Ciberseguridad 101: las palabras que sí significan algo.
Amenaza, vulnerabilidad, exploit, riesgo — cuatro palabras que se usan como si fueran intercambiables, y el modelo mental que por fin las separa.
Entra en cualquier reunión de seguridad y oirás cuatro palabras usadas como si significaran lo mismo: amenaza, vulnerabilidad, exploit y riesgo. No es así. Tenerlas claras es lo primero que separa a quien sabe leer un CVE de quien sabe decidir qué hacer al respecto.
Las cuatro palabras, con ejemplos
Las definiciones más limpias, con el ejemplo que usaremos durante el resto del artículo: el portátil de un empleado en la sala de espera de un aeropuerto.
| Palabra | Definición | Ejemplo del portátil |
|---|---|---|
| Amenaza | Alguien o algo que quiere causar daño | Un ladrón que roba portátiles en las salas de espera |
| Vulnerabilidad | Una debilidad que podría usarse para causar daño | El disco no está cifrado |
| Exploit | La forma concreta en que se aprovecha una vulnerabilidad | Arrancar desde un USB y copiar /home |
| Riesgo | La probabilidad y el impacto de que el daño ocurra de verdad | Probable + datos sensibles + mala prensa = alto |
Fíjate en que una vulnerabilidad, por sí sola, es inofensiva. Un disco sin cifrar en una cámara acorazada a la que nadie puede llegar es una vulnerabilidad sin amenaza. El riesgo es prácticamente cero. El mismo disco en un aeropuerto es otra historia.
La tríada CIA — lo que en realidad estamos protegiendo
Todos los controles sobre los que leerás existen para proteger una de tres propiedades. Memorízalas; el resto de tu carrera depende de ellas.
- Confidencialidad — solo las personas adecuadas pueden leerlo. Portátil perdido: la confidencialidad es lo primero que se pierde.
- Integridad — solo las personas adecuadas pueden modificarlo, y puedes detectar cuándo alguien lo intenta. Portátil perdido: si te lo devuelven, ¿puedes fiarte de los binarios que hay en él?
- Disponibilidad — las personas adecuadas pueden usarlo cuando lo necesitan. Portátil perdido: el empleado no puede hacer su trabajo hasta que se lo reemplaces.
Un control es bueno cuando encarece atacar una de las tres propiedades de la CIA más de lo que encarece usar el sistema con normalidad. De eso va todo el juego.
La ecuación del riesgo — informal, pero útil
Verás cien variantes de la ecuación del riesgo. La que sobrevive al contacto con la realidad es la más sencilla:
Riesgo ≈ probabilidad × impacto
La probabilidad es la posibilidad de que la amenaza se encuentre realmente con la vulnerabilidad. El impacto es lo que pasa si eso ocurre. Ambos suelen estimarse en tres a cinco categorías ("bajo / medio / alto / crítico"), no en números. Y está bien así. El objetivo de la ecuación no es calcular una cifra: es obligarte a escribir dos suposiciones separadas en lugar de una única sensación difusa.
Un ejemplo resuelto
El mismo portátil. El empleado lo deja en una cafetería durante 90 segundos mientras paga. Puntuamos:
- Amenazas en este contexto: ladrón oportunista (alta), atacante dirigido (baja para un becario de marketing, alta para un directivo).
- Vulnerabilidades: sin cifrado de disco completo, pantalla desbloqueada, gestor de contraseñas desbloqueado, correo de trabajo en caché.
- Exploits: llevárselo sin más; o 60 segundos frente al teclado para robar un token de sesión.
- Impacto: según el rol, desde "molesto" hasta "fin de la empresa".
La jugada interesante es la que la mayoría de los equipos se salta: anotar qué control reduce cada parte del riesgo. El cifrado de disco completo encarece el exploit de llevárselo. Un bloqueo de pantalla a los 60 segundos encarece el exploit frente al teclado. No son intercambiables.
Qué llevarte a tu próxima reunión
- Deja de decir "esto es un riesgo de seguridad". Di "el riesgo es X, porque la amenaza de Y podría explotar la vulnerabilidad de Z".
- Ante cualquier control nuevo que alguien proponga, pregunta: ¿qué propiedad de la CIA protege esto, y frente a qué amenaza?
- Si ninguna de las dos preguntas tiene respuesta, el control es decoración.
Esa es toda la base. El resto de esta serie de aprendizaje son solo casos concretos de estas cuatro palabras, aplicadas a las redes, a los sistemas operativos, al código y, con el tiempo, a los prompts que le pasarás a un LLM para hacer este trabajo a gran escala.