONTINUATION y el ataque Rapid Reset de 2023.
Seguridad LTEArquitectura de seguridad de las redes moviles 4G/LTE, definida en 3GPP TS 33.401, que cubre la autenticacion EPS-AKA y el cifrado del trafico RRC, NAS y de usuario.
Seguridad VoIPConjunto de controles que protegen las llamadas de Voz sobre IP (senalizacion SIP y media RTP) frente a escuchas, fraude, denegacion de servicio y suplantacion.
Seguridad VoLTESeguridad de la voz sobre LTE: conjunto de protecciones de autenticacion IMS, senalizacion y media que aseguran las llamadas SIP/RTP transportadas sobre datos 4G o 5G.
Servidor proxyServidor intermediario que retransmite las solicitudes de los clientes hacia otros servidores, ocultando al cliente y permitiendo inspección, filtrado y caché centralizados.
SFTPSubsistema seguro de transferencia de archivos que se ejecuta dentro de una sesión SSH en el puerto TCP 22 y ofrece operaciones autenticadas y cifradas sobre archivos y directorios.
Sistema de detección de intrusiones (IDS)Control de seguridad pasivo que supervisa la actividad de red o de host en busca de comportamiento malicioso y genera alertas sin bloquear el tráfico.
Sistema de prevención de intrusiones (IPS)Control de seguridad en línea que detecta tráfico malicioso y lo bloquea, restablece o filtra de forma activa en tiempo real.
SPF (Sender Policy Framework)Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre.
SSESSE es la mitad de seguridad de SASE: un paquete entregado desde la nube con SWG, CASB, ZTNA y a menudo DLP y FWaaS que protege el trafico hacia internet, SaaS y apps privadas.
SSHProtocolo de red criptográfico (RFC 4251, puerto 22) que ofrece inicio de sesión remoto, ejecución de comandos y túneles autenticados, cifrados e íntegros sobre redes no fiables.
SSL (Secure Sockets Layer)Predecesor histórico de TLS, creado por Netscape en los años 90 para cifrar tráfico web y actualmente formalmente obsoleto.
SSL StrippingAtaque de hombre en el medio que degrada silenciosamente la conexión HTTPS de la víctima a HTTP en claro para poder leer y modificar el tráfico.
SSL VPNVPN que encapsula el tráfico sobre TLS (históricamente SSL), permitiendo el acceso remoto por puertos web estándar sin un protocolo VPN dedicado.
STARTTLSExtensión de SMTP, IMAP, POP3 y XMPP (RFC 3207) que actualiza una conexión en texto claro a TLS tras el saludo del protocolo, habilitando cifrado oportunista entre servidores y clientes de correo.
SubredRango contiguo de direcciones IP que comparten un prefijo común y definen un único dominio de difusión y un límite de enrutamiento en la red.
SWGUna Secure Web Gateway (SWG) es un proxy —local o en la nube— que inspecciona el trafico web del usuario, aplica politica de uso aceptable y bloquea malware, phishing y exfiltracion.
TACACS+Protocolo AAA desarrollado por Cisco que separa autenticación, autorización y contabilidad y cifra todo el contenido del paquete entre cliente y servidor.
TCPProtocolo de transporte orientado a conexión (RFC 9293) que entrega un flujo de bytes ordenado, fiable y con control de congestión entre dos extremos sobre IP.
TCP/IPConjunto de protocolos de Internet en cuatro capas que define cómo se direccionan, enrutan, fragmentan y entregan los paquetes entre hosts de redes interconectadas.
Tipos de claves SSHAlgoritmos de clave asimetrica aceptados por OpenSSH para autenticar usuarios y hosts: RSA, ECDSA (curvas NIST) y la opcion moderna por defecto Ed25519.
TLS (Transport Layer Security)Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
TLS mutuo (mTLS)Extensión de TLS en la que tanto el cliente como el servidor presentan certificados X.509 para autenticarse criptográficamente entre sí.
TLS oportunistaPostura de cifrado en la que dos partes usan TLS si ambas lo soportan y caen a texto claro si no, típica de SMTP entre servidores mediante STARTTLS sin autenticación fuerte.
Tunelizacion dividida (split tunneling)Configuracion de VPN que enruta solo cierto trafico (por ejemplo, las subredes corporativas) por el tunel cifrado y deja salir el resto directamente a internet.
Tunelización DNSCanal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP puerto 53, frecuentemente usado para comando y control y exfiltración de datos.
UDPProtocolo de transporte sin conexión (RFC 768) que entrega datagramas individuales entre puertos con muy poca sobrecarga, sin garantías de fiabilidad ni orden.
VLANUna LAN virtual (IEEE 802.1Q) agrupa puertos de switch en dominios de difusión separados etiquetando las tramas Ethernet con un VLAN ID de 12 bits.
VPN (Red Privada Virtual)Tecnología que crea un túnel cifrado y autenticado sobre una red pública para que el tráfico parezca circular por una red privada.
VPN de acceso remotoVPN que permite a un usuario individual conectar de forma segura su portátil o móvil a la red corporativa desde cualquier ubicación con Internet.
VPN siempre activa (Always-On VPN)Politica a nivel de dispositivo que establece el tunel VPN en cuanto hay red y rechaza el trafico sin tunelizar; la imponen perfiles de Windows, Apple y Android.
VPN Site-to-SiteTúnel cifrado persistente entre dos redes —oficinas, centros de datos o VPC cloud— que permite a los hosts de cada lado comunicarse de forma transparente.
WAAPWAAP (Web Application and API Protection) es la evolucion moderna del WAF, que anade seguridad de API, gestion de bots y mitigacion de DDoS en un servicio cloud unificado.
WEP (Wired Equivalent Privacy)Primer protocolo de confidencialidad de Wi-Fi, de 1997, hoy considerado roto e inseguro para cualquier uso en producción.
Wi-Fi 6EExtensión de Wi-Fi 6 (802.11ax) a la banda de 6 GHz, en la que la Wi-Fi Alliance exige seguridad WPA3-only para dispositivos y redes certificados.
Wi-Fi 7Nombre comercial de IEEE 802.11be, que introduce canales de 320 MHz, 4K-QAM y Multi-Link Operation, con WPA3 como base de seguridad obligatoria.
WireGuardProtocolo VPN moderno y minimalista que usa un conjunto fijo de primitivas criptográficas actuales y se integra en el kernel de Linux.
WPA2Segunda generación de Wi-Fi Protected Access, basada en AES-CCMP e IEEE 802.11i, que ha sido el estándar de facto de seguridad Wi-Fi desde 2004.
WPA3Tercera generación de Wi-Fi Protected Access, que introduce autenticación basada en SAE, secreto hacia delante y protecciones más fuertes para Wi-Fi personal y empresarial.
Zona desmilitarizada (DMZ)Segmento de red de amortiguamiento que aloja servicios expuestos al exterior, aislado de la LAN interna para limitar el alcance de un compromiso.
ZTNAZTNA es un modelo que solo concede acceso a aplicaciones privadas concretas tras comprobar continuamente identidad, dispositivo y contexto; nunca acceso de red por defecto.