Glosario de seguridad digital

A

Ataque por diccionario

Técnica de descifrado que prueba contraseñas tomadas de listas de palabras y claves filtradas. Es mucho más rápida que la fuerza bruta pura porque ataca primero las opciones más probables.

Ataque por fuerza bruta

Técnica que prueba todas las combinaciones posibles hasta dar con la correcta. Solo es eficaz contra contraseñas cortas; una clave de 16 caracteres aleatorios la deja inviable.

Autenticación

Proceso por el que un sistema verifica que el usuario es quien dice ser, normalmente mediante contraseña, un segundo factor o ambos.

Autorelleno

Función de los gestores y navegadores que completa automáticamente los campos de usuario y contraseña en una página. Ayuda a detectar páginas falsas porque solo rellena en el dominio donde guardaste la clave.

B

Biometría

Autenticación basada en características físicas como la huella, el rostro o el iris. Es cómoda y rápida, pero conviene combinarla con una contraseña o llave para casos en los que la biometría falle.

Bóveda

Archivo cifrado en el que un gestor de contraseñas almacena todas tus claves y datos protegidos. Solo se abre con la contraseña maestra.

Brecha de datos

Incidente en el que la base de datos de un servicio queda expuesta y sus usuarios o contraseñas terminan circulando públicamente. Ver guía sobre filtraciones.

C

Cifrado

Transformación matemática de un mensaje para que solo pueda leerlo quien posea la clave correcta. Sin la clave, los datos son inservibles.

Cifrado de conocimiento cero

Modelo en el que los datos se cifran en tu dispositivo antes de salir; ni siquiera el proveedor del servicio puede leerlos. Es el estándar de los gestores de contraseñas serios.

Clave maestra

Contraseña principal que abre tu gestor de contraseñas. Como protege todas las demás, debe ser larga, única y memorable: una frase de 6-7 palabras al azar.

Contraseña

Cadena de caracteres secreta que un usuario presenta para autenticarse. Su seguridad depende sobre todo de su longitud y aleatoriedad.

Credential stuffing

Ataque automatizado que prueba pares de correo+contraseña filtrados de un servicio en otros servicios populares, aprovechando la reutilización de claves.

D

Derivación de clave

Proceso que convierte una contraseña en una clave criptográfica aplicando muchas iteraciones de una función matemática (PBKDF2, Argon2, scrypt). Frena los ataques por fuerza bruta al ralentizar cada intento.

Dominio

El nombre web de un sitio (ejemplo.com). El autorelleno y las llaves FIDO2 lo usan para distinguir entre la página real y una imitación.

E

Entropía

Medida de la incertidumbre que un atacante encuentra al adivinar una contraseña. Cada bit de entropía dobla el número de intentos necesarios. Una clave aleatoria de 80 bits está fuera del alcance práctico.

Extensión de navegador

Complemento que añade funciones a Chrome, Firefox, Safari u otros. Los gestores de contraseñas usan extensiones para autocompletar formularios y detectar dominios.

F

FIDO2 / WebAuthn

Estándar moderno de autenticación con llaves físicas o passkeys. Resistente al phishing porque solo firma en el dominio correcto.

Frase de contraseña (passphrase)

Secuencia de varias palabras independientes elegidas al azar. Más larga y memorable que una contraseña tradicional, con buena entropía. Ver generador de frases.

Fuerza bruta

Ver Ataque por fuerza bruta.

G

Gestor de contraseñas

Aplicación que guarda tus contraseñas en una bóveda cifrada y solo requiere recordar una clave maestra. Permite tener una contraseña única por cuenta sin esfuerzo de memoria. Ver guía completa.

H

Hash

Resultado de una función matemática que toma un texto de cualquier longitud y devuelve una cadena de tamaño fijo. Es imposible recuperar el texto original a partir del hash. Los servicios deberían guardar hashes de contraseñas, no las claves en claro.

Hash con sal (salt)

Variante del hash que añade una cadena aleatoria única a cada contraseña antes de calcularlo. Evita que dos usuarios con la misma clave generen el mismo hash y dificulta los ataques con tablas precalculadas.

HTTPS

Protocolo que cifra la comunicación entre tu navegador y el sitio web. Una página sin HTTPS no debería pedir contraseñas: cualquiera en la red podría leerlas.

I

Ingeniería social

Técnica de ataque que manipula a la persona en lugar de a la tecnología: llamadas falsas, correos engañosos, suplantación de identidad. Suele ser más efectiva que cualquier exploit técnico.

Intercambio de SIM (SIM swap)

Ataque en el que el atacante consigue que el operador le emita una SIM nueva con tu número, normalmente con ingeniería social. Le permite recibir los SMS de 2FA dirigidos a tu teléfono.

K

K-anonimato

Modelo de privacidad que permite consultar bases de datos sin revelar el dato concreto, enviando solo una parte del hash. Lo usan servicios como Pwned Passwords.

Keylogger

Programa malicioso que registra las pulsaciones de teclado para capturar contraseñas mientras las escribes.

L

Llave física (security key)

Dispositivo USB o NFC que firma criptográficamente los inicios de sesión. El método de 2FA más resistente al phishing.

Longitud

Número de caracteres de una contraseña. Es, con diferencia, el factor que más influye en su resistencia a ataques.

M

MFA (autenticación multifactor)

Sistema que combina varios factores de autenticación. La 2FA es el caso más habitual, con dos factores: algo que sabes y algo que tienes.

P

Passkey

Credencial criptográfica que sustituye a la contraseña. Se basa en pares de claves pública y privada y suele sincronizarse entre dispositivos. Es resistente al phishing porque depende del dominio.

Phishing

Suplantación de un sitio o servicio legítimo para engañar al usuario y conseguir que introduzca sus credenciales o haga clic en un enlace malicioso.

PIN

Número de identificación personal, normalmente corto, que protege un dispositivo o tarjeta. No es una contraseña: depende de que el dispositivo bloquee tras varios intentos fallidos.

R

Recuperación de cuenta

Proceso para volver a entrar en una cuenta cuando pierdes la contraseña o el segundo factor. Puede usar correo, teléfono, preguntas de seguridad o códigos de respaldo.

Reutilización de contraseñas

Práctica de usar la misma clave en varios servicios. Es el error más extendido y el de mayor impacto: una sola filtración derriba todas las cuentas que la comparten.

S

Sal (salt)

Ver Hash con sal.

SMS-2FA

Variante de 2FA en la que el segundo factor es un código enviado por mensaje. Mejor que nada, pero vulnerable al intercambio de SIM.

T

TOTP

Time-based One-Time Password. Código numérico de 6 cifras generado por una app a partir de una clave secreta y la hora actual. Cambia cada 30 segundos.

U

Único

Aplicado a una contraseña, significa que no se usa en ningún otro servicio. La unicidad es tan importante como la longitud.

V

Verificación en dos pasos (2FA)

Sistema que exige presentar dos pruebas independientes para iniciar sesión: típicamente la contraseña y un código generado por una app, una llave física o un SMS. Ver guía completa.

W

WebAuthn

Ver FIDO2 / WebAuthn.