Definiciones completas de términos de seguridad, marcos y metodologías utilizados en pruebas de penetración, cumplimiento y DevSecOps.
Guías de configuración de seguridad basadas en consenso y mejores prácticas, desarrolladas por el Center for Internet Security. Los CIS Benchmarks proporcionan recomendaciones específicas de hardening para sistemas operativos (Windows, Linux, macOS), plataformas en la nube (AWS, Azure, GCP), dispositivos de red y aplicaciones para reducir la superficie de ataque.
Un modelo de servicio que proporciona liderazgo estratégico de seguridad sin contratar un Chief Information Security Officer a tiempo completo. Los servicios vCISO incluyen orientación de seguridad a nivel ejecutivo, gestión de riesgos, supervisión de cumplimiento, desarrollo del programa de seguridad e informes a nivel de junta.
Un marco de cumplimiento desarrollado por AICPA que evalúa cómo las organizaciones gestionan datos de clientes basándose en cinco criterios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. SOC2 Tipo I evalúa el diseño de controles; Tipo II evalúa la efectividad operativa. Esencial para empresas SaaS.
Una metodología de prueba de seguridad que analiza aplicaciones en ejecución para detectar vulnerabilidades simulando ataques contra sistemas en vivo. Las herramientas DAST prueban aplicaciones desde el exterior (prueba de caja negra), identificando problemas como inyección SQL, XSS, fallas de autenticación y errores de configuración.
La práctica de integrar pruebas y prácticas de seguridad a lo largo del ciclo de desarrollo de software, haciendo de la seguridad una responsabilidad compartida entre equipos de desarrollo, seguridad y operaciones. DevSecOps implica pruebas de seguridad automatizadas (SAST, DAST), escaneo de dependencias, seguridad de infraestructura como código y monitoreo continuo.
Técnica post-explotación donde los atacantes se mueven a través de una red de sistema en sistema después del compromiso inicial, buscando acceder a recursos adicionales, escalar privilegios y alcanzar objetivos de alto valor. Las técnicas comunes incluyen Pass-the-Hash, Pass-the-Ticket y explotación de servicios remotos.
Una tecnología revolucionaria del kernel Linux que permite a los programas ejecutarse en sandbox en el kernel sin modificar el código fuente o cargar módulos del kernel. En seguridad, eBPF impulsa herramientas de observabilidad, redes (Cilium) y seguridad en tiempo de ejecución de nueva generación con overhead mínimo.
Una técnica de ataque donde los adversarios obtienen permisos de nivel superior a los inicialmente obtenidos, típicamente moviéndose de acceso de usuario estándar a privilegios de administrador o root. La escalada vertical aumenta el acceso en el mismo sistema; la escalada horizontal accede a otras cuentas al mismo nivel.
Una extensión de DevSecOps que se enfoca específicamente en asegurar flujos de trabajo basados en Git, repositorios y pipelines CI/CD. Las prácticas de GitSecOps incluyen protección de ramas, commits firmados, escaneo de secretos, hooks pre-commit para verificaciones de seguridad y medidas de seguridad de la cadena de suministro.
Una técnica de ataque de Active Directory donde los adversarios solicitan tickets de servicio para cuentas con Service Principal Names (SPNs), luego descifran el cifrado del ticket offline para revelar la contraseña de la cuenta de servicio. El Kerberoasting exitoso frecuentemente conduce a escalada de privilegios.
Una base de conocimientos accesible globalmente de tácticas y técnicas adversarias basadas en observaciones del mundo real. MITRE ATT&CK proporciona un lenguaje común para describir el comportamiento de atacantes a través de la kill chain, permitiendo modelado de amenazas, ingeniería de detección, operaciones red team y análisis de brechas de seguridad.
Un ciberataque simulado realizado por profesionales de seguridad para identificar vulnerabilidades en sistemas, redes y aplicaciones antes de que atacantes reales puedan explotarlas. A diferencia de las evaluaciones de vulnerabilidades, las pruebas de penetración implican explotación activa para demostrar el impacto real de un ataque.
Un formato de firma genérico para sistemas SIEM que permite reglas de detección portátiles entre diferentes plataformas. Las reglas SIGMA describen patrones sospechosos en datos de logs (eventos de Windows, logs de servidor web, etc.) y pueden convertirse a consultas para Splunk, Elastic, Microsoft Sentinel y otras herramientas.
Una herramienta de coincidencia de patrones utilizada principalmente para identificación y clasificación de malware. Las reglas YARA describen patrones (cadenas, secuencias de bytes, condiciones) para identificar familias de malware, archivos sospechosos o indicadores de compromiso.
Una metodología de prueba de seguridad que analiza código fuente, bytecode o binarios para detectar vulnerabilidades de seguridad sin ejecutar la aplicación. Las herramientas SAST (como Semgrep, Bearer, SonarQube) identifican problemas temprano en el desarrollo incluyendo inyección SQL, XSS, criptografía insegura y secretos codificados.
Un inventario formal y legible por máquina de componentes de software y dependencias utilizados en la construcción de una aplicación. Los SBOMs permiten el seguimiento de vulnerabilidades, cumplimiento de licencias y seguridad de la cadena de suministro. Los formatos incluyen SPDX y CycloneDX.
Un marco de seguridad para asegurar la integridad de artefactos de software a lo largo de la cadena de suministro. SLSA proporciona niveles incrementales de aseguramiento (1-4) cubriendo integridad de fuente, integridad de construcción y procedencia.
Ver Reglas YARA.
Un modelo de seguridad basado en el principio "nunca confíes, siempre verifica" que requiere verificación estricta de identidad para cada persona y dispositivo que intenta acceder a recursos, independientemente de la ubicación en la red. Zero Trust elimina la confianza implícita, implementa acceso de mínimo privilegio y valida continuamente la postura de seguridad.
Nuestro equipo puede ayudarle a implementar estas prácticas de seguridad. Comience con una consulta.
Contáctenos