La ciberseguridad sin tecnicismos
¿Qué es una VPN? ¿2FA? ¿Phishing? ¿Ransomware? Aquí tienes cada concepto explicado con claridad, ejemplos reales y cómo protegerte.
Privacidad y anonimato
13 términosVPN, IP, cifrado, GDPR, navegación anónima.
Red privada virtual: cifra tu conexión a internet y oculta tu IP real, dificultando que terceros (operador, web, gobierno) vean tu actividad.
Identificador único que tu dispositivo recibe al conectarse a internet. Permite localizar geográficamente y rastrear actividad online.
Sistema que traduce dominios (google.com) a direcciones IP (172.217.16.142). Sin DNS no podríamos navegar sin recordar números.
Proceso de transformar información en código ininteligible para que solo quien tenga la "clave" pueda leerla. Base de la privacidad digital.
Red de anonimato extremo: tu tráfico pasa por 3 nodos cifrados, cada uno solo conoce el anterior y siguiente. Imposible rastrear origen.
Reglamento europeo (2018) que regula cómo empresas pueden recopilar y tratar datos personales. Multas de hasta 20 millones € o 4% del facturación.
Modo del navegador que no guarda historial, cookies ni caché localmente. NO te hace anónimo en internet (web y operador siguen viendo tu actividad).
Cualquier información que permita identificar a una persona viva: nombre, email, IP, foto, ubicación. Protegidos por GDPR en la UE.
Pequeños archivos que un dominio distinto al que visitas guarda en tu navegador para seguirte entre webs y mostrarte publicidad personalizada.
Técnica que identifica tu dispositivo combinando decenas de datos técnicos (fuentes, resolución, navegador, idioma) sin necesidad de cookies.
Protocolo que cifra las consultas DNS dentro de tráfico HTTPS para que tu operador no pueda ver qué dominios visitas.
Datos ocultos que cada foto guarda dentro del archivo: modelo de cámara, fecha, ajustes y, a menudo, la ubicación GPS exacta donde se tomó.
Derecho que tienes a pedir que se eliminen tus datos personales —o que dejen de aparecer en buscadores— cuando ya no hay motivo legítimo para conservarlos.
Amenazas digitales
17 términosPhishing, malware, ransomware, virus, troyanos.
Estafa que suplanta a una entidad legítima (banco, Hacienda, Amazon) para robarte credenciales o datos. Por email, SMS, redes.
Software malicioso: virus, troyanos, ransomware, spyware, etc. Cualquier programa diseñado para dañar o espiar tu dispositivo.
Malware que cifra tus archivos y exige rescate (en cripto) para descifrarlos. Las víctimas pierden datos si no tienen backup.
Malware que se reproduce infectando otros archivos. Históricamente fue el malware más común; hoy hay variedades más sofisticadas.
Malware disfrazado de software legítimo. Se ejecuta voluntariamente porque parece útil, pero hace daño en segundo plano.
Software que espía tu actividad: teclado, capturas, navegación, micrófono, cámara. Los datos van al atacante.
Software que muestra publicidad invasiva: pop-ups, redirecciones, anuncios en navegador. Más molesto que peligroso.
Malware que se reproduce y propaga por la red sin necesidad de archivo "anfitrión". Se replica automáticamente entre dispositivos.
Ataque que satura un servidor con miles de peticiones simultáneas para tirarlo. Se hace desde redes de bots (botnets).
Vídeos o audios sintéticos generados con IA que imitan a una persona real. Usado para desinformación, fraude y suplantación.
Conjunto de técnicas para engañar a personas (no a máquinas) y conseguir que revelen información, hagan clic donde no deben o den acceso a algo. El phishing, las llamadas fraudulentas o el "el sobrino que necesita dinero" son ingeniería social.
Variantes del phishing: el smishing usa SMS/mensajería ("tu paquete está retenido, paga aquí") y el vishing usa llamadas de voz ("le llamo del banco, hay un cargo sospechoso"). El objetivo es el mismo: robar datos, dinero o credenciales.
Software fraudulento que te asusta con falsas alertas ("¡tu equipo tiene 5 virus!") para que compres un programa inútil o instales malware real.
Aplicaciones de espionaje que alguien instala a escondidas en el móvil de otra persona para vigilar sus mensajes, llamadas y ubicación.
Programa o dispositivo que registra todo lo que escribes en el teclado —incluidas contraseñas— y se lo envía a un atacante.
Malware especialmente sigiloso que se esconde en lo más profundo del sistema para tomar control total y pasar inadvertido a los antivirus.
Red de miles o millones de dispositivos infectados que un atacante controla a distancia para lanzar ataques masivos, enviar spam o minar criptomonedas.
Autenticación
11 términos2FA, biometría, password manager, SSO, OAuth.
Sistema que añade un segundo paso al login (código SMS, app, llave física) además de la contraseña. Bloquea el 99% de ataques.
Autenticación con rasgos físicos: huella dactilar, reconocimiento facial, iris, voz. Cómoda y segura, pero con polémicas de privacidad.
App que guarda todas tus contraseñas cifradas con una clave maestra. Genera contraseñas únicas y seguras para cada cuenta.
Inicio de sesión único: con un solo login accedes a múltiples aplicaciones sin volver a autenticarte. Habitual en empresas y "Login con Google".
Protocolo que permite a una app acceder a tu cuenta de otra (Google, Facebook) sin compartir contraseña. Base de los "Login con..."
Sistema moderno que reemplaza contraseñas con claves criptográficas almacenadas en tu dispositivo. Sin contraseñas que recordar. Inmune a phishing.
Estándar abierto de autenticación sin contraseña: usas una llave de seguridad física o tu dispositivo para iniciar sesión, inmune al phishing.
API web estándar que permite a cualquier página ofrecer inicio de sesión con huella, rostro o llave de seguridad, sin contraseñas.
Contraseña formada por varias palabras al azar (ej. "caballo grapa batería correcto"): mucho más larga, más fácil de recordar y muy difícil de adivinar.
Lista de códigos de un solo uso que te da un servicio al activar la 2FA, para entrar si pierdes el móvil o la llave de seguridad.
Sistema que decide cuánta verificación pedirte según lo "raro" que parezca el intento de inicio de sesión: dispositivo, ubicación, hora, comportamiento.
Redes seguras
11 términosFirewall, WPA3, WiFi pública, VPN corporativa.
Sistema que filtra el tráfico de red entrante y saliente. Bloquea conexiones sospechosas y permite las legítimas.
Protocolo de seguridad WiFi más moderno (2018). Cifra el tráfico WiFi y resiste ataques de fuerza bruta. Reemplaza WPA2.
Red WiFi gratis en cafés, aeropuertos, hoteles. Conveniente pero arriesgada: tráfico potencialmente espiable por otros usuarios.
Sistema que permite a múltiples dispositivos compartir una sola IP pública. Es lo que hace tu router en casa.
Configuración del router para permitir que un puerto específico llegue a un dispositivo concreto de tu red. Útil para servidores caseros.
Modelo de seguridad: no confiar en nadie por defecto, ni dentro ni fuera de la red. Cada acceso se verifica y autoriza.
Una VPN corporativa conecta de forma cifrada el equipo de un empleado (en casa, en un hotel, en una cafetería) con la red interna de la empresa, como si estuviera físicamente en la oficina. Es la base del teletrabajo seguro.
Dividir una red en partes separadas para que un problema o un intruso en una zona no pueda saltar fácilmente al resto.
Subred intermedia donde se colocan los servicios accesibles desde internet, aislada tanto de la red interna como del exterior.
Sistema trampa que finge ser un objetivo valioso para atraer atacantes, detectarlos y estudiar sus técnicas sin riesgo real.
Sistemas que vigilan el tráfico de red: el IDS alerta cuando ve algo sospechoso; el IPS, además, lo bloquea automáticamente.
Certificados y cifrado
9 términosSSL, TLS, HTTPS, cifrado AES, autoridades certificadoras.
Protocolo (obsoleto) que cifraba la comunicación web. Sustituido por TLS, aunque "SSL" se usa coloquialmente para ambos.
Protocolo moderno de cifrado web. Sucesor de SSL. Es lo que protege HTTPS, banca online, email cifrado, VPNs.
Versión cifrada del protocolo web HTTP. El candadito en la URL. Garantiza que el tráfico entre tu navegador y la web está cifrado.
Autoridad certificadora gratuita. Emite certificados SSL/TLS sin coste. Hizo posible que cualquier web pueda tener HTTPS.
Entidad de confianza que emite certificados digitales. Garantiza que una web es quien dice ser. Tu navegador confía en una lista de CAs.
Cabecera de seguridad que obliga al navegador a conectarse siempre por HTTPS a un sitio, impidiendo ataques que rebajan la conexión a HTTP.
Certificado SSL/TLS que cubre un dominio y todos sus subdominios de un nivel con un único certificado (*.ejemplo.com).
Certificado SSL que el propio servidor genera y firma a sí mismo, sin una autoridad certificadora reconocida: el navegador no lo confía y muestra advertencia.
Protocolo que permite al navegador preguntar en tiempo real si un certificado SSL sigue siendo válido o ha sido revocado.
Tipos de ataques
11 términosMan-in-the-middle, SQL injection, XSS, brute force, DDoS.
Ataque donde el agresor se interpone entre dos comunicantes y puede leer/modificar los mensajes sin que se den cuenta.
Ataque a bases de datos: el atacante inyecta código SQL malicioso en formularios web, consiguiendo extraer o modificar datos.
Ataque que inyecta JavaScript malicioso en una web legítima. Los visitantes ejecutan ese código sin saberlo.
Ataque que prueba miles o millones de contraseñas hasta dar con la correcta. Lenta pero efectiva contra contraseñas débiles.
Captura pasiva de tráfico en una red. El atacante "escucha" todo lo que pasa por la red sin modificarlo.
Suplantación de identidad: hacerse pasar por otro (IP, email, web, número de teléfono) para engañar a víctimas.
Ataque que usa tu PC sin permiso para minar criptomonedas. El atacante gana, tú pierdes (electricidad y rendimiento).
Ataque automatizado que prueba en muchas webs combinaciones de email y contraseña robadas de otras filtraciones, contando con que la gente las reutiliza.
Registro de dominios casi idénticos a webs famosas, jugando con erratas comunes (gogle.com, paypl.com), para engañar a quien teclea mal.
Ataque que no golpea al objetivo directamente, sino a un proveedor o componente de confianza que este utiliza, para colarse a través de él.
Estafa en la que un delincuente convence a tu operadora de pasar tu número a una SIM suya, para recibir tus SMS y llamadas —incluidos los códigos de verificación.
Conceptos clave
12 términosZero-trust, end-to-end, hash, IAM, criptografía.
Función matemática que convierte cualquier dato en un código fijo de longitud, irreversible. Sirve para verificar integridad y guardar contraseñas.
Mecanismo criptográfico que prueba quién creó un documento y que no ha sido alterado. El equivalente moderno de la firma manuscrita.
Ciencia de proteger información mediante matemáticas: cifrar, autenticar, firmar. Base de toda la seguridad digital moderna.
Conjunto de procesos y tecnologías para gestionar identidades digitales y permisos. Quién puede acceder a qué, en una empresa o servicio.
Regla de seguridad: cada usuario o sistema debe tener solo los permisos mínimos necesarios para hacer su trabajo. Nada más.
Fundación sin ánimo de lucro que publica los riesgos de seguridad más críticos en aplicaciones web (Top 10) y herramientas open source.
Hackeo ético autorizado: profesionales prueban sistemas buscando vulnerabilidades para que la empresa pueda corregirlas antes de que las exploten atacantes reales.
Sistema de acceso que exige al menos dos pruebas de identidad de distinto tipo: algo que sabes (contraseña), algo que tienes (móvil, llave física) y/o algo que eres (huella, cara). El 2FA es un MFA de dos factores. Reduce drásticamente el riesgo de que te roben la cuenta.
Una actualización de software publicada para corregir una vulnerabilidad descubierta. Mantener el sistema operativo, el navegador y las apps "al día" es una de las medidas de seguridad más eficaces y más ignoradas.
Estrategia de seguridad basada en superponer varias capas de protección, para que si una falla, las demás sigan conteniendo el ataque.
Norma sencilla para no perder datos: ten 3 copias de tus archivos, en 2 tipos de soporte distintos, con 1 de ellas guardada fuera de tu casa.
Fallo de seguridad desconocido para el fabricante y, por tanto, sin parche disponible: los atacantes lo explotan antes de que exista solución.