Trust Center

Seguridad

Aprenda la terminología básica sobre ciberseguridad

La educación es el arma más eficaz frente a los ciberataques. Aprenda los conceptos básicos para reforzar su protección y la de su empresa.

Los robos de datos son una amenaza real para todos

Su vida digital ha crecido exponencialmente en los últimos años. Y las ciberamenazas no se han quedado atrás.

82%

de los robos de datos tienen su origen en un error humano, como credenciales robadas o phishing.¹

10

billones de dólares es la estimación del coste mínimo de los daños causados por ciberdelitos en 2025.²

Sitúese un paso por delante con una buena formación en ciberseguridad

Hay cuatro grandes puertas de entrada a su información: las credenciales, el phishing, la explotación de vulnerabilidades y los botnets.¹ Las cuatro están presentes en todas las áreas analizadas sobre el DBIR (Informe sobre investigaciones acerca del robo de datos) y ninguna organización está a salvo sin un plan para proteger cada una de ellas.

Tanto los usuarios como las empresas tienen que entender la terminología básica sobre robos de datos y hackeos. Y el motivo es doble: esta información sirve para identificar las señales de alerta ante un ataque y también para informar a otros usuarios sobre los riesgos que deben evitar. Además, las compañías pueden utilizar estos conocimientos para comunicar cualquier posible incidente a los clientes de forma rápida y clara.

La importancia de comunicar la información correctamente

¿Es un cliente que no termina de entender que le dice una empresa al comunicarle un robo de datos? ¿Es una empresa que quiere comunicar a sus clientes una vulneración de los datos de su organización de la forma más apropiada posible?

Es importante tomar consciencia de que estos términos a menudo se utilizan de forma incorrecta, porque se habla de hackeos en lugar de incidentes de seguridad. Lo más recomendable es revisar al milímetro la información comunicada y obtener siempre los datos de una publicación fiable.

Consejo: lo primero en lo que debe fijarse al leer noticias, blogs y otros contenidos es en la empresa u organización que hay detrás.


Terminología imprescindible sobre ataques informáticos:

Hacker/atacante

Usuario sin autorización que trata de acceder a un sistema de información, concretamente a la red que los usuarios utilizan para crear, compartir y distribuir información desde sus dispositivos.

Ataque

Cualquier actividad maliciosa que tiene por objetivo recopilar, manipular, corromper o destruir información o recursos de sistemas de información.

Hackeo

Intento de explotar un sistema de información, equipo informático, red privada o dispositivo utilizando credenciales robadas.


Tipos de ciberataques más habituales

  • Relleno de credenciales: es el paso natural después de un ataque por fuerza bruta, en el que se ha accedido al nombre de usuario y la contraseña de una cuenta. Una vez descubierta esta información, se utiliza en el máximo número de sitios, apps, etc. posible. Este el riesgo principal de reutilizar contraseñas: si le hackean una cuenta, las demás estarán en peligro.
  • Ataques a aplicaciones web básicas (BWAA): estos ataques tienen como objetivo las infraestructuras más expuestas de una organización, como los servidores web.
  • Phishing: actividad fraudulenta en la que un actor malicioso se hace pasar por una entidad o persona de confianza por email o a través de otros medios de comunicación. Cuando se utilizan mensajes o SMS hablamos de smishing y, con las llamadas telefónicas, se habla de vishing.
  • Ransomware: tipo de malware diseñado para cifrar los archivos de un dispositivo de modo que los sistemas y archivos que los necesitan para funcionar pasen a ser inservibles. El ransomware ha seguido con su tendencia al alza, con un crecimiento de casi el 13%, que iguala el de los últimos cinco años juntos.¹
  • Ingeniería social: acción que consiste en engañar a una persona para que revele información delicada, acceda a lugares sin autorización o cometa actividades fraudulentas tras ganarse su confianza.
  • Ataque a la cadena de suministro: ataques que permiten al ciberdelincuente utilizar implantes y otras vulnerabilidades introducidas antes de la instalación para infiltrar datos o manipular hardware, software, sistemas operativos, periféricos (productos tecnológicos) o servicios en cualquier momento durante su ciclo de vida.

Los ciberataques pueden sembrar el pánico, pero si conoce la terminología correcta y sabe cómo utilizarla es más fácil recuperar el control.³

Diseñe una estrategia de ciberseguridad

Lo mejor que puede hacer su empresa es aplicar todos los conocimientos adquiridos en ciberseguridad a través de un plan proactivo. Empiece poniendo en práctica las siguientes medidas de seguridad:

  • Utilice una contraseña compleja, distinta y única para cada una de sus cuentas online.
  • Use un gestor de contraseñas para crear, almacenar, compartir y gestionar credenciales e información delicada.
  • Active la autenticación multifactor (MFA) para servicios como el correo, las redes sociales, la banca online, las aplicaciones del trabajo, etc.
  • Utilice el control de robos de datos para saber en todo momento qué ocurre con sus credenciales en la red. De este modo, sabrá si han sido expuestas y podrá cambiarlas lo antes posible para evitar nuevas filtraciones.
  • Adopte una actitud proactiva si detecta señales de un posible ciberataque: no haga clic en enlaces de personas que no conoce, no abra sitios web con faltas de ortografía y no conteste correos mal escritos y de remitentes desconocidos.
  • Utilice antivirus, herramientas de protección de terminales y software de protección antimalware.
  • Actualice periódicamente sus apps y sistemas operativos (SO) para tener siempre la última versión del software. 
  • Realice copias de seguridad periódicamente (en local o en la nube) para contar siempre con una copia extra de sus datos delicados en un lugar seguro.

Fuentes utilizadas en este artículo

  1. 2022 Verizon Data Breach Investigations Report (DBIR) de 2022
  2. Secureworks Boardroom Cybersecurity Report
  3. NIST Computer Security Resource Center

Descubra cómo le protege LastPass frente a actores maliciosos, malos hábitos en el uso de contraseñas y otros frentes

¿Qué ocurre si LastPass sufre un incidente de seguridad o es objeto de un hackeo?

LastPass utiliza un modelo de seguridad de conocimiento cero. Conocimiento cero significa que nadie, aparte del titular de la cuenta, tiene acceso a la contraseña maestra sin cifrar, a la bóveda y los datos de la bóveda. Para garantizar que todos los accesos a la bóveda son autorizados, aplicamos mecanismos estándar del sector, como el cifrado AES-256 y el hashing PBKDF2 con sal, que mantienen a salvo su contraseña maestra.

LastPass protege también su infraestructura con herramientas como la actualización periódica de los sistemas y el uso de centros de datos redundantes en todo el mundo, para reducir el riesgo de tiempo de inactividad y los puntos únicos de fallo. LastPass es la solución elegida por más de 100.000 empresas, entre ellas compañías de la lista Fortune 500 y gigantes tecnológicos.

¿Cómo podré saber si LastPass ha sido víctima de un hackeo o si ha producido un incidente?

LastPass prioriza la transparencia en sus procedimientos de respuesta frente a incidentes y eso se traduce en una comunicación abierta y rápida. Los canales utilizados dependerán del incidente y, entre los de máxima prioridad, están el correo, el blog y las redes sociales. Sabemos que solo podremos ganarnos la confianza de nuestra comunidad con una estrategia de comunicación efectiva.

¿Qué hace LastPass para evitar hackeos y proteger mis datos?

Los clientes de LastPass están protegidos por el modelo de seguridad de conocimiento cero, que impide a LastPass —por diseño— tener acceso a su contraseña maestra, bóveda o datos de su bóveda. Es un estándar del sector que deberían adoptar todos los gestores de contraseñas. Además, LastPass aplica otras medidas para reforzar la protección de su cuenta y sus datos, entre ellas:

  • Cumplimiento certificado de normativas, como SOC 2 tipo II, SOC 3, BSI C5, las certificaciones de privacidad CBPR y PRP del APEC, la certificación de privacidad para empresas TRUSTe, el RGPD y la norma ISO/IEC 27001:2013.
  • Auditorías y pruebas de penetración: LastPass colabora con empresas de seguridad externas de primera nivel para realizar auditorías rutinarias y pruebas del servicio y la infraestructura de LastPass.
  • Programa de recompensas por la localización de errores: LastPass colabora con investigadores de seguridad como parte de su proceso de mejora continua.

Trust Center

Su fuente de referencia única de información de seguridad, privacidad, cumplimiento y rendimiento del sistema.

Ir al Trust Center

Modelo de cifrado de LastPass

Nadie tiene acceso a su información, ni tan siquiera nosotros. Descubra cómo protege LastPass su información con el modelo de cifrado solo en local.

Más información sobre el cifrado

Documento técnico

Un repaso detallado a los aspectos del diseño de LastPass que garantizan la protección y la privacidad de sus datos.

Leer el documento técnico

LastPass Labs

Conozca las últimas novedades sobre nuestras prácticas de ciberseguridad de la mano de nuestro equipo de inteligencia, mitigación y escalada de amenazas (TIME).

Leer últimas publicaciones

Seguridad sin fisuras y cumplimiento de las normativas internacionales. LastPass le garantiza eso y mucho más.

Prueba gratuita de LastPass Business de 14 días. Sin tarjeta de crédito.