InitIA-Sec LogoInitIA-Sec
Solicitar Auditoría →
← Volver a Documentación
Glosario Educativo

Glosario de Seguridad

Conceptos clave, regulaciones y tipologías de vulnerabilidad explicados de forma directa para desarrolladores y managers.

AEPD

Agencia Española de Protección de Datos. Autoridad pública encargada de velar por el cumplimiento de la normativa sobre protección de datos en España.

API

Application Programming Interface (Interfaz de Programación de Aplicaciones). Interfaz que permite que dos sistemas o aplicaciones de software se comuniquen entre sí.

BOLA

Broken Object Level Authorization (Autorización rota a nivel de objeto). Vulnerabilidad de API común donde un usuario puede acceder a los recursos de otros manipulando los identificadores de la petición.

Bypass

Evadir o esquivar un control de seguridad establecido en un sistema para realizar una acción restringida.

CORS

Cross-Origin Resource Sharing (Compartición de recursos de origen cruzado). Mecanismo del navegador que define si una página web puede hacer peticiones HTTP a un dominio diferente.

CSRF

Cross-Site Request Forgery (Falsificación de petición en sitios cruzados). Ataque que obliga al navegador de un usuario autenticado a enviar una solicitud maliciosa a una aplicación web vulnerable.

CVSS

Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidades comunes). Estándar industrial abierto que asigna una puntuación numérica (de 0.0 a 10.0) a la gravedad de los fallos de seguridad.

DAST

Dynamic Application Security Testing. Pruebas de seguridad dinámicas que analizan una aplicación en tiempo de ejecución, simulando ataques externos sin acceso al código fuente.

DDoS

Distributed Denial of Service (Denegación de servicio distribuida). Ataque masivo que busca inhabilitar un servidor enviando tráfico coordinado desde múltiples puntos de internet.

DORA

Digital Operational Resilience Act. Reglamento europeo para el sector financiero que exige auditorías continuas y gestión del riesgo de terceros.

ENS

Esquema Nacional de Seguridad de España. Conjunto de principios y requisitos obligatorios para asegurar los sistemas tecnológicos de las administraciones públicas y sus proveedores.

Escrow

Custodia de fondos por un tercero de confianza. En InitIA-Sec, retenemos la pre-autorización de pago hasta verificar el cumplimiento del servicio o liberar la devolución.

Exploit

Código de software o secuencia de comandos diseñado para aprovechar una vulnerabilidad de seguridad y realizar acciones no autorizadas.

Falso Positivo

Una alerta de seguridad que indica de forma errónea la existencia de una vulnerabilidad que en realidad no existe o no es explotable.

IDOR

Insecure Direct Object Reference (Referencia directa insegura a objetos). Tipo de vulnerabilidad donde una aplicación provee acceso directo a objetos internos usando la entrada del usuario.

Injection (Inyección)

Inserción de datos o comandos no confiables en un intérprete (ej. inyección SQL o de comandos) que altera la lógica de ejecución del programa.

JWT

JSON Web Token. Estándar abierto usado para transmitir información de forma segura entre partes en formato JSON, muy común en autenticación de APIs.

LSSI-CE

Ley de Servicios de la Sociedad de la Información de España. Regula el comercio electrónico, spam, política de cookies y contratos electrónicos.

MFA / 2FA

Multi-Factor Authentication (Autenticación multifactor). Capa de seguridad adicional que requiere dos o más evidencias de identidad independientes para iniciar sesión.

MITRE ATT&CK

Base de conocimiento global que describe de forma estructurada las tácticas y técnicas empleadas por atacantes informáticos en ataques reales.

NDA

Non-Disclosure Agreement (Acuerdo de confidencialidad). Contrato legal que asegura la estricta reserva de los datos, resultados de auditoría y secretos comerciales revelados.

NIS2

Directiva de Seguridad de Redes y Sistemas de Información de la UE. Eleva los requisitos de ciberseguridad para infraestructuras y servicios clave.

OSINT

Open Source Intelligence (Inteligencia de fuentes abiertas). Metodología de recolección de información pública en internet para analizar la superficie expuesta.

OWASP

Open Web Application Security Project. Fundación global dedicada a mejorar la seguridad del software a través de guías y consensos de desarrollo seguro.

Pentest

Penetration Testing (Prueba de penetración). Intrusión controlada y simulada contra un sistema para encontrar brechas explotables.

PII

Personally Identifiable Information (Información personal identificable). Cualquier dato que pueda identificar de forma directa o indirecta a una persona física.

Prompt Injection

Vector de ataque específico de modelos de IA / LLM donde instrucciones maliciosas insertadas por el usuario logran anular los controles de comportamiento del modelo.

RCE

Remote Code Execution (Ejecución remota de código). Vulnerabilidad crítica que permite a un atacante ejecutar comandos o software arbitrario en el servidor de la víctima.

RGPD

Reglamento General de Protección de Datos de la Unión Europea. Regula la privacidad y el uso de los datos personales.

RoE

Rules of Engagement (Reglas de Compromiso). Documento que define las fronteras de una auditoría: qué se puede escanear, cuándo, quién responde y los límites legales.

SAST

Static Application Security Testing. Análisis estático que escanea el código fuente de una aplicación en reposo para identificar fallos lógicos antes de desplegarse.

SSRF

Server-Side Request Forgery. Tipo de vulnerabilidad que permite a un atacante obligar al servidor a realizar peticiones HTTP hacia recursos internos o de terceros.

WAF

Web Application Firewall. Filtro de seguridad perimetral diseñado para monitorizar e inspeccionar el tráfico HTTP entrante para bloquear exploits comunes.

XSS

Cross-Site Scripting (Secuestro de sesión cruzada). Inyección de scripts maliciosos de JavaScript en páginas vistas por otros usuarios, vulnerando su sesión.