Glosario de Ciberseguridad

Lista que define qué usuarios o grupos tienen permisos sobre un recurso. En Windows, cada objeto tiene una DACL (permisos) y una SACL (auditoría).

Tipo de transmisión donde el paquete se entrega al host más cercano (en términos de topología de red) de un grupo que comparte la misma dirección. Común en IPv6 y CDNs.

Mecanismo de auto-asignación de direcciones IP en el rango 169.254.0.0/16 cuando un cliente no puede obtener una IP por DHCP. Común en Windows y macOS.

Grupo de atacantes sofisticados, generalmente patrocinados por estados, que mantienen acceso prolongado a redes objetivo para espionaje o sabotaje.

Comando para visualizar y manipular la tabla ARP del sistema, mostrando el mapeo entre direcciones IP y MAC. En sistemas modernos se usa 'ip neigh'.

Ataque que envía mensajes ARP falsos a una red local para asociar la dirección MAC del atacante con la IP de otro host (típicamente el gateway), permitiendo interceptar tráfico.

Número único de 16 o 32 bits que identifica un sistema autónomo en el protocolo de enrutamiento BGP. Los ISPs y grandes organizaciones necesitan ASN para enrutar tráfico en Internet.

Método de acceso oculto a un sistema que bypasea la autenticación normal. Puede ser instalado por malware o dejado intencionalmente por desarrolladores.

Orden de bytes donde el byte más significativo (MSB) se almacena primero en la dirección de memoria más baja. Es el estándar usado en protocolos de red.

Sistema numérico de base 2 que usa únicamente los dígitos 0 y 1. Es el sistema fundamental usado internamente por las computadoras para representar y procesar información.

Unidad mínima de información en sistemas digitales, que puede tener solo dos valores: 0 o 1. Es la base de toda la computación digital.

Direcciones IP que no deberían aparecer en el tráfico de Internet público, incluyendo rangos no asignados, reservados, privados o de documentación.

Modo de transmisión en el que un paquete se envía a todos los dispositivos de una red local. En IPv4 se usa la dirección de broadcast (ej: 192.168.1.255), en IPv6 se reemplaza por multicast.

Método de ataque que prueba sistemáticamente todas las combinaciones posibles de contraseñas o claves hasta encontrar la correcta.

Vulnerabilidad que ocurre cuando un programa escribe más datos en un búfer de los que puede contener, sobrescribiendo memoria adyacente. Puede permitir ejecutar código arbitrario.

Servidor que controla dispositivos comprometidos en una botnet o campaña de malware, enviando comandos y recibiendo datos exfiltrados.

Comando de Unix/Linux para cambiar los permisos de archivos y directorios usando notación octal (ej: chmod 755) o simbólica (ej: chmod u+x).

Método de asignación de direcciones IP que reemplazó las clases A/B/C con máscaras de longitud variable. Se representa con notación /X (ej: 192.168.1.0/24).

Ataque que fuerza a un usuario autenticado a ejecutar acciones no deseadas en una aplicación web en la que está autenticado.

Sistema de identificación estándar para vulnerabilidades de seguridad conocidas públicamente. Cada CVE tiene un ID único (ej: CVE-2021-44228 para Log4Shell).

Lista de control de acceso en Windows que especifica qué usuarios o grupos tienen permisos sobre un objeto. Parte del sistema de seguridad de Windows.

Técnica que simula el comportamiento de un Domain Controller para solicitar información de replicación, incluyendo hashes de contraseñas, usando el protocolo MS-DRSR.

Protocolo que asigna automáticamente direcciones IP y otros parámetros de red a dispositivos. Opera en puertos UDP 67 (servidor) y 68 (cliente).

Sistema jerárquico que traduce nombres de dominio legibles por humanos (ej: hakiu.es) a direcciones IP. Opera principalmente en puerto UDP 53.

Técnica que fuerza a un proceso a cargar una biblioteca dinámica maliciosa, permitiendo ejecutar código en el contexto de ese proceso.

Registro de 32 bits en arquitectura x86 que apunta a la siguiente instrucción a ejecutar. En x64 se llama RIP. Objetivo común en buffer overflows.

Código, secuencia de comandos o técnica que aprovecha una vulnerabilidad para causar comportamiento no intencionado o tomar control de un sistema.

Protocolo para transferencia de archivos que opera en puerto 21 (control) y 20 (datos). Transmite credenciales en texto plano; usar SFTP o FTPS para seguridad.

Dispositivo (típicamente un router) que conecta diferentes redes y enruta tráfico entre ellas. En redes locales, es la IP del router que da acceso a Internet.

Ticket TGT de Kerberos falsificado que permite acceso ilimitado a cualquier recurso del dominio durante años. Requiere el hash KRBTGT.

Función matemática unidireccional que convierte datos de longitud arbitraria en una cadena de longitud fija. Ejemplos: MD5, SHA-256, bcrypt.

Sistema numérico de base 16 que usa los dígitos 0-9 y las letras A-F. Común para representar direcciones de memoria, colores y datos binarios de forma compacta.

Protocolo de capa de red usado para mensajes de diagnóstico y error. Usado por ping (Echo Request/Reply) y traceroute. Protocolo IP número 1.

Vulnerabilidad que permite acceder a objetos (archivos, datos) modificando parámetros de referencia directa sin validación adecuada.

Sistema que monitorea tráfico de red o actividad del sistema para detectar comportamiento malicioso o violaciones de políticas.

Herramienta de línea de comandos para configurar el firewall de Linux (netfilter). En sistemas modernos se reemplaza por nftables.

Protocolo de autenticación de red que usa tickets cifrados para probar identidad sin enviar contraseñas. Base de la autenticación en Active Directory.

Ataque que solicita tickets de servicio Kerberos (TGS) para cuentas con SPN, permitiendo crackear offline las contraseñas cifradas en los tickets.

Técnicas usadas por atacantes para moverse entre sistemas dentro de una red después del compromiso inicial.

Protocolo para acceder y mantener servicios de información de directorio distribuidos. Usado por Active Directory en puerto 389 (LDAP) y 636 (LDAPS).

Vulnerabilidad web que permite incluir archivos locales del servidor en la respuesta, potencialmente exponiendo código fuente o archivos sensibles.

Dirección física única de 48 bits asignada a interfaces de red, escrita en formato hexadecimal (ej: AA:BB:CC:DD:EE:FF). Opera en capa 2 del modelo OSI.

Framework de pentesting que incluye exploits, payloads, post-explotación y auxiliares. Usa Meterpreter como payload interactivo avanzado.

Herramienta de post-explotación para Windows que extrae credenciales en texto plano, hashes, tickets de Kerberos desde la memoria (LSASS).

Ataque donde el atacante intercepta y potencialmente modifica comunicaciones entre dos partes sin que éstas lo sepan.

Tamaño máximo de una unidad de datos que puede transmitirse en una red sin fragmentación. Típicamente 1500 bytes para Ethernet.

Técnica que traduce direcciones IP privadas a públicas permitiendo que múltiples dispositivos compartan una IP pública. Común en routers domésticos.

Comando para mostrar conexiones de red activas, tablas de enrutamiento y estadísticas de interfaz. En Linux moderno se reemplaza por 'ss'.

Herramienta de escaneo de redes y auditoría de seguridad. Detecta hosts, puertos abiertos, servicios, sistemas operativos y vulnerabilidades.

Suite de protocolos de autenticación de Microsoft, predecesora de Kerberos. Vulnerable a Pass-the-Hash y NTLM relay attacks.

Recolección de información de fuentes públicamente disponibles para propósitos de inteligencia y reconocimiento.

Modelo conceptual de 7 capas que describe cómo los datos viajan en una red: Física, Enlace, Red, Transporte, Sesión, Presentación, Aplicación.

Técnica que usa el hash de una contraseña (sin necesidad de conocer la contraseña en texto plano) para autenticarse en sistemas que usan NTLM.

Código que se ejecuta después de que un exploit compromete exitosamente un sistema. Ejemplos: reverse shell, meterpreter, ransomware.

Proceso autorizado de simular ataques cibernéticos para identificar vulnerabilidades en sistemas, redes o aplicaciones.

Técnica de ingeniería social que usa correos o sitios web falsos para engañar a víctimas y obtener información sensible como credenciales.

Uso de un sistema comprometido como punto intermedio para atacar otros sistemas en redes internas no accesibles directamente.

Técnica NAT que redirige tráfico de un puerto específico en una IP externa hacia un puerto/IP interna. Usado para exponer servicios internos.

Proceso de obtener permisos de nivel superior (típicamente root/admin) explotando vulnerabilidades, misconfigurations o bugs.

Tablas precalculadas de hashes para acelerar el cracking de contraseñas. Inefectivas contra hashes con salt.

Malware que permite control remoto completo de un sistema comprometido, incluyendo acceso a archivos, cámara, micrófono y keylogging.

Vulnerabilidad que permite a un atacante ejecutar código arbitrario en un sistema remoto, frecuentemente sin autenticación.

Shell donde la máquina víctima inicia la conexión hacia la máquina del atacante, útil para evadir firewalls que bloquean conexiones entrantes.

Técnica de explotación que encadena pequeños fragmentos de código existente (gadgets) para ejecutar código arbitrario, bypasseando protecciones como DEP.

Valor aleatorio añadido a una contraseña antes de hashearla, haciendo que hashes idénticos produzcan salidas diferentes. Previene rainbow tables.

Código en lenguaje máquina diseñado para ser inyectado en procesos vulnerables, típicamente para obtener una shell o ejecutar comandos.

Identificador único que representa usuarios, grupos y otros objetos de seguridad en Windows. Formato: S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-RID.

Protocolo para compartir archivos, impresoras y otros recursos en red. Opera en puerto 445 (SMB) y 139 (NetBIOS). Versiones: SMBv1, SMBv2, SMBv3.

Captura y análisis de tráfico de red para interceptar información sensible. Requiere acceso al medio de transmisión o MITM.

Manipulación psicológica de personas para obtener información confidencial o acceso a sistemas, explotando la confianza humana.

Técnica de falsificar identidad o procedencia de datos. Tipos: IP Spoofing, DNS Spoofing, ARP Spoofing, Email Spoofing.

Vulnerabilidad que permite insertar código SQL malicioso en queries, potencialmente extrayendo, modificando o borrando datos de la base de datos.

Protocolo criptográfico para acceso remoto seguro y transferencia de archivos. Opera en puerto 22. Reemplaza telnet y FTP inseguros.

Vulnerabilidad que permite forzar al servidor a hacer peticiones HTTP a URLs arbitrarias, potencialmente accediendo a recursos internos.

Vulnerabilidad que permite inyectar código en templates del servidor, potencialmente llevando a RCE. Común en frameworks como Jinja2, Twig.

División lógica de una red IP en subredes más pequeñas usando máscaras de subred. Permite mejor gestión de direcciones y segmentación.

Bit de permiso especial en Unix/Linux que permite ejecutar un archivo con privilegios de su propietario. Representado como 's' en permisos.

Protocolo de transporte orientado a conexión que garantiza entrega ordenada y sin errores. Usa three-way handshake (SYN, SYN-ACK, ACK).

Ticket de autenticación inicial en Kerberos que el KDC emite tras validar credenciales. Permite solicitar tickets de servicio (TGS) sin reautenticar.

Individuo o grupo que realiza ataques cibernéticos. Categorías: Script Kiddies, Hacktivistas, Crimen Organizado, APTs, Insiders.

Objeto de Windows que contiene información de seguridad de un usuario autenticado, incluyendo SID, grupos y privilegios. Usado para control de acceso.

Campo en paquetes IP que limita su vida útil. Cada router lo decrementa en 1; al llegar a 0 el paquete se descarta. Previene loops infinitos.

Protocolo de transporte sin conexión que no garantiza entrega, orden ni error checking. Más rápido que TCP, usado en DNS, DHCP, streaming.

Transmisión uno-a-uno donde el paquete se envía desde un emisor a un único receptor identificado por una dirección específica.

Red local virtual que segmenta lógicamente una red física. Usa etiquetado 802.1Q en switches para aislar tráfico de diferentes VLANs.

Red privada que usa cifrado para crear túneles seguros sobre Internet. Protocolos: OpenVPN, WireGuard, IPsec, L2TP.

Firewall que filtra y monitorea tráfico HTTP hacia aplicaciones web, protegiendo contra ataques como SQLi, XSS, CSRF.

Analizador de protocolos de red de código abierto que captura y analiza tráfico en tiempo real. GUI para libpcap/WinPcap.

Vulnerabilidad que permite inyectar scripts maliciosos en páginas web vistas por otros usuarios. Tipos: Reflected, Stored, DOM-based.

Vulnerabilidad en parsers XML que permite incluir entidades externas, potencialmente leyendo archivos locales, SSRF o DoS.

Vulnerabilidad desconocida públicamente y sin patch disponible. Altamente valiosas para atacantes pues no hay defensa conocida.