Como CTO o IT Manager, te enfrentas a vendors, auditores y reportes que mezclan acrónimos sin explicar qué significan. Cuando un proveedor habla de SIEM, EDR o XDR, espera que conozcas la diferencia. Cuando un auditor exige evidencia para ISO 27001 o LFPDPPP, asume que entiendes el alcance.
Este glosario de ciberseguridad reúne los 30 términos esenciales que todo decisor técnico debe dominar. Sirve para evaluar riesgos, conversar con proveedores y proteger la continuidad operativa. Cada definición incluye qué es, para qué se usa y por qué importa en una operación empresarial.
No es un diccionario académico. Es una herramienta práctica para tomar mejores decisiones de seguridad sin depender de la traducción de un consultor externo. Si lideras un equipo de TI con presión regulatoria, presupuesto limitado y proveedores agresivos, este vocabulario te ahorra meses de aprendizaje.
¿Por qué un glosario de ciberseguridad es indispensable para un CTO?
El CTO depende de la traducción de terceros para evaluar lo que compra y lo que cumple. Los proveedores manejan jerga especializada y los auditores asumen un nivel de conocimiento que pocos equipos internos tienen. La consecuencia es comprar herramientas mal evaluadas o aceptar evidencia incompleta ante un regulador.
Un glosario funcional permite tres cosas críticas. Primero, comparar propuestas de proveedores con criterios técnicos reales. Segundo, validar el alcance de auditorías de cumplimiento normativo. Tercero, detectar promesas infladas o controles que no existen.
En TecnetOne aplicamos este vocabulario en cada implementación de TecnetSOC. Usar los mismos términos con el cliente desde el primer diagnóstico evita malentendidos al definir el alcance del servicio, las métricas de éxito y quién es responsable de cada acción.
Glosario de ciberseguridad: 30 términos clave para tomar decisiones
Los 30 términos están organizados por dominio operativo. Cada bloque agrupa los conceptos que un CTO usa al evaluar su postura de seguridad: detección y monitoreo, respuesta a incidentes, cumplimiento normativo, prevención y gestión de riesgo.
Términos de detección y monitoreo
1. SIEM (Security Information and Event Management). Plataforma que recolecta, correlaciona y analiza eventos de seguridad de toda la infraestructura. Permite detectar patrones anómalos en tiempo real. Sin SIEM, los equipos operan a ciegas frente a ataques distribuidos.
2. EDR (Endpoint Detection and Response). Herramienta instalada en cada dispositivo para detectar comportamientos sospechosos y responder de forma automatizada. Va más allá del antivirus tradicional al analizar conducta, no solo firmas conocidas. Si quieres profundizar, revisa la diferencia entre EDR y XDR.
3. XDR (Extended Detection and Response). Evolución del EDR que correlaciona eventos de endpoints, red, correo y nube en una sola consola. Reduce el tiempo de detección al ver el ataque completo, no solo una pieza aislada.
4. SOAR (Security Orchestration, Automation and Response). Sistema que automatiza tareas repetitivas de respuesta a incidentes. Permite que un analista resuelva más casos en menos tiempo y con menor margen de error humano.
5. IoC (Indicador de Compromiso). Evidencia técnica de que un sistema ha sido vulnerado: una IP maliciosa, un hash de archivo, un comportamiento anómalo. Los IoC alimentan las reglas de detección del SOC.
6. Threat Hunting. Búsqueda proactiva de amenazas dentro de la red sin esperar alertas automáticas. Es el trabajo de un analista experto que asume que el atacante ya está dentro y lo busca con hipótesis.
7. UEBA (User and Entity Behavior Analytics). Análisis de comportamiento de usuarios y entidades para detectar desviaciones del patrón normal. Detecta cuentas comprometidas o usuarios internos que actúan fuera de su rol.
Términos de respuesta a incidentes
8. SOC (Security Operations Center). Centro de operaciones de seguridad que monitorea y responde 24x7 ante incidentes. Combina personas, procesos y tecnología. Puede ser interno o gestionado por un partner estratégico.
9. CSIRT (Computer Security Incident Response Team). Equipo especializado en gestionar incidentes de seguridad de principio a fin. Su función es contener, erradicar y recuperar. Difiere del SOC en que su foco es la respuesta, no el monitoreo continuo.
10. MTTD (Mean Time To Detect). Tiempo promedio que tarda la organización en detectar un incidente. Es una métrica clave: a menor MTTD, menor impacto del ataque. El benchmark (referencia de desempeño) maduro se mide en horas, no en días.
11. MTTR (Mean Time To Respond). Tiempo promedio entre la detección y la contención del incidente. Define qué tan rápido se ejecuta el playbook. Un buen SOC opera con MTTR medido en minutos para amenazas críticas.
12. Playbook. Documento operativo con los pasos exactos a ejecutar ante un tipo específico de incidente. Reduce la improvisación bajo presión. Garantiza una respuesta consistente sin importar quién esté de turno.
13. Forense Digital. Análisis técnico posterior a un incidente para reconstruir cómo ocurrió, qué se afectó y qué evidencia legal existe. Indispensable para reportes regulatorios y procesos legales.
14. Contención. Fase en la que se aísla el incidente para evitar que se propague. Puede ser desconectar un endpoint, bloquear una cuenta o segmentar una red. Define la diferencia entre un susto y una crisis.
Términos de cumplimiento normativo
15. ISO 27001. Estándar internacional para sistemas de gestión de seguridad de la información. Su certificación demuestra controles documentados ante clientes y reguladores. Forma parte de la familia ISO/IEC 27000.
16. LFPDPPP. Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Vigente en México desde 2010. Obliga a toda empresa que maneje datos personales a proteger, documentar y notificar incidentes. Conoce más sobre cumplimiento de LFPDPPP en México.
17. PCI-DSS (Payment Card Industry Data Security Standard). Estándar obligatorio para cualquier organización que procese, almacene o transmita datos de tarjetas de crédito. Su incumplimiento puede llegar a la pérdida del derecho a procesar pagos.
18. NIST CSF (Cybersecurity Framework). Marco del Instituto Nacional de Estándares y Tecnología de EE.UU. Su versión 2.0, publicada en 2024, define seis funciones: gobernar, identificar, proteger, detectar, responder y recuperar.
19. SOC 2. Certificación auditada por firmas externas que valida controles de seguridad, disponibilidad y confidencialidad. La modalidad Tipo II implica auditoría continua durante meses. Lo exigen clientes corporativos a sus proveedores SaaS.
20. CNBV. Comisión Nacional Bancaria y de Valores. Regula la ciberseguridad de instituciones financieras en México con requerimientos específicos sobre monitoreo, gestión de incidentes y reportes obligatorios al regulador.
21. GDPR (General Data Protection Regulation). Regulación europea de protección de datos. Aplica a cualquier empresa mexicana que procese datos de ciudadanos europeos, sin importar dónde esté ubicada físicamente.
Términos de prevención y gestión de riesgo
22. Zero Trust. Modelo de seguridad que asume que ninguna red, usuario o dispositivo es confiable por defecto. Cada acceso se verifica continuamente. Reemplaza al modelo de perímetro que ya no funciona en entornos cloud y trabajo remoto.
23. MFA (Autenticación Multi-Factor). Mecanismo que exige más de una credencial para acceder: contraseña más código de aplicación, biometría o token. Bloquea más del 99% de los intentos de robo de cuenta según datos públicos de Microsoft.
24. Phishing. Técnica de ingeniería social que engaña al usuario para que entregue credenciales o ejecute código malicioso. Sigue siendo el vector de entrada más común en incidentes corporativos. Revisa cómo enfrentar el phishing en empresas.
25. Ransomware. Software malicioso que cifra los archivos de la víctima y exige un rescate para liberarlos. México es uno de los países más atacados de LATAM, con incidentes que paran operaciones por días.
26. Vulnerability Management. Proceso continuo de identificar, evaluar y remediar vulnerabilidades en sistemas y aplicaciones. No es un escaneo aislado: es una operación con métricas, SLA internos y dueños asignados.
27. Patch Management. Disciplina de aplicar parches de seguridad en tiempo y forma. La mayoría de los ataques exitosos explotan vulnerabilidades con parche disponible que la víctima nunca instaló.
28. DLP (Data Loss Prevention). Tecnología que detecta y bloquea fugas de información sensible: datos personales, propiedad intelectual o registros financieros. Crítica para sectores regulados que generan evidencia frente al INAI o reguladores sectoriales.
29. Endpoint. Cualquier dispositivo conectado a la red corporativa: laptops, servidores, móviles, IoT. Es el punto de entrada más común para atacantes y el principal foco de la operación de un SOC.
30. Pentest (Penetration Testing). Prueba controlada en la que un equipo simula un ataque real para encontrar vulnerabilidades antes que los atacantes. Genera evidencia para auditorías y planes de remediación priorizados por riesgo.
Cómo aplicar este glosario de ciberseguridad en tu operación
Conocer los términos no es suficiente. La pregunta operativa es cómo usarlos para tomar mejores decisiones. Hay tres usos prácticos que cambian la dinámica con tu equipo y tus proveedores.
-
Evaluar proveedores con criterio. Cuando un vendor habla de "EDR avanzado" o "XDR de nueva generación", pídele métricas concretas: MTTD, MTTR, alcance de IOC, cobertura de cumplimiento. Si no las puede entregar, no las tiene.
-
Definir alcance con tu auditor. Antes de una auditoría ISO 27001 o LFPDPPP, alinea con el auditor qué evidencia entregarás: logs del SIEM, reportes de un SOC para empresas, registros de respuesta a incidentes. Evita sorpresas en el último minuto.
-
Comunicar con la dirección. Traduce los términos a impacto de negocio. No digas "tuvimos 50 IoC esta semana". Di "detectamos y contuvimos 50 intentos de ataque antes de que afectaran la operación". El vocabulario sirve a la conversación, no la complica.
El siguiente paso después de dominar el vocabulario
Un glosario es el punto de partida. La diferencia entre conocer los términos y operar con ellos está en tener una estructura que aplique cada concepto con responsabilidad compartida y alcance definido.
En TecnetOne diseñamos cada implementación de TecnetSOC para que el cliente entienda qué hacemos, cómo lo medimos y qué evidencia generamos cada mes. La metodología integra detección, respuesta y cumplimiento normativo en un solo modelo operativo.
El resultado es un equipo que ya no traduce, decide. Conversa con auditores con criterio, evalúa proveedores con métricas y reporta a dirección con impacto.
Preguntas frecuentes sobre el glosario de ciberseguridad
-
¿Qué términos de ciberseguridad debe conocer un CTO? Un CTO debe dominar al menos términos de tres dominios: detección (SIEM, EDR, XDR), respuesta (SOC, MTTD, MTTR) y cumplimiento normativo (LFPDPPP, ISO 27001, PCI-DSS). Este vocabulario le permite evaluar proveedores, conversar con auditores y reportar a la dirección general con criterios técnicos sólidos y verificables.
-
¿Cuál es la diferencia entre EDR, XDR y SIEM? SIEM correlaciona eventos de toda la infraestructura. EDR analiza comportamiento en cada endpoint individual. XDR extiende el EDR a red, correo y nube. SIEM es la plataforma analítica central, EDR el sensor en el dispositivo y XDR la visión integrada. Un SOC suele combinar las tres capacidades.
-
¿Qué normas de ciberseguridad aplican en México? Las principales son LFPDPPP para datos personales, ISO 27001 como estándar internacional, PCI-DSS si se procesan tarjetas y CNBV para servicios financieros. Sectores específicos suman NOM-151, COFEPRIS para salud o GDPR si hay clientes europeos. La mayoría exige evidencia documentada de monitoreo y respuesta a incidentes.
-
¿Cómo se mide la eficacia de un SOC? Las métricas clave son MTTD (tiempo promedio de detección) y MTTR (tiempo promedio de respuesta). A menor valor, menor impacto del incidente. También se evalúan cobertura de IoC, número de incidentes contenidos antes de propagarse y calidad de la evidencia generada para auditores y aseguradoras.
-
¿Qué es Zero Trust y por qué importa hoy? Zero Trust es un modelo donde ningún usuario, dispositivo o red es confiable por defecto. Cada acceso se verifica continuamente. Importa porque el modelo tradicional de perímetro perdió sentido con el trabajo remoto, las aplicaciones cloud y los dispositivos móviles. Hoy es referencia en marcos como NIST CSF 2.0.
