Glosario de seguridad y cifrado
Explicaciones en lenguaje sencillo de los conceptos de seguridad detrás de Vaulted.
AES-256-GCM
AES-256-GCM es un algoritmo de cifrado simétrico que combina el Advanced Encryption Standard con una clave de 256 bits y el modo Galois/Counter, ofreciendo tanto la confidencialidad de los datos como la verificación de integridad integrada en una sola operación.
Arquitectura de conocimiento cero
La arquitectura de conocimiento cero es un diseño de sistema en el que el proveedor del servicio no tiene capacidad alguna de acceder, leer ni descifrar los datos que almacena en nombre de los usuarios, porque todas las operaciones de cifrado y descifrado ocurren del lado del cliente.
Ataque de fuerza bruta
Un ataque de fuerza bruta es un método de criptoanálisis que intenta determinar una contraseña, una clave de cifrado u otro secreto probando sistemáticamente todas las combinaciones posibles hasta encontrar el valor correcto.
Ataque de intermediario
Un ataque de intermediario (MITM) es un ciberataque en el que un adversario intercepta de forma secreta —y potencialmente altera— las comunicaciones entre dos partes que creen estar comunicándose directamente entre sí.
Autenticación multifactor
La autenticación multifactor (MFA) es un método de autenticación que requiere que un usuario presente dos o más credenciales independientes de categorías distintas —algo que sabe, algo que tiene o algo que es— antes de concederle acceso.
Autoridad de certificación
Una autoridad de certificación (CA) es una organización externa de confianza que emite, firma y gestiona los certificados digitales utilizados para verificar la identidad de entidades —como sitios web, organizaciones o dispositivos— dentro de una infraestructura de clave pública.
bcrypt
bcrypt es una función de hashing de contraseñas basada en el cifrado por bloques Blowfish que incorpora una sal integrada y un factor de coste configurable, diseñada para ser computacionalmente costosa de un modo que resiste específicamente la aceleración mediante GPU y hardware especializado.
Brecha de datos
Una brecha de datos es un incidente de seguridad en el que datos sensibles, protegidos o confidenciales son accedidos, divulgados o robados por una parte no autorizada, ya sea a través de un ataque informático, una amenaza interna, una mala configuración o una exposición accidental.
Cifrado asimétrico
El cifrado asimétrico es un sistema criptográfico que utiliza un par de claves relacionadas matemáticamente —una clave pública que cualquiera puede usar para cifrar datos y una clave privada que solo el propietario posee para descifrarlos—, eliminando la necesidad de compartir una clave secreta de antemano.
Cifrado de extremo a extremo
El cifrado de extremo a extremo (E2EE) es un método de comunicación en el que los datos se cifran en el dispositivo del remitente y solo pueden descifrarse en el dispositivo del destinatario, garantizando que ningún intermediario, incluido el proveedor del servicio, pueda acceder al contenido en texto plano.
Cifrado del lado del cliente
El cifrado del lado del cliente es la práctica de cifrar los datos en el dispositivo del usuario —normalmente en un navegador o una aplicación nativa— antes de transmitirlos a un servidor, garantizando que el servidor solo reciba y almacene datos cifrados.
Cifrado en reposo
El cifrado en reposo es la práctica de almacenar datos de forma cifrada en almacenamiento persistente —como discos, bases de datos o medios de copia de seguridad— de modo que los datos permanezcan protegidos aunque el medio de almacenamiento se vea comprometido.
Cifrado en tránsito
El cifrado en tránsito es la práctica de cifrar los datos mientras viajan entre dos sistemas a través de una red, normalmente implementado mediante TLS (Transport Layer Security) o su predecesor SSL, para evitar la interceptación y la manipulación.
Cifrado simétrico
El cifrado simétrico es un método criptográfico en el que se utiliza la misma clave secreta tanto para el cifrado como para el descifrado. Tanto el remitente como el destinatario deben poseer la clave idéntica para cifrar y descifrar los datos.
Compartición de secretos
La compartición de secretos, en el contexto de la gestión de credenciales, es la práctica de transmitir información sensible —como contraseñas, claves de API o claves privadas— entre partes a través de un canal diseñado para minimizar la exposición, limitar la persistencia y evitar el acceso no autorizado.
Confianza cero
La confianza cero es una arquitectura de seguridad que elimina la confianza implícita basada en la ubicación de red y, en su lugar, exige la verificación continua de la identidad, el estado del dispositivo y la autorización para cada solicitud de acceso a cada recurso.
Control de acceso
El control de acceso es el conjunto de mecanismos y políticas de seguridad que regulan qué usuarios, sistemas o procesos pueden acceder a recursos específicos y qué acciones están autorizados a realizar sobre esos recursos.
Control de acceso basado en roles
El control de acceso basado en roles (RBAC) es un modelo de control de acceso en el que los permisos se asignan a roles —como administrador, editor o lector— y los usuarios obtienen permisos al ser asignados a esos roles, en lugar de concederles permisos directamente a cuentas individuales.
Derivación de claves
La derivación de claves es el proceso de transformar un valor de origen —normalmente una contraseña, una frase de contraseña o un secreto compartido— en una o más claves criptográficas mediante un algoritmo determinista diseñado para producir material de clave de alta entropía.
Envoltura de claves
La envoltura de claves es una operación criptográfica que cifra una clave (la clave de carga útil) usando otra clave (la clave de envoltura o clave de cifrado de claves), proporcionando protección de confidencialidad e integridad al material de clave durante su almacenamiento o transporte.
Escalada de privilegios
La escalada de privilegios es una técnica de ataque en la que un adversario explota una vulnerabilidad, una mala configuración o una credencial robada para obtener permisos de nivel superior a los autorizados originalmente, pasando normalmente de un usuario normal a una cuenta de administrador o de root.
Exfiltración de datos
La exfiltración de datos es la transferencia no autorizada de datos desde los sistemas de una organización a una ubicación externa controlada por un atacante, ya sea mediante técnicas basadas en red, soportes físicos o cuentas comprometidas.
Firma digital
Una firma digital es un esquema criptográfico que utiliza una clave privada para generar una firma sobre un mensaje o documento, que cualquiera con la clave pública correspondiente puede verificar para confirmar la autenticidad y la integridad de los datos.
Fragmento de URL
Un fragmento de URL es la parte de una URL que aparece después del símbolo de almohadilla (#). Según el RFC 3986, los navegadores procesan los fragmentos únicamente del lado del cliente y nunca los incluyen en las peticiones HTTP enviadas al servidor.
Gestión de credenciales
La gestión de credenciales es el conjunto de políticas, procesos y herramientas que se utilizan para manejar de forma segura todo el ciclo de vida de las credenciales de acceso, incluyendo su creación, almacenamiento seguro, compartición controlada, rotación periódica y revocación oportuna.
Gestión de secretos
La gestión de secretos es la disciplina de almacenar, distribuir, rotar y auditar de forma segura credenciales sensibles —como claves de API, contraseñas, tokens, certificados y claves de cifrado— en aplicaciones, infraestructura y equipos.
Hashing de contraseñas
El hashing de contraseñas es la práctica de aplicar una función criptográfica de un solo sentido y computacionalmente costosa a una contraseña —combinada con una sal única— para producir un resumen de longitud fija que permite verificar la contraseña sin almacenarla de forma recuperable.
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) es una ley federal de Estados Unidos que establece estándares nacionales para proteger la privacidad y la seguridad de la información sanitaria identificable individualmente, conocida como Información Sanitaria Protegida (PHI).
HMAC
HMAC (Hash-Based Message Authentication Code) es un mecanismo criptográfico que combina una función hash criptográfica con una clave secreta para producir un código de autenticación de tamaño fijo, permitiendo al destinatario verificar tanto la integridad como la autenticidad de un mensaje.
Infraestructura de clave pública
La infraestructura de clave pública (PKI) es un marco integral de roles, políticas, hardware, software y procedimientos que se utiliza para crear, gestionar, distribuir, almacenar y revocar certificados digitales y los pares de claves pública-privada asociados.
Ingeniería social
La ingeniería social es una clase de técnicas de ataque que manipulan la psicología humana —la confianza, el miedo, la urgencia o la disposición a ayudar— para engañar a las personas y hacer que divulguen información confidencial, concedan acceso no autorizado o realicen acciones que comprometan la seguridad.
Inicio de sesión único
El inicio de sesión único (SSO) es un esquema de autenticación que permite a un usuario autenticarse una sola vez ante un proveedor de identidad central y, a continuación, acceder a múltiples aplicaciones y servicios independientes sin que se le vuelvan a solicitar credenciales.
JSON Web Token
Un JSON Web Token (JWT) es un formato de token compacto y seguro para URL, definido por el RFC 7519, que representa reclamaciones entre dos partes como un objeto JSON firmado digitalmente, permitiendo la autenticación sin estado y el intercambio de información.
Mensajes autodestructivos
Los mensajes autodestructivos son mensajes o datos compartidos diseñados para eliminarse de forma automática y permanente después de accederse a ellos un número determinado de veces o tras expirar un periodo de tiempo definido.
Nonce
Un nonce (number used once, número usado una sola vez) es un valor único, normalmente aleatorio o secuencial, que se usa exactamente una vez en una operación criptográfica para garantizar que entradas idénticas produzcan salidas diferentes, evitando los ataques de repetición y el análisis de patrones.
OAuth
OAuth 2.0 es un marco de autorización abierto que permite a una aplicación de terceros obtener acceso limitado a los recursos de un usuario en otro servicio —como su perfil o sus datos— sin que el usuario comparta su contraseña con el tercero.
PBKDF2
PBKDF2 (Password-Based Key Derivation Function 2) es un algoritmo de derivación de claves definido en el RFC 8018 que aplica una función pseudoaleatoria —normalmente HMAC-SHA-256— de forma iterativa a una contraseña y un salt para producir una clave derivada que es computacionalmente costosa de forzar por fuerza bruta.
PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de requisitos de seguridad establecidos por el PCI Security Standards Council para proteger los datos de los titulares de tarjetas y garantizar que todas las organizaciones que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.
Phishing
El phishing es un ataque de ingeniería social en el que un adversario envía comunicaciones fraudulentas —normalmente correo electrónico, SMS o mensajes instantáneos— que suplantan a una entidad de confianza para engañar a los destinatarios y hacer que revelen información sensible, hagan clic en enlaces maliciosos o instalen malware.
Prevención de pérdida de datos
La prevención de pérdida de datos (DLP) es un conjunto de estrategias, herramientas y procesos diseñados para detectar e impedir la transmisión, fuga o exfiltración no autorizada de datos sensibles fuera de una organización, ya sea intencionada o accidental.
Principio de mínimo privilegio
El principio de mínimo privilegio es un concepto de seguridad que establece que a todo usuario, proceso o sistema solo se le debe conceder el nivel mínimo de acceso —y durante el mínimo tiempo— necesario para desempeñar su función autorizada.
Ransomware
El ransomware es un malware que cifra los archivos de una víctima o la bloquea fuera de sus sistemas, y luego exige un pago —normalmente en criptomoneda— a cambio de la clave de descifrado o de la restauración del acceso.
Registro de auditoría
Un registro de auditoría es un historial cronológico y a prueba de manipulaciones de los eventos y actividades de un sistema —incluidas las acciones de los usuarios, los intentos de acceso, los cambios de configuración y los eventos de seguridad— que se mantiene con fines de responsabilidad, cumplimiento normativo y análisis forense.
RGPD
El Reglamento General de Protección de Datos (RGPD) es una ley integral de protección de datos promulgada por la Unión Europea que regula cómo las organizaciones recopilan, tratan, almacenan y comparten los datos personales de las personas dentro de la UE y el Espacio Económico Europeo.
Rotación de claves
La rotación de claves es la práctica de seguridad de reemplazar periódicamente las claves criptográficas o credenciales activas por otras recién generadas, retirando o revocando las antiguas, para limitar la ventana de exposición si una clave se ve comprometida.
RSA
RSA (Rivest-Shamir-Adleman) es un algoritmo criptográfico asimétrico que deriva su seguridad de la dificultad computacional de factorizar el producto de dos grandes números primos, utilizado para el cifrado, las firmas digitales y el intercambio seguro de claves.
Salt (criptografía)
Un salt criptográfico es un valor aleatorio que se combina con una contraseña u otra entrada antes de que sea procesada por una función hash o una función de derivación de claves, garantizando que entradas idénticas produzcan salidas diferentes y frustrando las tablas de ataque precalculadas.
Secretos efímeros
Los secretos efímeros son elementos de datos sensibles —como contraseñas, tokens o claves— diseñados intencionadamente para existir durante un periodo de tiempo limitado o un número limitado de accesos antes de ser destruidos de forma permanente e irrecuperable.
SHA-256
SHA-256 (Secure Hash Algorithm de 256 bits) es una función hash criptográfica de la familia SHA-2 que toma una entrada de longitud arbitraria y produce un resumen fijo de 256 bits (32 bytes), diseñada para ser una función unidireccional en la que la salida no revela nada sobre la entrada.
SOC 2
SOC 2 (System and Organization Controls 2) es un marco de auditoría desarrollado por la AICPA que evalúa los controles de una organización de servicios relacionados con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad, conocidos como los Criterios de Servicios de Confianza.
Texto cifrado
El texto cifrado es la salida cifrada de un algoritmo criptográfico: una representación codificada de los datos originales que resulta ilegible sin la clave de descifrado correspondiente.
Texto plano
El texto plano son datos en su forma original, sin cifrar y legible por personas. En criptografía, se refiere a la entrada de un algoritmo de cifrado o a la salida de un algoritmo de descifrado.
TLS/SSL
TLS (Transport Layer Security) es un protocolo criptográfico que proporciona privacidad, integridad de los datos y autenticación a la comunicación entre dos partes a través de una red. SSL (Secure Sockets Layer) es su predecesor obsoleto; las referencias modernas a «SSL» casi siempre significan TLS.
Vector de inicialización
Un vector de inicialización (IV) es un valor aleatorio o pseudoaleatorio que se usa como entrada adicional de un algoritmo de cifrado junto a la clave, garantizando que un texto plano idéntico cifrado con la misma clave produzca un texto cifrado diferente en cada operación.
Web Crypto API
La Web Crypto API es un estándar del W3C que proporciona una interfaz de JavaScript a un conjunto de primitivas criptográficas —incluyendo cifrado, descifrado, generación de claves, hashing y firma— implementadas de forma nativa en el navegador.