AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Diferencias clave entre riesgo y amenaza, seguridad y cumplimiento y otros términos críticos en ciberseguridad**

admin

### Introducción

En el entorno de la ciberseguridad profesional, la precisión terminológica es esencial para una comunicación eficaz y una correcta gestión de incidentes. Sin embargo, conceptos como “riesgo” y “amenaza”, o “seguridad” y “cumplimiento”, suelen confundirse incluso entre profesionales experimentados. Esta falta de claridad puede derivar en interpretaciones erróneas, priorización inadecuada de recursos y fallos en la estrategia de defensa. En este artículo, desglosamos los conceptos más frecuentemente confundidos en la industria, abordando sus diferencias técnicas y su relevancia operacional.

### Contexto del Incidente o Vulnerabilidad

Los debates sobre terminología no son meramente académicos: afectan a la forma en que se comunican hallazgos entre pentesters y equipos de gestión, cómo se configura un SOC, o cómo se interpreta el cumplimiento de normativas como GDPR o NIS2. Por ejemplo, un informe que confunda “vulnerabilidad” con “amenaza” puede conducir a una respuesta técnica inadecuada o a una falsa sensación de seguridad, aumentando la superficie de exposición ante actores maliciosos.

### Detalles Técnicos: Diferenciando términos clave

#### **Riesgo vs Amenaza**

– **Amenaza**: Es una entidad, actor, evento o circunstancia capaz de explotar una vulnerabilidad de un sistema. Ejemplos: ransomware como LockBit, insiders maliciosos, APTs (Grupos de Amenaza Persistente Avanzada).
– **Riesgo**: Es la probabilidad de que una amenaza explote una vulnerabilidad y el impacto resultante sobre los activos. Se suele calcular como:
_Riesgo = Probabilidad x Impacto._

**Ejemplo técnico:**
Un software sin parchear (vulnerabilidad) ante una botnet (amenaza) tiene un riesgo cuantificable si el activo expuesto es crítico y la probabilidad de explotación es alta.

#### **Seguridad vs Cumplimiento**

– **Seguridad**: Medidas y procesos implementados para proteger la confidencialidad, integridad y disponibilidad de los sistemas (CIA triad). Ejemplo: segmentación de red, MFA, SIEM.
– **Cumplimiento**: Adhesión a requisitos legales, normativos o contractuales (por ejemplo, GDPR, NIS2, ISO 27001). No garantiza seguridad absoluta; solo que se cumplen unos mínimos.

**Ejemplo técnico:**
Un sistema puede ser “compliant” con GDPR (p. ej., DPO nombrado, registro de actividades) pero seguir siendo vulnerable a CVE-2023-23397 (vulnerabilidad crítica de Microsoft Outlook).

#### **Vulnerabilidad vs Exposición**

– **Vulnerabilidad**: Debilidad técnica o de proceso explotable (CVE registradas en NVD).
– **Exposición**: Grado en el que una vulnerabilidad es accesible para un atacante (por ejemplo, RDP abierto a Internet sin MFA).

#### **Evento vs Incidente de Seguridad**

– **Evento**: Cualquier suceso identificable en un sistema (acceso legítimo o anómalo).
– **Incidente**: Evento o conjunto de eventos que comprometen o intentan comprometer la seguridad (por ejemplo, escalada de privilegios, exfiltración de datos detectada por EDR).

#### **Tácticas, Técnicas y Procedimientos (TTP) según MITRE ATT&CK**

– **Táctica**: Objetivo general del atacante (ejemplo: “Credential Access”).
– **Técnica**: Método específico (ejemplo: “Brute Force”).
– **Procedimiento**: Implementación concreta (ejemplo: uso de Hydra para fuerza bruta SSH).

### Impacto y Riesgos

La confusión terminológica puede tener consecuencias críticas:

– **Falsos positivos/negativos** en informes SOC, al no distinguir correctamente entre eventos e incidentes.
– **Despliegue ineficaz de recursos**: Inversión en cumplimiento (“checkbox security”) en detrimento de controles técnicos eficaces.
– **Sanciones regulatorias**: Incumplimientos involuntarios de GDPR o NIS2 por mala interpretación de requisitos.
– **Aumento del riesgo residual**: Un 32% de las brechas reportadas en la UE en 2023 se debieron a la falta de alineación entre equipos técnicos y de cumplimiento (ENISA, 2023).

### Medidas de Mitigación y Recomendaciones

– **Formación continua**: Actualización periódica en terminología y frameworks (por ejemplo, NIST CSF, MITRE ATT&CK, ISO 27001).
– **Glosarios internos**: Integrar un vocabulario común en el SGSI y en los playbooks del SOC.
– **Simulacros y ejercicios de respuesta**: Incluir escenarios donde se evalúe la correcta identificación de amenazas, vulnerabilidades y riesgos.
– **Herramientas de gestión de riesgos**: Implementar soluciones como GRC (Governance, Risk and Compliance) que permitan mapear activos, amenazas y controles.

### Opinión de Expertos

Según Marta Núñez, CISO de una entidad financiera europea, “La alineación terminológica entre equipos legales, de negocio y técnicos es tan importante como la tecnología desplegada. Sin ese entendimiento, es imposible priorizar y responder adecuadamente a los incidentes”.

Por su parte, Pedro Sánchez, analista senior de amenazas, destaca: “El uso sistemático de marcos como MITRE ATT&CK y la referencia cruzada con CVEs conocidos es imprescindible para evitar errores de comunicación y reducir el tiempo de respuesta ante ataques reales”.

### Implicaciones para Empresas y Usuarios

Para las empresas, una comprensión precisa de estos términos es clave para:

– **Priorizar correctamente inversiones** en ciberseguridad (por ejemplo, EDR frente a firewalls tradicionales).
– **Evitar sanciones** regulatorias por malinterpretar obligaciones legales (GDPR, NIS2).
– **Reducir la superficie de ataque** aplicando controles efectivos sobre vulnerabilidades expuestas y amenazas relevantes.

Para los usuarios, aunque indirecto, el impacto se traduce en una mayor protección de sus datos y menor exposición a brechas.

### Conclusiones

La correcta diferenciación entre términos como riesgo, amenaza, cumplimiento y seguridad no es solo una cuestión semántica, sino una necesidad crítica para el éxito de cualquier estrategia de ciberseguridad. La adopción de marcos normativos, la formación continua y el uso de un lenguaje homogéneo entre los diferentes roles de la organización son pilares para reducir incidentes y cumplir con la legislación vigente. El reto para los profesionales es mantener la precisión conceptual a la altura del cambiante panorama de amenazas.

(Fuente: www.kaspersky.com)