Glosario
Definiciones claras de los términos más importantes de ciberseguridad y protección de datos.
A
- Amenaza
- Cualquier circunstancia o evento con el potencial de explotar una vulnerabilidad y causar daño a los sistemas de información de una organización. Las amenazas pueden ser naturales (inundación, terremoto), accidentales (error humano) o deliberadas (ataque cibernético, robo).
- Ver también: Vulnerabilidad, Riesgo, Vector de ataque
- ANCI
- Agencia Nacional de Ciberseguridad de Chile: organismo público autónomo creado por la Ley Marco de Ciberseguridad (Ley 21.663, promulgada en 2024) para regular, supervisar y coordinar la ciberseguridad a nivel nacional. Es la autoridad competente en materia de ciberseguridad en Chile, con facultades para dictar normas técnicas, fiscalizar su cumplimiento, aplicar sanciones, recibir reportes de incidentes y coordinar la respuesta nacional ante ciberataques. Las empresas designadas como Operadores de Importancia Vital (OIV) tienen obligaciones específicas ante la ANCI.
- Ver también: Operador de importancia vital, Incidente de ciberseguridad, NIST CSF, Ley 21.663
- Auditoría de seguridad
- Revisión sistemática e independiente de los controles, políticas y procedimientos de seguridad de una organización para determinar si son adecuados, si se aplican correctamente y si cumplen con los estándares y normativas aplicables. Puede ser interna (realizada por personal de la propia empresa) o externa (realizada por una firma especializada independiente). A diferencia de un penetration test, que busca activamente vulnerabilidades técnicas, una auditoría de seguridad también evalúa procesos, documentación, cumplimiento normativo y cultura organizacional.
- Ver también: Penetration Testing, ISO 27001, NIST CSF, Vulnerabilidad
- Autenticación
- Proceso de verificar que una persona, sistema o dispositivo es realmente quien dice ser antes de conceder acceso a un recurso. Los métodos más comunes son la contraseña (algo que sabes), un token o teléfono (algo que tienes) y la biometría (algo que eres). Combinar dos o más de estos métodos se llama autenticación multifactor (MFA) y reduce drásticamente el riesgo de accesos no autorizados.
- Ver también: Autenticación multifactor, Contraseña, Phishing, Credential Stuffing
- Autenticación multifactor (MFA)
- Método de verificación de identidad que requiere que el usuario proporcione dos o más factores de autenticación distintos. Los factores son: algo que sabes (contraseña), algo que tienes (teléfono, token) y algo que eres (huella, rostro). MFA reduce drásticamente el riesgo de acceso no autorizado incluso si una contraseña es robada.
- Ver también: Contraseña, Phishing, Acceso no autorizado
B
- BEC
- Compromiso de Correo Empresarial (Business Email Compromise): tipo de fraude sofisticado en el que los atacantes se hacen pasar por un ejecutivo de la empresa (CEO, gerente de finanzas) o por un proveedor de confianza para engañar a empleados y lograr que autoricen transferencias de dinero a cuentas fraudulentas o revelen información confidencial. Los correos suelen ser muy convincentes porque los atacantes investigan previamente a la empresa y sus empleados. Es el cibercrimen que genera más pérdidas económicas en el mundo, con miles de millones de dólares robados anualmente.
- Ver también: Phishing, Ingeniería social, Spear phishing, Autenticación multifactor
- Brecha de datos
- Incidente de seguridad en el que datos confidenciales, protegidos o sensibles son accedidos, divulgados o robados por una persona no autorizada. Una brecha puede incluir datos personales de clientes, información financiera, secretos comerciales o credenciales de acceso.
- Ver también: Incidente de ciberseguridad, Datos personales, Notificación de brecha
- BYOD
- Política de Trae Tu Propio Dispositivo (Bring Your Own Device): práctica empresarial que permite a los empleados usar sus dispositivos personales —teléfonos, laptops, tablets— para acceder a sistemas, correo y datos de la organización. Si bien reduce costos de equipamiento, introduce riesgos de seguridad importantes: los dispositivos personales pueden tener menos controles de seguridad, mezclan datos personales y corporativos, y son más difíciles de gestionar por el área de TI. Requiere políticas claras y herramientas de gestión de dispositivos móviles (MDM) para implementarse de forma segura.
- Ver también: Endpoint, Vulnerabilidad, Autenticación multifactor, Datos personales
C
- Cifrado (Encryption)
- Proceso de transformar información legible (texto plano) en un formato ilegible (texto cifrado) usando un algoritmo matemático y una clave. Solo quien posee la clave correcta puede descifrar y leer la información. El cifrado protege la confidencialidad de los datos tanto al transmitirlos (HTTPS) como al almacenarlos.
- Ver también: HTTPS, Ransomware, Datos personales
- Consentimiento
- En el contexto de protección de datos personales, es la manifestación de voluntad libre, específica, informada e inequívoca mediante la cual el titular autoriza el tratamiento de sus datos personales. La legislación chilena vigente (Ley 19.628 y su modificación en tramitación) exige que el consentimiento sea obtenido antes de recopilar datos, que sea para fines determinados, y que el titular pueda retirarlo en cualquier momento. No puede obtenerse mediante casillas pre-marcadas ni condicionarse la prestación de un servicio a otorgar consentimiento para fines innecesarios.
- Ver también: Datos personales, Tratamiento de datos, Titular de datos, Responsable del tratamiento
- Criptografía
- Ciencia que estudia y desarrolla técnicas matemáticas para proteger información, de modo que solo quien tenga la clave correcta pueda leerla o verificarla. Es la base tecnológica detrás del cifrado de datos, las comunicaciones seguras (HTTPS), las firmas digitales y las contraseñas almacenadas de forma segura. En la práctica empresarial, la criptografía protege los datos en tránsito (cuando viajan por Internet) y en reposo (cuando están guardados en servidores o dispositivos).
- Ver también: Cifrado, VPN, Brecha de datos, Ransomware
D
- Datos personales
- Cualquier información que identifica o permite identificar a una persona natural específica. Incluye nombre, RUT, correo electrónico, número de teléfono, dirección IP, datos de ubicación, y también información que combinada con otros datos permite identificar a alguien. En Chile, están protegidos por la Ley 19.628.
- Ver también: Datos sensibles, Ley 19.628, Tratamiento de datos
- Datos sensibles
- Categoría especial de datos personales que, por su naturaleza, requieren mayor protección porque su exposición puede generar discriminación o daños graves al titular. Incluyen: datos de salud, origen étnico o racial, opiniones políticas, creencias religiosas, datos biométricos, datos genéticos, vida u orientación sexual, y condena penal.
- Ver también: Datos personales, Ley 19.628, Consentimiento
- DDoS
- Ataque de Denegación de Servicio Distribuida (Distributed Denial of Service) que consiste en saturar un servidor, sitio web o red con una cantidad masiva de tráfico falso generado desde miles de dispositivos simultáneamente, hasta que el sistema colapsa y deja de estar disponible para usuarios legítimos. A diferencia de una simple caída del servidor, los ataques DDoS son deliberados y pueden durar horas o días. Las empresas con servicios en línea son los blancos más comunes.
- Ver también: Malware, Vulnerabilidad, Firewall
E
- Endpoint
- Cualquier dispositivo físico que se conecta a una red informática: computadores de escritorio, laptops, teléfonos celulares, tablets, impresoras e incluso dispositivos inteligentes como cámaras o termostatos conectados. Cada endpoint es un punto de entrada potencial para un atacante, por lo que protegerlos es una de las tareas centrales de la ciberseguridad. Las soluciones de seguridad diseñadas específicamente para esto se llaman EDR (Endpoint Detection and Response).
- Ver también: Malware, Firewall, Vulnerabilidad, Parche de seguridad
F
- Firewall
- Sistema de seguridad que monitorea y controla el tráfico de red entrante y saliente según reglas de seguridad predefinidas. Actúa como barrera entre redes confiables (red interna de la empresa) y redes no confiables (internet). Puede ser hardware (un dispositivo físico) o software (un programa instalado en un servidor o computador).
- Ver también: Amenaza, Vulnerabilidad, Segmentación de red
I
- Incidente de ciberseguridad
- Evento que compromete la confidencialidad, integridad o disponibilidad de los sistemas de información o datos de una organización. Bajo la Ley 21.663 chilena, los incidentes significativos deben reportarse a la ANCI en un plazo de 24 horas (3 horas para operadores de importancia vital).
- Ver también: Brecha de datos, ANCI, Ransomware, Respuesta a incidentes
- Ingeniería social
- Conjunto de técnicas de manipulación psicológica que usan los atacantes para engañar a personas y obtener acceso a información confidencial, credenciales o sistemas, sin necesidad de explotar vulnerabilidades técnicas. En lugar de hackear el software, hacen que una persona lo haga por ellos. El phishing es la forma más conocida, pero también incluye pretextos telefónicos (vishing), suplantación de identidad presencial y manipulación de la confianza. El 90% de los ciberataques comienza con ingeniería social.
- Ver también: Phishing, BEC, Smishing, Autenticación multifactor
- ISO 27001
- Estándar internacional que define los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) dentro de una organización. Publicado por la Organización Internacional de Normalización (ISO), permite a las empresas certificarse y demostrar a clientes y socios que gestionan la seguridad de la información de forma sistemática y auditable. La certificación ISO 27001 es reconocida mundialmente y es frecuentemente exigida en licitaciones y contratos con grandes empresas o el sector público.
- Ver también: NIST CSF, Auditoría de seguridad, Vulnerabilidad, Incidente de ciberseguridad
M
- Malware
- Software malicioso diseñado para infiltrarse, dañar o tomar control de un sistema informático sin el consentimiento del usuario. Incluye virus, troyanos, spyware, adware, ransomware y gusanos. Se distribuye comúnmente mediante correos de phishing, descargas de sitios no confiables o vulnerabilidades en software desactualizado.
- Ver también: Ransomware, Phishing, Vulnerabilidad
N
- NIST CSF
- Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología de Estados Unidos (National Institute of Standards and Technology Cybersecurity Framework). Es una guía voluntaria que organiza las prácticas de ciberseguridad en cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar. Es ampliamente utilizado en todo el mundo como referencia para estructurar programas de seguridad en empresas de cualquier tamaño, y la Ley Marco de Ciberseguridad chilena (Ley 21.663) toma elementos de este marco.
- Ver también: ISO 27001, ANCI, Auditoría de seguridad, Incidente de ciberseguridad
O
- Operador de Importancia Vital (OIV)
- Categoría legal creada por la Ley 21.663 de Chile que designa a instituciones privadas o públicas cuya interrupción o compromiso podría afectar gravemente a la sociedad, la economía o la seguridad nacional. Los OIV tienen obligaciones reforzadas de ciberseguridad y plazos más estrictos para reportar incidentes (3 horas en vez de 24). La designación la realiza la ANCI mediante resolución fundada.
- Ver también: Ley 21.663, ANCI, Incidente de ciberseguridad, Infraestructura crítica
P
- Parche de seguridad
- Actualización de software lanzada por el fabricante para corregir una o más vulnerabilidades de seguridad detectadas en su programa o sistema operativo. No instalar los parches disponibles deja los sistemas expuestos a ataques que ya tienen solución conocida: la mayoría de los ransomwares exitosos explotan vulnerabilidades para las que ya existía un parche publicado semanas o meses antes del ataque. La gestión sistemática de parches (parchado regular y oportuno de todos los sistemas) es una de las medidas de seguridad con mayor impacto preventivo.
- Ver también: Vulnerabilidad, Zero-day, Ransomware, Malware
- Penetration Testing
- Prueba de intrusión autorizada, también llamada pentesting o hacking ético, en la que especialistas de seguridad intentan vulnerar los sistemas de una organización usando las mismas técnicas que usaría un atacante real, pero con permiso explícito y objetivos definidos. El resultado es un informe detallado de las vulnerabilidades encontradas, cómo fueron explotadas y cómo corregirlas. Es la forma más directa de descubrir fallas reales antes que los atacantes lo hagan. Se diferencia de una auditoría de seguridad en que es eminentemente técnico y práctico.
- Ver también: Vulnerabilidad, Auditoría de seguridad, Zero-day, Amenaza
- Phishing
- Técnica de ataque social en que los delincuentes envían correos electrónicos, mensajes o crean sitios web falsos que imitan a organizaciones legítimas (banco, Correos, SII, Microsoft) para engañar a las víctimas y hacer que revelen credenciales, datos personales o realicen transferencias de dinero. Es el vector de entrada más común en los ciberataques a empresas.
- Ver también: Ingeniería social, Malware, Autenticación multifactor
R
- Ransomware
- Tipo de malware que cifra los archivos de una organización haciéndolos inaccesibles, y luego exige un pago (rescate) a cambio de la clave de descifrado. Es uno de los ataques más destructivos para las PYMEs porque puede paralizar completamente la operación. La mejor defensa es tener backups offline actualizados y no pagar el rescate (el pago no garantiza la recuperación).
- Ver también: Malware, Backup, Incidente de ciberseguridad, Respuesta a incidentes
- Responsable del tratamiento
- Persona natural o jurídica (empresa, organización) que decide los fines y medios del tratamiento de datos personales. En Chile, bajo la Ley 19.628, es quien determina para qué se usan los datos y cómo se procesan. Tiene la obligación de cumplir la ley y responder ante los titulares de los datos. Se distingue del 'encargado del tratamiento', que procesa datos siguiendo instrucciones del responsable.
- Ver también: Datos personales, Ley 19.628, Tratamiento de datos, Encargado del tratamiento
S
- SIEM
- Sistema de Gestión de Información y Eventos de Seguridad (Security Information and Event Management): plataforma tecnológica que recopila y centraliza registros (logs) de actividad de todos los sistemas de una organización —servidores, firewalls, aplicaciones, dispositivos de red— y los analiza en tiempo real para detectar patrones sospechosos o amenazas. Permite correlacionar eventos de distintas fuentes para identificar ataques que, vistos de forma aislada, no parecerían peligrosos. Es la herramienta central de trabajo de un SOC.
- Ver también: SOC, Firewall, Incidente de ciberseguridad, Amenaza
- Smishing
- Modalidad de phishing que se realiza a través de mensajes de texto SMS (de ahí el nombre: SMS + phishing). Los atacantes envían mensajes que simulan provenir de bancos, servicios de entrega de paquetes (Correos Chile, DHL), casas comerciales o entidades del gobierno, con un enlace que lleva a un sitio falso donde se solicitan credenciales, datos de tarjeta u otra información sensible. Es especialmente efectivo porque las personas tienden a confiar más en los SMS que en los correos, y los teléfonos móviles dificultan verificar la URL antes de hacer clic.
- Ver también: Phishing, Ingeniería social, Autenticación multifactor, BEC
- SOC
- Centro de Operaciones de Seguridad (Security Operations Center): equipo de profesionales de ciberseguridad y el conjunto de herramientas tecnológicas que usan para monitorear de forma continua los sistemas, redes y aplicaciones de una organización en búsqueda de amenazas y anomalías. Opera generalmente las 24 horas, los 7 días de la semana. Las grandes empresas tienen SOC propio; las PYMEs pueden contratar este servicio de forma externa a través de proveedores especializados, lo que se conoce como SOC-as-a-Service.
- Ver también: SIEM, Incidente de ciberseguridad, Amenaza, Vulnerabilidad
T
- Titular de datos
- Persona natural a quien corresponden o identifican los datos personales que son objeto de tratamiento. Es el sujeto cuyos derechos protege la legislación de protección de datos: en Chile, la Ley 19.628 y su modificación reconocen al titular derechos de acceso, rectificación, cancelación, oposición y portabilidad sobre sus propios datos. Por ejemplo, si tu empresa maneja datos de clientes, empleados o proveedores, cada una de esas personas es titular de sus propios datos y puede ejercer sus derechos ante tu empresa.
- Ver también: Datos personales, Consentimiento, Tratamiento de datos, Responsable del tratamiento
- Tratamiento de datos
- Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea de forma automatizada o manual. Según la Ley 19.628 de Protección de Datos Personales de Chile y su modificación en tramitación, el tratamiento incluye: recolección, registro, organización, estructuración, almacenamiento, adaptación, modificación, consulta, uso, comunicación, transferencia, difusión, y eliminación o destrucción de datos. Toda empresa que realice cualquiera de estas operaciones sobre datos de personas naturales es responsable del tratamiento y debe cumplir con las obligaciones legales aplicables.
- Ver también: Datos personales, Responsable del tratamiento, Consentimiento, Titular de datos
V
- VPN
- Red Privada Virtual (Virtual Private Network): tecnología que crea un túnel de comunicación cifrado entre tu dispositivo e Internet, de modo que tu tráfico viaja de forma segura y privada aunque estés usando una red pública (como el WiFi de un café o aeropuerto). Las empresas usan VPNs corporativas para que sus empleados puedan conectarse de forma segura a los sistemas internos desde cualquier lugar. Es especialmente importante para equipos en trabajo remoto o híbrido.
- Ver también: Cifrado, Endpoint, Criptografía, Autenticación multifactor
- Vulnerabilidad
- Debilidad o falla en un sistema de información, procedimiento, diseño o control de seguridad que podría ser explotada por un atacante. Las vulnerabilidades pueden existir en software (como errores de programación), hardware, procesos o en el factor humano. Los fabricantes lanzan 'parches' para corregirlas, por lo que mantener el software actualizado es una de las medidas de seguridad más efectivas.
- Ver también: Amenaza, Parche de seguridad, Gestión de vulnerabilidades
Z
- Zero-day (Día cero)
- Vulnerabilidad de seguridad desconocida para el fabricante del software o para la que aún no existe un parche disponible. El término 'zero-day' refleja que los defensores tienen cero días para prepararse antes de que pueda ser explotada. Los zero-days son muy valorados por los atacantes y suelen usarse en ataques dirigidos contra organizaciones específicas de alto valor.
- Ver también: Vulnerabilidad, Parche de seguridad, Amenaza