Glosario Seguro ‘P’


Término Definición
P2P
P2P (del inglés Peer-to-Peer) es un modelo de comunicaciones entre sistemas o servicios en el cual todos los nodos/extremos son iguales, tienen las mismas capacidades y cualquiera de ellas puede iniciar la comunicación.
Se trata de un modelo opuesto al cliente/servidor en donde el servidor se encuentra a la espera de una comunicación por parte del cliente. El modelo P2P se basa en que todos los nodos actúan como servidores y clientes a la vez.
Una red P2P es por tanto una red de sistemas o servicios que utiliza un modelo P2P. Todos los sistemas/servicios conectados entre sí y que se comportan como iguales con un objetivo en común.
Por ejemplo las botnets P2P utilizan este modelo para evitar que haya un servidor central único fácilmente detectable.
Parche de seguridad
Un parche de seguridad es un conjunto de cambios que se aplican a un software para corregir errores de seguridad en programas o sistemas operativos. Generalmente los parches de seguridad son desarrollados por el fabricante del software tras la detección de una vulnerabilidad en el software y pueden instalarse de forma automática o manual por parte del usuario.
PCI DSS
PCI DSS (del Inglés Payment Card Industry Data Security Standard) es, como su nombre indica un Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago.
Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan o transmiten datos de tarjetas (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito.
Pentest
Sinónimo de Prueba de penetración.
PGP
Pretty Good Privacy, más conocido como PGP, es un programa para proteger la información transmitida por internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos mediante firma electrónica. PGP protege no solo los datos durante su tránsito por la Red, como para proteger archivos almacenados en disco. PGP goza de gran popularidad por su facilidad de uso y por su alto nivel de fiabilidad.
El estándar de Internet OpenPGP, basado en PGP, es uno de los estándares de cifrado de correo electrónico más utilizados.
Pharming
Ataque informático que aprovecha una vulnerabilidad del software de los servidores DNS y que consiste en modificar o sustituir el archivo del servidor de nombres de dominio cambiando la dirección IP legítima de una entidad (comúnmente una entidad bancaria) de manera que en el momento en el que el usuario escribe el nombre de dominio de la entidad en la barra de direcciones, el navegador redirigirá automáticamente al usuario a una dirección IP donde se aloja una web falsa que suplantará la identidad legítima de la entidad, obteniéndose de forma ilícita las claves de acceso de los clientes la entidad.
Phishing
Es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir,
de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta.
El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para que el receptor de una comunicación electrónica aparentemente oficial (vía e-mail, fax, SMS o telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan de interés para el estafador.
Existen diferentes modalidades de phishing. Cuando éste se realiza vía SMS el nombre técnico es Smishing y cuando se realiza utilizando Voz sobre IP, se denomina vishing. Otra variedad es el spear phishing, en la que los atacantes intentan mediante un correo electrónico, que aparenta ser de un amigo o de empresa conocida, conseguir que les facilitemos: información financiera, números de tarjeta de crédito, cuentas bancarias o contraseñas.
PKI Sinónimo de Infraestructura de clave pública.
Plan de contingencia
Un Plan de Contingencia de las Tecnologías de la Información y las Comunicaciones (TIC) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el Plan de Continuidad de Negocio de la compañía.
Plan de continuidad de Negocio
Es un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una organización. También se conoce como BCP.
Política de seguridad
Son las decisiones o medidas de seguridad que una empresa ha decidido tomar respecto a la seguridad de sus sistemas de información después de evaluar el valor de sus activos y los riegos a los que están expuestos.
Este término también se refiere al documento de nivel ejecutivo mediante el cual una empresa establece sus directrices de seguridad de la información.
Programa espía
Sinónimo de Spyware.
Protocolo
Es un sistema de reglas que permiten que dos o más entidades se comuniquen entre ellas para transmitir información por medio de cualquier tipo de medio físico.
Se trata de las reglas o el estándar que define la sintaxis, semántica y sincronización de la comunicación, así como también los posibles métodos de recuperación de errores.
Los protocolos pueden ser implementados por hardware, por software, o por una combinación de ambos.
Proveedor de acceso
Se denomina proveedor de acceso (a Internet) a todos los prestadores de servicios de la Sociedad de la Información que proporcionan a sus usuarios/clientes acceso a redes de telecomunicaciones, tanto fijas como móviles.
En inglés se denomina ISP, acrónimo de Internet Service Provider.
Proxy
El proxy es tanto el equipo, como el software encargado de dar el servicio, que hacen de intermediario en las peticiones de los equipos de la redes LAN hacia Internet. Su cometido es de centralizar el tráfico entre Internet y una red privada, de forma que se
evita que cada una de las máquinas de la red privada tenga que disponer necesariamente de una conexión directa a Internet y una dirección IP pública.
A mismo tiempo un proxy puede proporcionar algunos mecanismos de seguridad (firewall o cortafuegos) que impiden accesos no autorizados desde el exterior hacia la red privada.
Prueba de penetración
Es un ataque a un sistema software o hardware con el objetivo de encontrar vulnerabilidades. El ataque implica un análisis activo de cualquier vulnerabilidad potencial, configuraciones deficientes o inadecuadas, tanto de hardware como de software, o deficiencias operativas en las medidas de seguridad.
Este análisis se realiza desde la posición de un atacante potencial y puede implicar la explotación activa de vulnerabilidades de seguridad.
Tras la realización del ataque se presentará una evaluación de seguridad del sistema, indicando todos los problemas de seguridad detectados junto con una propuesta de mitigación o una solución técnica.
La intención de una prueba de penetración es determinar la viabilidad de un ataque y el impacto en el negocio de un ataque exitoso.
Puerta trasera
Se denomina backdoor o puerta trasera a cualquier punto débil de un programa o sistema mediante el cual una persona no autorizada puede acceder a un sistema.
Las puertas traseras pueden ser errores o fallos, o pueden haber sido creadas a propósito, por los propios autores pero al ser descubiertas por terceros, pueden ser utilizadas con fines ilícitos.
Por otro lado, también se consideran puertas traseras a los programas que, una vez instalados en el dispositivo de la víctima, dan el control de éste de forma remota al atacante.
Por lo tanto aunque no son específicamente virus, pueden llegar a ser un tipo de malware que funcionan como herramientas de control remoto. Cuentan con una codificación propia y usan cualquier servicio de Internet: correo, mensajería instantánea, http, ftp, telnet o chat. Chat.