Glosario Seguro ‘S’


Término Definición
SaaS
Son las siglas de Software as a Service, es decir la utilización de Software como un servicio.
Es un modelo de distribución de software donde tanto el software como los datos que maneja se alojan en servidores de un tercero (generalmente el fabricante del software) y el cliente accede a los mismos vía Internet.
Secuencias de comandos en sitios cruzados
Léase XSS.
Servidor
Puede entenderse como servidor tanto el software que realiza ciertas tareas en nombre de los usuarios, como el equipo de cómputo físico en el cual funciona ese software, una máquina cuyo propósito es proveer y gestionar datos de algún tipo de forma que estén disponibles para otras máquinas que se conecten a él.
Así, se entiende por servidor tanto el equipo que almacena una determinada información como el programa de software encargado de gestionar dicha información y ofrecerla.
Algunos ejemplos de servidores son los que proporcionan el alojamiento de sitios web y los que proporcionan el servicio de envío, reenvío y recepción de correos electrónicos.
SGSI
Sistema de Gestión de la seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Sistemas de reputación
En los servicios de compraventa online se suelen adoptar sistemas de reputación. Estos sistemas permiten conocer la opinión de otros compradores y sus experiencias para valorar si el sitio merece nuestra confianza.
Estos sistemas permiten que los usuarios que han utilizado un servicio de compraventa online publiquen sus opiniones y experiencias con éste y califiquen el servicio. A partir de esta información, nosotros se puede hacer una idea del nivel de confianza, seguridad y garantía que se obtiene del servicio si se decide utilizar.
Estos sistemas son ventajosos tanto para los propietarios de los servicios de compraventa online como para sus usuarios, por esto, no es de extrañar que las páginas especializadas en compraventa, subastas y venta por Internet demuestren su interés en utilizarlos.
Otro ejemplo de sistema de reputación son las listas negras que valoran si una dirección IP son emisoras de spam o que valoran si una dirección IP aloja phishing. Estos sistemas de reputación ayudan a evitar ser víctimas de spam o phishing.
SLA Un acuerdo de nivel de servicio o ANS (en inglés Service Level Agreement o SLA), es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio.
El ANS es una herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio, etc.
SMTP
El Protocolo Simple de Transferencia de Correo (o Simple Mail Transfer Protocol del inglés) es un protocolo de red utilizado para el intercambio de mensajes de correo electrónico.
Este protocolo, aunque es el más comúnmente utilizado, posee algunas limitaciones en cuanto a la recepción de mensajes en el servidor de destino (cola de mensajes recibidos).
Como alternativa a esta limitación crearon los protocolos POP o IMAP, otorgando a SMTP la tarea específica de enviar correo, y recibirlos empleando los otros protocolos antes mencionados (POP O IMAP).
Sniffer
Es un programa que monitoriza la información que circula por la red con el objeto de capturar información.
Las tarjetas de red pueden verificar si la información recibida está dirigida o no a su sistema.
Si no es así, la rechaza. Un sniffer lo que hace es colocar a la placa de red en un modo el cual desactiva el filtro de verificación de direcciones (promiscuo) y por lo tanto acepta todos los paquetes que llegan a la tarjeta de red del dispositivo donde está instalado estén dirigidos o no a el.
El tráfico que no viaje cifrado podrá por tanto ser «escuchado» por el usuario del sniffer.
El análisis de tráfico puede ser utilizado también para determinar relaciones entre varios usuarios (conocer con qué usuarios o sistemas se relaciona alguien en concreto).
No es fácil detectar si nuestro tráfico de red está siendo «escuchado» mediante un sniffer, por lo que siempre es recomendable utilizar tráfico cifrado en todas las comunicaciones.
Software malicioso Sinónimo de Malware.
Spyware
Es un malware que recopila información de un equipo de cómputo y después la envía a una entidad remota sin el conocimiento o el consentimiento del propietario del dispositivo.
El término spyware también se utiliza más ampliamente para referirse a otros productos como adware, falsos antivirus o troyanos.
Spoofing
Es una técnica de suplantación de identidad en la Red, llevada a cabo por un ciberdelincuente generalmente gracias a un proceso de investigación o con el uso de malware. Los ataques de seguridad en las redes usando técnicas de spoofing ponen en riesgo la privacidad de los usuarios, así como la integridad de sus datos.
De acuerdo a la tecnología utilizada se pueden diferenciar varios tipos de spoofing:
IP spoofing: consiste en la suplantación de la dirección IP de origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar.
ARP spoofing: es la suplantación de identidad por falsificación de tabla ARP. ARP (Address Resolution Protocol) es un protocolo de nivel de red que relaciona una dirección MAC con la dirección IP del dispositivo. Por lo tanto, al falsear la tabla ARP de la víctima, todo lo que se envíe a un usuario , será direccionado al atacante.
DNS spoofing: es una suplantación de identidad por nombre de dominio, la cual consiste en una relación falsa entre IP y nombre de dominio.
Web spoofing: con esta técnica el atacante crea una falsa página web, muy similar a la que suele utilizar el afectado con el objetivo de obtener información de dicha víctima como contraseñas, información personal, datos facilitados, páginas que visita con frecuencia, perfil del usuario, etc. Los ataques de phishing son un tipo de Web spoofing.
Mail spoofing: suplantación de correo electrónico bien sea de personas o de entidades con el objetivo de llevar a cabo envío masivo de spam.
SQL Injection Sinónimo de Inyección SQL.
SSL
Es un protocolo criptográfico seguro que proporciona comunicaciones seguras a través de una red (por ejemplo Internet). Generalmente comunicaciones cliente-servidor. El uso de SSL (Secure Sockets Layer) proporciona autenticación y privacidad de la información entre extremos sobre una red mediante el uso de criptografía.
SSL garantiza la confidencialidad de la información utilizando una clave de cifrado simétrica y para garantizar la autenticación y seguridad de la clave simétrica, se utilizan algoritmos de cifrado asimétrico y certificados X.509.
En comunicaciones SSL de forma general solo se autentica el lado del servidor mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (PKI) para los clientes.
SSL ha evolucionado hacia TLS, siglas en ingles de «seguridad de la capa de transporte» (Transport Layer Security) protocolo ampliamente utilizado en la actualidad.
Suplantación de identidad
Es la actividad maliciosa en la que un atacante se hace pasar por otra persona para cometer algún tipo de fraude, acoso (cyberbulling).
Un ejemplo es, en las redes sociales, crear un perfil de otra persona e interactuar con otros usuarios haciéndose pasar por ella.