Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Glosario para sitios web pirateados

El glosario recoge una colección de términos técnicos que aparecen en toda nuestra documentación de seguridad. La lista se ordena alfabéticamente y se estructura de esta forma: los términos aparecen en negrita y van seguidos de su definición.

Privilegios de administrador
Los privilegios de administrador son el nivel de permiso máximo que se puede dar a una cuenta. Con estos privilegios, un usuario puede eliminar todo el sitio web, restaurar contraseñas o subir archivos.

Puerta trasera
Una puerta trasera es un programa que se instala en un sistema para evitar los controles de autenticación y mantener el acceso.

Encubrimiento
El encubrimiento consiste en presentar contenido o URLs diferentes a usuarios humanos y motores de búsqueda.

Por ejemplo, las secuencias de comandos dinámicas y las reglas .htaccess pueden devolver códigos de estado en función de las solicitudes procesadas. Con esta táctica, los hackers ocultan sus movimientos devolviendo un código de error 404 o 500 a determinadas direcciones IP o navegadores, mientras envían spam a otras direcciones IP o navegadores.

Archivos de configuración
Los archivos de configuración se utilizan para almacenar información, como la ubicación de la base de datos y las credenciales de los sitios web dinámicos.

Sistema de gestión de contenido (CMS)
Los sistemas de gestión de contenido son paquetes de software que facilitan a los usuarios la tarea de crear sitios web y editarlos. Existen muchos sistemas de este tipo, como WordPress, Joomla! y Drupal, y también se pueden encontrar sistemas personalizados.

Especialistas forenses digitales
Los especialistas forenses digitales son personas o equipos que pueden ayudarte a limpiar tu sitio web y a descubrir cómo se ha pirateado

Página web estática
Una página web estática tiene un archivo único y constante que muestra el contenido de un sitio web.

Página web dinámica
Una página web dinámica utiliza secuencias de comandos para generar contenido en el sitio web. Este tipo de páginas utiliza software y una combinación de secuencias de comandos y plantillas para generar páginas cada vez que se solicitan y colocar contenido.

eval()
En PHP y JavaScript, eval() es una función que evalúa una cadena y devuelve el resultado. Desaconsejamos utilizar esta función si los usuarios del sitio web pueden introducir datos, ya que de este modo se abre una vulnerabilidad que permite a los atacantes insertar código malicioso; es decir, pueden inyectar comandos PHP perjudiciales.

FTP
Se utiliza el protocolo de transferencia de archivos (FTP) para transferir archivos de una máquina a otra.

Archivos ocultos
Los archivos ocultos son archivos que no aparecen en un directorio de forma predeterminada. Normalmente, los archivos como los .htaccess están ocultos para evitar que los usuarios modifiquen su información por accidente. Para poder ver los archivos ocultos y modificarlos, debes editar la configuración de tu sistema de archivos.

Códigos de estado HTTP
Los códigos de estado HTTP son respuestas estandarizadas que los servidores web devuelven junto con contenido cuando los usuarios intentan interactuar con una página; por ejemplo, al cargar una página o enviar un comentario. Estos códigos ayudan a los usuarios a comprender cómo responde el sitio web o a identificar errores. Para obtener una lista completa de los códigos de estado y de lo que significan, consulta la página de códigos de estado del World Wide Web Consortium.

iframe
Un iframe permite que se muestre contenido de una página web en otra. Los hackers usan los iframes ocultos habitualmente para redirigir a los usuarios a sus sitios web.

Archivo de registro
Los archivos de registro son archivos en los que los servidores web registran las solicitudes de los usuarios para realizar un seguimiento de todas las actividades que se llevan a cabo en el servidor. Puedes detectar intentos de pirateo o tráfico sospechoso en tu sitio web examinando archivos de registro.

Software malicioso
El software malicioso es cualquier software que se haya diseñado con el único objetivo de dañar un ordenador, el software que está ejecutando o a sus usuarios. Más información sobre el software malicioso

Ofuscación
La ofuscación es una táctica que se utiliza para confundir a las personas que interpretan el código dificultando el proceso de lectura. Entre los métodos de ofuscación que los hackers usan con más frecuencia se incluyen la sustitución de caracteres, la confusión intencionada de nombres de variables, el uso de sistemas de codificación como base64, rot13, gzip, la codificación de URLs, la codificación hexadecimal o una combinación de estos métodos. En algunas ocasiones, se utilizan estas técnicas, como base64 y gzip, para comprimir grandes cantidades de código, como interfaces web completas, y ocultarlas.

Suplantación de identidad (phishing)
La suplantación de identidad, también llamada phishing, es una técnica de ingeniería social cuyo objetivo es engañar a los usuarios para que proporcionen información confidencial (como nombres de usuario o contraseñas) haciéndose pasar por una fuente de confianza. Por ejemplo, una persona que quiera realizar un ataque de phishing puede enviar un correo electrónico a una víctima potencial y fingir ser su banco para pedirle las credenciales de su cuenta bancaria. Más información sobre la suplantación de identidad (phishing)

Search Console
Google Search Console es un servicio gratuito de Google que te ayuda a supervisar tu sitio web y a mantener su presencia en los resultados de la Búsqueda de Google. Google también utiliza este servicio para comunicarse con los webmasters acerca de los problemas de los sitios web. Más información sobre Search Console

Sitemap
Un sitemap es un archivo que contiene una lista de páginas web de un sitio web y que informa a los motores de búsqueda sobre cómo se organiza el contenido. Más información sobre los sitemaps

Ingeniería social
La ingeniería social es una técnica que se utiliza para obtener información confidencial o controlarla. En lugar de atacar el código directamente, los hackers tratan de engañar a las personas para que se la proporcionen. Una de las formas más habituales de ingeniería social es la suplantación de identidad (phishing). Más información sobre la ingeniería social

Pico de tráfico
Los picos de tráfico son un aumento repentino o inesperado del tráfico de un sitio web.

Autenticación de doble factor (A2F)
La autenticación de doble factor es un mecanismo de seguridad que se utiliza para proteger el inicio de sesión de una cuenta requiriendo al menos dos tokens de prueba. Por ejemplo, un usuario que utilice la autenticación de doble factor necesita tanto una contraseña como un código de seguridad recibido por SMS para acceder a su cuenta.

Servicio de alojamiento web
Un servicio de alojamiento web ofrece a los usuarios espacio para alojar su sitio web en un servidor web, como Google Sites. Es posible que haya funciones o herramientas adicionales disponibles en función del servicio.

Lenguajes de secuencias de comandos web
Los lenguajes de secuencias de comandos web suelen utilizarse en combinación con HTML para añadir más funciones a un sitio web. Por ejemplo, se utilizan otros lenguajes de secuencias de comandos para procesar formularios, moderar comentarios o dar al sitio web efectos visuales especiales. En este caso, las guías para recuperarse de ataques utilizan este término para referirse a PHP o JavaScript.

PHP es un lenguaje de secuencia de comandos del servidor, lo que significa que el servidor web interpreta sus comandos y los ejecuta.

Javascript, en cambio, es principalmente un lenguaje del cliente, lo que significa que el navegador del usuario interpreta sus comandos y los ejecuta.

Servidor web
Un servidor web es la máquina y el software que aloja las páginas web y otros archivos relacionados con un sitio web y los controla.

Interfaz web
Una interfaz web es una secuencia de comandos de puerta trasera que permite a los atacantes mantener el acceso a través de un servidor.

Spam web
El spam web es una táctica de optimización en buscadores (SEO) mediante blackhat o con contenido spam que intenta aumentar el posicionamiento o la popularidad de un sitio web engañando y manipulando los motores de búsqueda.