Glosario CTI / CTH — terminologia esencial
Glosario CTI / CTH — terminologia esencial
Extraccion atomica de la nota madre cti-recursos-juniors-unificado. Seccion fuente: "B. Glosario express (lee esto primero)". El master sigue intacto para lectura lineal.
B. Glosario express (lee esto primero)
Info
Términos que aparecen sin parar en CTI/CTH y que no se explican porque "se asume". Aquí los tienes en una línea cada uno. Si no entiendes uno, búscalo aquí antes de seguir.
| Término | Significado en una línea |
|---|---|
| CTI | Cyber Threat Intelligence — disciplina de generar conocimiento accionable sobre amenazas |
| CTH | Cyber Threat Hunting — búsqueda proactiva de amenazas que ya están dentro y aún no se detectaron |
| IOC | Indicator of Compromise — artefacto observable (IP, hash, dominio, mutex) que indica intrusión |
| IOA | Indicator of Attack — comportamiento que sugiere intrusión (más resistente al cambio que un IOC) |
| TTP | Tactics, Techniques, Procedures — cómo opera un adversario (taxonomía MITRE ATT&CK) |
| PIR | Priority Intelligence Requirement — pregunta concreta del cliente que define qué intel buscar |
| RFI | Request For Information — solicitud puntual del cliente que dispara un mini-reporte |
| TLP | Traffic Light Protocol — etiqueta de quién puede leer un reporte (RED/AMBER/GREEN/CLEAR) |
| STIX | Structured Threat Information eXpression — formato estándar para describir CTI |
| TAXII | Trusted Automated eXchange of Indicator Information — protocolo de transporte de STIX |
| CVE | Common Vulnerabilities and Exposures — identificador único de una vulnerabilidad publicada |
| CVSS | Common Vulnerability Scoring System — score numérico 0-10 de gravedad de una CVE |
| ATT&CK | MITRE Adversarial Tactics, Techniques & Common Knowledge — la taxonomía estándar de TTPs |
| CKC | Cyber Kill Chain — modelo de Lockheed Martin, 7 fases de un ciberataque |
| UKC | Unified Kill Chain — extensión de CKC con 18 fases |
| MITRE | MITRE Corporation — entidad sin ánimo de lucro, autores de ATT&CK / CTI Blueprints / Navigator |
| Sigma | Lenguaje genérico de reglas de detección; se traduce a queries SIEM (Splunk/Elastic/Sentinel) |
| YARA | Lenguaje de pattern matching para clasificar/identificar malware |
| Threat actor | Grupo o persona que ejecuta ciberataques (APT28, FIN7, LockBit, Conti...) |
| APT | Advanced Persistent Threat — actor sofisticado, normalmente nation-state, con objetivos largos |
| IR | Incident Response — gestionar un incidente desde detección hasta lecciones aprendidas |
| SOC | Security Operations Center — equipo que monitorea y responde 24/7 |
| MSSP | Managed Security Service Provider — empresa que vende SOC como servicio |
| Dwell time | Tiempo entre intrusión inicial y detección — métrica clave de CTH |
| MTTD | Mean Time To Detect — promedio para detectar |
| MTTR | Mean Time To Respond/Remediate — promedio para responder |
| EDR | Endpoint Detection and Response — agente en endpoints, ve procesos/registry/red |
| XDR | Extended Detection and Response — EDR + correlación cross-fuente (red/cloud/email) |
| SIEM | Security Information and Event Management — agregador y correlacionador de logs |
| TIP | Threat Intelligence Platform — donde gestionas IOCs/TTPs/actors (MISP, OpenCTI) |
| SIRP | Security Incident Response Platform — gestión de casos (TheHive) |
| Stealer log | Volcado de credenciales/cookies/tokens robado por malware infostealer (Redline, Lumma, etc.) |
| PoC | Proof of Concept — código que demuestra explotación de una CVE |
| Zero-day | Vulnerabilidad sin parche público; los explotadores van por delante |
| N-day | Vulnerabilidad ya parcheada que se sigue explotando porque no todos parchean |
| Dark web | Servicios .onion (Tor) y similares; foros criminales, marketplaces |
| Deep web | Internet no indexado por Google (90% del total); incluye paywalls, intranets, darkweb |
| Sandbox | Entorno aislado para ejecutar muestras sin contagio (Any.Run, Joe Sandbox, Cuckoo) |
| OSINT | Open Source Intelligence — inteligencia obtenida de fuentes públicas |
| HUMINT | Human Intelligence — inteligencia obtenida de fuentes humanas |
| SIGINT | Signals Intelligence — inteligencia de comunicaciones e interceptación |
| C2 / C&C | Command and Control — servidor desde el que el atacante controla el malware |
| Phishing | Ingeniería social por correo/SMS para robar credenciales o instalar malware |
| Spearphishing | Phishing dirigido a una persona/organización concreta |
| BEC | Business Email Compromise — fraude por correo suplantando ejecutivos |
| Patch Tuesday | Segundo martes de cada mes; Microsoft publica parches; el resto del mundo corre |
Desde Inbox: Glosario de Acrónimos
Importado desde
Inbox/Glosario de Acrónimos.mddurante consolidacion bulk.
Resumen
Glosario exhaustivo creado para el Programa CTI de cliente sector logistica (empresa de correos y repartos). Contiene tres secciones principales: un diccionario alfabetico de 80+ acronimos del ecosistema CTI/ciberseguridad, una tabla de codigos de tecnicas MITRE ATT&CK relevantes, y un catalogo de herramientas y plataformas comerciales y open source utilizadas en operaciones de seguridad.
Contenido Principal
Acronimos A-Z
A
| Acronimo | Significado | Descripcion |
|---|---|---|
| AD | Active Directory | Servicio de directorio de Microsoft para gestion de identidades y accesos en redes Windows |
| APT | Advanced Persistent Threat | Amenaza persistente avanzada; grupos de atacantes sofisticados, generalmente patrocinados por estados |
| ASM | Attack Surface Management | Gestion de la superficie de ataque; identificacion y reduccion de exposicion externa |
| API | Application Programming Interface | Interfaz de programacion de aplicaciones |
B
| Acronimo | Significado | Descripcion |
|---|---|---|
| BEC | Business Email Compromise | Fraude mediante suplantacion de identidad por email |
| BLUF | Bottom Line Up Front | Conclusion principal al inicio; metodologia de comunicacion ejecutiva |
C
| Acronimo | Significado | Descripcion |
|---|---|---|
| C2 | Command and Control | Infraestructura para controlar malware |
| CCN-CERT | Centro Criptologico Nacional - CERT | CERT gubernamental espanol |
| CERT | Computer Emergency Response Team | Equipo de respuesta a emergencias informaticas |
| CISA | Cybersecurity and Infrastructure Security Agency | Agencia de ciberseguridad de EE.UU. |
| CISO | Chief Information Security Officer | Director de Seguridad de la Informacion |
| CM | Collection Management | Gestion de obtencion; asignacion de requisitos a activos de recoleccion |
| CREST | Council of Registered Ethical Security Testers | Organismo de certificacion en ciberseguridad (UK) |
| CRL | Collection Requirement List | Lista de requisitos de obtencion |
| CSIRT | Computer Security Incident Response Team | Equipo de respuesta a incidentes |
| CSOC | Cyber Security Operations Center | Centro de operaciones de ciberseguridad |
| CTI | Cyber Threat Intelligence | Inteligencia de amenazas ciberneticas |
| CTL | Collection Task List | Lista de tareas de obtencion |
| CVE | Common Vulnerabilities and Exposures | Sistema de identificacion de vulnerabilidades |
| CVSS | Common Vulnerability Scoring System | Sistema de puntuacion de severidad de vulnerabilidades |
D
| Acronimo | Significado | Descripcion |
|---|---|---|
| DC | Data Center | Centro de datos |
| DDoS | Distributed Denial of Service | Ataque de denegacion de servicio distribuido |
| DFIR | Digital Forensics and Incident Response | Forense digital y respuesta a incidentes |
| DNS | Domain Name System | Sistema de nombres de dominio |
| DORA | Digital Operational Resilience Act | Regulacion europea de resiliencia operativa digital para sector financiero |
| DPO | Data Protection Officer | Delegado de Proteccion de Datos |
| DXA | Document eXchange Architecture units | Unidad de medida en documentos Word (1440 DXA = 1 pulgada) |
E
| Acronimo | Significado | Descripcion |
|---|---|---|
| EDR | Endpoint Detection and Response | Deteccion y respuesta en endpoints |
| EEI | Essential Elements of Information | Elementos esenciales de informacion; preguntas que responden a un SIR |
| ENISA | European Union Agency for Cybersecurity | Agencia de la UE para la ciberseguridad |
| EPS | Events Per Second | Eventos por segundo; metrica de volumen en SIEM |
F
| Acronimo | Significado | Descripcion |
|---|---|---|
| FP | False Positive | Falso positivo; alerta incorrecta |
| FS-ISAC | Financial Services ISAC | Centro de comparticion de inteligencia del sector financiero |
| FTE | Full-Time Equivalent | Equivalente a tiempo completo |
| FW | Firewall | Cortafuegos |
G
| Acronimo | Significado | Descripcion |
|---|---|---|
| GCTI | GIAC Cyber Threat Intelligence | Certificacion de inteligencia de amenazas de SANS/GIAC |
| GIAC | Global Information Assurance Certification | Organismo de certificacion de SANS |
| GRC | Governance, Risk and Compliance | Gobierno, riesgo y cumplimiento |
H
| Acronimo | Significado | Descripcion |
|---|---|---|
| HIBP | Have I Been Pwned | Servicio de verificacion de credenciales comprometidas |
| HHI | Herfindahl-Hirschman Index | Indice de concentracion de mercado |
I
| Acronimo | Significado | Descripcion |
|---|---|---|
| IAB | Initial Access Broker | Broker que vende accesos comprometidos |
| IAM | Identity and Access Management | Gestion de identidades y accesos |
| ICP | Intelligence Collection Plan | Plan de obtencion de inteligencia |
| IDS | Intrusion Detection System | Sistema de deteccion de intrusiones |
| IoC | Indicator of Compromise | Indicador de compromiso; evidencia tecnica de actividad maliciosa |
| IP | Internet Protocol | Protocolo de Internet |
| IPS | Intrusion Prevention System | Sistema de prevencion de intrusiones |
| IRM | Intelligence Requirements Management | Gestion de requisitos de inteligencia |
| ISAC | Information Sharing and Analysis Center | Centro de analisis y comparticion sectorial |
| ITSM | IT Service Management | Gestion de servicios de TI |
J
| Acronimo | Significado | Descripcion |
|---|---|---|
| JCMB | Joint Collection Management Board | Junta conjunta de gestion de obtencion (NATO) |
| JISR | Joint ISR | Inteligencia, vigilancia y reconocimiento conjunto |
| JSON | JavaScript Object Notation | Formato de intercambio de datos |
K
| Acronimo | Significado | Descripcion |
|---|---|---|
| KEV | Known Exploited Vulnerabilities | Catalogo de vulnerabilidades explotadas conocidas (CISA) |
| KPI | Key Performance Indicator | Indicador clave de rendimiento |
| KQL | Kusto Query Language | Lenguaje de consulta de Microsoft/CrowdStrike |
L
| Acronimo | Significado | Descripcion |
|---|---|---|
| L1/L2/L3 | Level 1/2/3 | Niveles de analistas en un SOC (triage, investigacion, experto) |
M
| Acronimo | Significado | Descripcion |
|---|---|---|
| MD5 | Message Digest 5 | Algoritmo de hash criptografico (128 bits) |
| MISP | Malware Information Sharing Platform | Plataforma de comparticion de inteligencia de malware |
| MITRE ATT&CK | MITRE Adversarial Tactics, Techniques & Common Knowledge | Framework de tacticas y tecnicas de adversarios |
| ML | Machine Learning | Aprendizaje automatico |
| MTTD | Mean Time To Detect | Tiempo medio de deteccion |
| MTTR | Mean Time To Respond | Tiempo medio de respuesta |
N-Z
| Acronimo | Significado | Descripcion |
|---|---|---|
| NATO | North Atlantic Treaty Organization | OTAN |
| NDR | Network Detection and Response | Deteccion y respuesta en red |
| NIS2 | Network and Information Security Directive 2 | Directiva europea de seguridad de redes |
| NIST | National Institute of Standards and Technology | Instituto de estandares de EE.UU. |
| NVD | National Vulnerability Database | Base de datos nacional de vulnerabilidades |
| OSINT | Open Source Intelligence | Inteligencia de fuentes abiertas |
| PAM | Privileged Access Management | Gestion de accesos privilegiados |
| PIR | Priority Intelligence Requirement | Requisito prioritario de inteligencia |
| PoC | Proof of Concept | Prueba de concepto |
| RBAC | Role-Based Access Control | Control de acceso basado en roles |
| RCE | Remote Code Execution | Ejecucion remota de codigo |
| RFI | Request for Information | Solicitud de informacion |
| RGPD | Reglamento General de Proteccion de Datos | GDPR en espanol |
| SANS | SysAdmin, Audit, Network, Security | Instituto de formacion en ciberseguridad |
| SIEM | Security Information and Event Management | Gestion de informacion y eventos de seguridad |
| SIR | Specific Intelligence Requirement | Requisito especifico; desglose de un PIR |
| SOAR | Security Orchestration, Automation and Response | Orquestacion y automatizacion de seguridad |
| SOC | Security Operations Center | Centro de operaciones de seguridad |
| STIX | Structured Threat Information eXpression | Estandar de formato para inteligencia de amenazas |
| TAXII | Trusted Automated eXchange of Intelligence Information | Protocolo de transporte para STIX |
| TIP | Threat Intelligence Platform | Plataforma de inteligencia de amenazas |
| TLP | Traffic Light Protocol | Protocolo de clasificacion de informacion compartida |
| TTP | Tactics, Techniques and Procedures | Tacticas, tecnicas y procedimientos de adversarios |
| WAF | Web Application Firewall | Cortafuegos de aplicaciones web |
| WHOIS | Who Is | Consulta de informacion de dominios |
| ZTNA | Zero Trust Network Access | Acceso de red de confianza cero |
Codigos de Tecnicas MITRE ATT&CK
| Codigo | Nombre | Descripcion |
|---|---|---|
| T1566 | Phishing | Acceso inicial mediante emails maliciosos |
| T1566.001 | Spearphishing Attachment | Phishing dirigido con adjuntos maliciosos |
| T1190 | Exploit Public-Facing Application | Explotacion de aplicaciones expuestas a Internet |
| T1133 | External Remote Services | Uso de servicios remotos externos (VPN, RDP) |
| T1021 | Remote Services | Movimiento lateral mediante servicios remotos |
| T1047 | Windows Management Instrumentation | Uso de WMI para ejecucion remota |
| T1570 | Lateral Tool Transfer | Transferencia de herramientas entre sistemas |
Herramientas y Plataformas
| Nombre | Tipo | Descripcion |
|---|---|---|
| Arcsight | SIEM | Plataforma SIEM legacy de Micro Focus |
| CrowdStrike | SIEM/EDR | Plataforma de seguridad (nuevo SIEM del cliente) |
| CyberArk | PAM | Solucion de gestion de accesos privilegiados |
| Darktrace | NDR | Deteccion y respuesta en red basada en IA |
| Exploit-DB | Base de datos | Repositorio publico de exploits |
| Flashpoint | CTI Platform | Plataforma comercial de inteligencia de amenazas |
| Fortinet | Firewall | Soluciones de seguridad de red |
| GreyNoise | CTI | Inteligencia sobre escaneos masivos en Internet |
| Hudson Rock | Infostealer Intel | Plataforma de inteligencia de infostealers |
| JIRA | ITSM | Gestion de tickets y proyectos |
| Mandiant | CTI | Proveedor de inteligencia de amenazas (Google) |
| Recorded Future | CTI Platform | Plataforma comercial de inteligencia de amenazas |
| Semperis | AD Security | Proteccion de Active Directory |
| Shadowserver | CTI | Fundacion de inteligencia gratuita sobre amenazas |
| Shodan | ASM | Motor de busqueda de dispositivos conectados |
| SpyCloud | Credential Intel | Inteligencia de credenciales comprometidas |
Glosario generado para el programa CTI cliente sector logistica (cliente sector logistica)
Puntos Clave
- El glosario cubre todo el ciclo de inteligencia: desde la obtencion (ICP, CRL, CTL) hasta el consumo (PIR, SIR, EEI)
- Las tecnicas MITRE mapean los vectores mas relevantes para el perfil de amenaza de cliente sector logistica
- El catalogo de herramientas refleja el stack real del cliente (CrowdStrike como SIEM/EDR, Arcsight como legacy)
Aplicacion Practica
- Referencia rapida durante el analisis de incidentes y la redaccion de informes CTI
- Util como material de formacion para nuevos analistas del SOC/CTI
- Las tecnicas MITRE sirven como base para mapear detecciones en CrowdStrike
Referencias
- ec-council-ctia-cert -- Notas del curso de certificacion CTIA relacionadas