Para nuestros clientes, que a menudo no poseen una formación técnica profunda, la jerga utilizada en el campo del hacking ético puede parecer un laberinto incomprensible. Comprender el significado de conceptos como vulnerabilidad, exploit, payload y TTPs no solo facilitará la comunicación con nuestros expertos en seguridad, sino que también les proporcionará una mayor conciencia sobre los riesgos y las estrategias de defensa adoptadas.

Esta guía nace precisamente con el objetivo de hacer accesibles los términos técnicos más comunes en el campo del hacking ético, cerrando la brecha comunicativa entre ustedes y los proveedores de servicios de seguridad.

¡Continúen leyendo y en pocos minutos, esa ‘jerga misteriosa’ se convertirá en un aliado para su seguridad!

---

Analicemos algunos de los términos fundamentales que encontrarán con mayor frecuencia: intentaremos explicarlos de forma sencilla e intuitiva, utilizando también analogías para facilitar su comprensión.

A

Ataque de fuerza bruta (Brute Force): un intento de adivinar una contraseña, una clave de cifrado o encontrar una página web oculta probando sistemáticamente todas las combinaciones posibles. Los hackers éticos utilizan herramientas automatizadas para simular ataques de fuerza bruta en contraseñas y otros mecanismos de autenticación para evaluar su robustez.

Active Directory (AD): un servicio de directorio desarrollado por Microsoft para redes de dominio. Es un objetivo crítico para los atacantes y, a menudo, objeto de técnicas de hacking ético específicas. Para profundizar en las técnicas ofensivas más comunes, consulte la guía sobre Active Directory y las técnicas de hacking ético.

Amenaza Persistente Avanzada (APT): un ataque sofisticado y prolongado en el tiempo, llevado a cabo por un actor (a menudo estatal o bien organizado) con el objetivo de infiltrarse en un sistema y permanecer oculto durante un largo periodo, sustrayendo información sensible. La formación específica sobre APT es una medida de seguridad importante.

AS-REP Roasting: un ataque que busca obtener las contraseñas de los usuarios que no requieren la pre-autenticación Kerberos. Los hackers éticos buscan usuarios configurados de forma vulnerable para intentar descifrar sus contraseñas offline.

Auditoría (Audit): un proceso sistemático e independiente para evaluar la eficacia de los controles de seguridad de una organización. La auditoría es crucial en el análisis de los resultados del hacking ético para reconstruir las rutas de ataque.

Autenticación: el proceso de verificación de la identidad de un usuario, dispositivo o aplicación antes de conceder el acceso a recursos o servicios. La autenticación fuera de banda (out-of-band) utiliza dos canales de comunicación separados para una mayor seguridad.

B

Backdoor (Puerta trasera): un método secreto para eludir los procedimientos normales de autenticación y acceder a un sistema o aplicación. Puede ser insertada intencionalmente para fines legítimos (por ejemplo, mantenimiento) o maliciosamente por un atacante para garantizar un acceso futuro.

Blue Team: es el equipo de defensa interno de una organización, responsable del mantenimiento de la seguridad de los sistemas y de la respuesta a incidentes. Durante una prueba TIBER-EU, el Blue Team crea un informe sobre sus propias acciones.

Botnet: una red de computadoras (u otros dispositivos conectados a Internet) infectadas con malware y controladas por un solo atacante (el “bot herder”) sin el conocimiento de los propietarios. Las botnets se utilizan a menudo para lanzar ataques DDoS o para distribuir spam y malware.

Bug Bounty: un programa ofrecido por algunas organizaciones que recompensan a los hackers éticos externos por el descubrimiento y reporte de vulnerabilidades en sus sistemas.

Plan de Continuidad de Negocio (BCP): un plan documentado que describe cómo una organización continuará operando en caso de una interrupción significativa, incluyendo desastres naturales, ataques informáticos u otras emergencias.

C

Certified Ethical Hacker (CEH): una certificación reconocida en el sector del hacking ético que acredita el conocimiento de las técnicas y herramientas utilizadas por los atacantes.

Compromiso: el resultado de un ataque informático exitoso, en el que un sistema, cuenta o datos han sido accedidos, modificados o robados por personas no autorizadas. El objetivo del hacking ético es identificar las rutas que un atacante podría seguir para lograr un compromiso.

Monitoreo continuo (Continuous Monitoring): el proceso de supervisión constante de la seguridad de un sistema o red para detectar actividades sospechosas o vulnerabilidades. Una estrategia de monitoreo continuo es esencial para la seguridad.

Control de acceso: los mecanismos y políticas implementados para limitar el acceso a recursos e información solo a usuarios autorizados.

Control Team (CT): en una prueba TIBER-EU, el CT es responsable de la supervisión y control de todo el proceso de prueba. La Guía del Equipo de Control (CTG) proporciona indicaciones para la constitución y funcionamiento del CT.

Cifrado (Crittografia): el proceso de transformar información en un formato ilegible (texto cifrado) para proteger su confidencialidad. El cifrado es una medida de seguridad fundamental mencionada en el contexto de los requisitos de seguridad TIC.

Ciberseguridad: el conjunto de prácticas y tecnologías destinadas a proteger sistemas informáticos, redes, programas y datos contra accesos no autorizados, daños, modificaciones o destrucciones. El hacking ético es parte integrante de una estrategia de ciberseguridad más amplia.

Inteligencia de Ciberamenazas (CTI): el conjunto de información recopilada, procesada y analizada sobre amenazas informáticas existentes y potenciales, incluyendo los autores de las amenazas, sus motivaciones, sus capacidades y sus TTPs. La CTI es fundamental para el hacking ético basado en amenazas reales como el TLPT (Threat-Led Penetration Testing).

D

Brecha de datos (Data Breach): un incidente de seguridad en el que información sensible, confidencial o protegida es copiada, transmitida, visualizada, utilizada o robada por individuos no autorizados. La experiencia derivada de los incidentes de seguridad o violaciones debe integrarse en la formación. Los Indicadores de Compromiso (IOC) pueden revelar una brecha de datos.

Debilidades de diseño: fallos en la lógica de funcionamiento de un sistema que pueden ser explotados.

Defensa en profundidad (Defense in Depth): una estrategia de seguridad que implementa múltiples niveles de controles de seguridad, de modo que si un control falla, los otros puedan seguir proporcionando protección.

Denegación de Servicio (DoS): un tipo de ataque que busca hacer que un sistema, servicio o recurso de red no esté disponible para los usuarios legítimos, sobrecargándolo de tráfico o explotando vulnerabilidades.

Resiliencia Operativa Digital: la capacidad de una organización para construir, asegurar y revisar su integridad operativa digital, manteniendo la capacidad de proporcionar servicios durante y después de interrupciones. La Ley de Resiliencia Operativa Digital (DORA) es un marco normativo relevante.

DORA (Digital Operational Resilience Act): un reglamento europeo destinado a fortalecer la resiliencia operativa digital del sector financiero. Los requisitos TLPT de DORA pueden cumplirse con el marco TIBER-EU.

E

Errores de configuración: sistemas o aplicaciones configurados incorrectamente que dejan puertas de acceso abiertas o utilizan configuraciones predeterminadas no seguras.

Errores de programación: errores (bugs) en el código de software que pueden ser explotados para ejecutar código arbitrario.

Hacking Ético: el acto de simular ataques informáticos para identificar vulnerabilidades en un sistema o red, con el permiso del propietario y con el objetivo de mejorar la seguridad. El hacking ético se distingue por su naturaleza proactiva. Si desea entender cómo un servicio de hacking ético estructurado puede aplicarse a su organización, el equipo de ISGroup trabaja con un Tiger Team que analiza la infraestructura, los procedimientos y la seguridad física simulando escenarios realistas.

Exploit: un exploit es un fragmento de código, una secuencia de comandos o una técnica que aprovecha una debilidad o vulnerabilidad específica presente en un sistema informático, una aplicación de software o un hardware. Imagine una cerradura defectuosa (la vulnerabilidad) en una puerta. Durante una actividad de hacking ético, el objetivo suele ser identificar las vulnerabilidades y, en algunos casos, demostrar su explotabilidad mediante la creación o el uso de exploits. Esto permite al cliente comprender el impacto real que una determinada debilidad podría tener si fuera explotada por un atacante malintencionado.

F

Firewall: un sistema de seguridad que monitorea y controla el tráfico de red entrante y saliente, bloqueando las comunicaciones no autorizadas según reglas predefinidas.

Seguimiento (Follow-up): el término ‘follow-up’ se refiere a las acciones tomadas después de un evento inicial, una evaluación, una respuesta o una recomendación, con el fin de garantizar que las medidas necesarias se completen, los problemas se resuelvan y los resultados esperados se alcancen.

Framework: una estructura conceptual o un conjunto de directrices que proporcionan un enfoque estructurado para abordar un problema o implementar un proceso. En el hacking ético, existen varios marcos como MITRE ATT&CK, TIBER-EU, NIST SP 800-53 y CBEST que guían las actividades de prueba y evaluación de la seguridad.

G

GDPR (Reglamento General de Protección de Datos): esto se menciona en el contexto de garantizar que el proceso de adquisición de proveedores de inteligencia sobre amenazas cumpla con las normativas de protección de datos.

Golden ticket: un ticket de Kerberos falsificado que permite al atacante autenticarse en cualquier servicio dentro del dominio de Active Directory. Los hackers éticos buscan formas de crear o robar estos tickets para evaluar la robustez del sistema de autenticación.

H

Hacker (Ético/White Hat): un experto en seguridad informática que utiliza sus habilidades para identificar y explotar vulnerabilidades en sistemas informáticos con el permiso del propietario, con el fin de mejorar la seguridad. Se distingue de los hackers “black hat” (cibercriminales) y “grey hat” (que operan en una zona gris entre la ética y la ilegalidad).

HUMINT (Inteligencia Humana): información recopilada de fuentes humanas. En el hacking ético, puede incluir el análisis de interacciones de ingeniería social o información obtenida de expertos del sector.

I

Respuesta a incidentes (Incident Response): el conjunto de procedimientos y acciones tomadas para identificar, contener, eliminar y recuperarse de un incidente de seguridad informática. Un proceso de seguimiento formal es necesario en la gestión de incidentes TIC.

Indicador de Compromiso (IOC): un artefacto o señal que indica que un sistema o red podría haber sido comprometido por un ataque informático. Los IOC pueden incluir direcciones IP maliciosas o patrones de tráfico sospechosos.

Seguridad de la información: la protección de la información y los sistemas informáticos contra accesos no autorizados, uso, divulgación, interrupción, modificación o destrucción. Un plan de seguridad de la información es un elemento clave.

Ingeniería Social (Social Engineering): el arte de manipular a las personas para obtener información confidencial o inducirlas a realizar acciones que podrían comprometer la seguridad. Los ataques de phishing son un ejemplo común de ingeniería social. Los hackers éticos simulan estas técnicas para evaluar el “firewall humano” de una organización. Para entender cuánto incide el factor humano en la superficie de ataque, lea el análisis sobre el papel de la ingeniería social en el hacking ético.

K

Kerberoasting: una técnica de ataque dirigida a los Service Principal Names (SPN) en Active Directory para obtener las contraseñas de las cuentas de servicio.

Keylogger: un software o hardware que registra secretamente las secuencias de teclas pulsadas en un teclado, permitiendo a un atacante robar contraseñas, información personal u otros datos sensibles.

L

Movimiento lateral (Lateral Movement): las técnicas utilizadas por un atacante después de haber comprometido un sistema inicial para moverse a través de la red y acceder a otros sistemas de valor. Los hackers éticos simulan el movimiento lateral para evaluar qué tan fácil es para un atacante expandir su presencia dentro de la infraestructura.

Registro (Logging): el registro detallado de los eventos que ocurren en un sistema informático o red. Los logs son fundamentales para el análisis de los resultados del hacking ético y para la resiliencia operativa. La protección de la información de auditoría es un control de seguridad.

M

Malware: software diseñado para causar daños a un sistema informático, robar información u obtener acceso no autorizado. Incluye virus, gusanos, troyanos, ransomware y spyware. El hacking ético busca identificar las vulnerabilidades que podrían ser explotadas para instalar malware.

Ataque Man-in-the-Middle (MitM): un ataque en el que un malintencionado se interpone secretamente entre dos partes que se están comunicando, interceptando y potencialmente alterando la información intercambiada. Los hackers éticos buscan vulnerabilidades que podrían permitir la ejecución de ataques MitM para evaluar la seguridad de las comunicaciones de red. La autenticación fuera de banda es una técnica que puede mitigar estos ataques.

Mitigación: el conjunto de acciones tomadas para reducir el impacto o la probabilidad de una amenaza o vulnerabilidad.

N

NIST SP 800-53: un conjunto de estándares y directrices publicados por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., que proporcionan un catálogo de controles de seguridad y privacidad para sistemas informáticos y organizaciones federales. Este marco apoya la gestión de riesgos y el cumplimiento.

O

OSINT (Open Source Intelligence): inteligencia obtenida de fuentes de información disponibles públicamente, como sitios web, redes sociales y artículos de noticias. La OSINT se utiliza en la fase de reconocimiento del hacking ético y en la inteligencia de amenazas.

P

Password Spraying: un ataque de fuerza bruta “ligero” que consiste en probar un pequeño número de contraseñas comunes en un gran número de cuentas. Los hackers éticos simulan este ataque para verificar si las políticas de contraseñas corporativas son eficaces para prevenir compromisos.

Payload: el payload es la parte de un exploit que contiene el código malicioso o las instrucciones que el atacante desea ejecutar en el sistema objetivo después de haberlo comprometido con éxito (tomemos por ejemplo una cerradura: el exploit es la ganzúa, mientras que el payload es lo que el ladrón hace una vez dentro, es decir, robar información, instalar software dañino o tomar el control del sistema).

En el ámbito del hacking ético, el payload utilizado durante las pruebas es generalmente seguro y controlado, diseñado para demostrar el compromiso sin causar daños reales. El objetivo es mostrar al cliente qué acciones podría tomar un atacante una vez obtenido el acceso al sistema.

Penetration Testing (Pentest): una prueba de seguridad activa en la que los hackers éticos intentan explotar las vulnerabilidades de un sistema o red para evaluar su seguridad. El penetration testing es una metodología central del hacking ético.

Phishing: un tipo de ataque de ingeniería social en el que los atacantes envían correos electrónicos, mensajes o llamadas fraudulentas en un intento de engañar a las víctimas para que revelen información sensible o realicen acciones dañinas.

Escalada de privilegios (Privilege escalation): una técnica utilizada por los atacantes para obtener un nivel de acceso superior al inicialmente comprometido, permitiéndoles realizar acciones más dañinas.

Procedencia (Provenance): el historial del origen, desarrollo, propiedad, ubicación y cambios realizados en un sistema o componente. La procedencia es un aspecto importante de la gestión de riesgos de la cadena de suministro.

R

Red Team: un equipo de expertos en seguridad informática que simula las tácticas y técnicas de ataque de adversarios reales para probar la capacidad de defensa de una organización (el blue team). Los ejercicios de red teaming son simulaciones de ataques más complejas y realistas que los simples penetration tests. El Plan de Prueba del Red Team (RTTP) describe las modalidades operativas del red team en una prueba TIBER-EU, mientras que el Informe de Prueba del Red Team (RTTR) documenta sus actividades y resultados.

Remediación: el proceso de corrección de las vulnerabilidades identificadas para reducir el riesgo de explotación. Un Plan de Remediación (RP), como el previsto en el marco TIBER-EU, describe las acciones necesarias para resolver las debilidades encontradas.

Resiliencia Operativa Digital: la capacidad de una organización para mantener su operatividad y recuperarse rápidamente de incidentes informáticos. El hacking ético contribuye a mejorar la resiliencia operativa identificando y ayudando a corregir las debilidades. La Ley de Resiliencia Operativa Digital (DORA) es una normativa europea que busca fortalecer la resiliencia operativa digital en el sector financiero.

Riesgo (Informático): la probabilidad de que una amenaza pueda explotar una vulnerabilidad causando un impacto negativo en la organización. El hacking ético ayuda a evaluar y comprender mejor los riesgos informáticos.

Estrategia de Gestión de Riesgos: un plan integral para identificar, evaluar y mitigar los riesgos. El hacking ético proporciona información valiosa para informar la estrategia de gestión de riesgos de una organización.

S

SIEM (Security Information and Event Management): un sistema de software que recopila y analiza los registros de seguridad provenientes de diversas fuentes (como sistemas operativos, aplicaciones y dispositivos de red) para identificar amenazas y anomalías.

Silver ticket: un ticket de Kerberos falsificado que permite al atacante acceder a un servicio específico dentro del dominio de Active Directory (a diferencia del Golden Ticket, que es válido para todos los servicios). Los hackers éticos buscan vulnerabilidades que permitan la creación de Silver Tickets para evaluar la seguridad de los servicios individuales.

Ataque a la cadena de suministro (Supply Chain Attack): un ataque informático que tiene como objetivo a proveedores, socios u otros elementos de la cadena de suministro de una organización para comprometer al objetivo principal. La gestión de riesgos de la cadena de suministro es cada vez más importante.

Inventario de sistemas: una lista completa de todo el hardware, software y otros componentes de TI de una organización. Un inventario de sistemas es un control de seguridad fundamental.

T

Actor de amenazas (Threat actor): un individuo o grupo con la intención y capacidad de llevar a cabo un ataque informático. Comprender a los actores de amenazas y sus TTPs es fundamental para un hacking ético eficaz.

Inteligencia de amenazas: ver Inteligencia de Ciberamenazas (CTI).

Threat-Led Penetration Testing (TLPT): Los hackers éticos, durante un Threat-Led Penetration Testing (TLPT), simulan ataques basados en inteligencia de amenazas, es decir, información sobre amenazas reales y TTPs utilizadas por grupos específicos de atacantes. Es una metodología avanzada de hacking ético que utiliza la inteligencia de amenazas para simular ataques realistas basados en las amenazas más probables para una organización específica.

TTPs (Tácticas, Técnicas y Procedimientos): los comportamientos y métodos específicos que los atacantes utilizan durante un ataque informático. Comprender las TTPs de los actores de amenazas es esencial para simular ataques realistas en el hacking ético.

V

Vulnerabilidad: una vulnerabilidad es una debilidad, un defecto de diseño o un error de implementación presente en un sistema informático, una aplicación de software, un hardware o incluso en un procedimiento de seguridad que podría ser explotado por un atacante para comprometer la confidencialidad, integridad o disponibilidad de dicho sistema o aplicación.

Evaluación de vulnerabilidades (Vulnerability assessment): el proceso de identificación, cuantificación y clasificación de las vulnerabilidades de seguridad en un sistema o red. A diferencia del penetration testing, la evaluación de vulnerabilidades no siempre incluye la explotación activa de las debilidades.

Vulnerabilidades humanas: errores cometidos por los usuarios, como caer víctima de ataques de ingeniería social (manipulación psicológica para obtener información o acceso) como el phishing.

Z

Vulnerabilidad de día cero (Zero-Day): una vulnerabilidad de software que ha sido descubierta pero aún no ha sido resuelta con un parche por el proveedor. Los exploits que tienen como objetivo las vulnerabilidades de día cero pueden ser particularmente peligrosos porque no hay defensas inmediatas disponibles.

Hacking Ético: por qué conocer los términos marca la diferencia

Una mejor comprensión de la jerga técnica permite participar de manera más informada en las discusiones, evaluar mejor los riesgos y tomar decisiones más conscientes sobre su estrategia de seguridad.

Invertir en la comprensión de estos términos no es solo un ejercicio académico. Una base sólida de conocimiento del lenguaje de la ciberseguridad permite:

• Mejorar la comunicación que facilita el intercambio de información entre clientes y proveedores de servicios, reduciendo malentendidos e ineficiencias.
• Comprender los riesgos: es decir, adquirir una mayor conciencia de las amenazas informáticas y las vulnerabilidades que pueden exponer a su organización.
• Evaluar los resultados: interpretar correctamente los informes de hacking ético y comprender el impacto de las vulnerabilidades identificadas.
• Participar activamente: ser capaz de contribuir significativamente a las decisiones relacionadas con la estrategia de seguridad y los planes de remediación.
• Aumentar la confianza con los socios de ciberseguridad, basada en una comprensión mutua de los objetivos y desafíos.

Si desea profundizar en cómo estos conceptos se traducen en la práctica, puede leer el caso real de hacking ético empresarial con el caso Acmebank, que muestra cómo un compromiso estructurado se lleva a cabo de principio a fin.

Preguntas frecuentes sobre el hacking ético

• ¿Cuál es la diferencia entre hacking ético y penetration testing?
• El penetration testing es una de las actividades que se incluye en el hacking ético: se centra en el intento activo de explotar vulnerabilidades específicas en un perímetro definido. El hacking ético es un concepto más amplio que también puede incluir simulaciones de ingeniería social, análisis físico de accesos, red teaming e inteligencia de amenazas, con el objetivo de replicar el comportamiento de un atacante real en su totalidad.
• ¿Qué sucede concretamente durante un compromiso de hacking ético?
• Un compromiso típico se divide en varias fases: reconocimiento (recopilación de información sobre el objetivo), identificación de vulnerabilidades, intento controlado de explotación, documentación de las rutas de ataque y producción de un informe con recomendaciones de remediación. Todo ocurre con el consentimiento explícito de la organización y en un perímetro acordado.
• ¿Quién puede solicitar un servicio de hacking ético?
• Cualquier organización que desee verificar de forma proactiva la solidez de su infraestructura de TI, sus aplicaciones o sus procesos internos. No está reservado para grandes empresas: incluso las PYMES con sistemas críticos o datos sensibles se benefician de una evaluación realizada con metodologías ofensivas controladas.

[Callforaction-EH-Footer]