Las medidas de seguridad cibernética se implementan para proteger los activos, que se definen como «elementos de importancia o valor, que pueden ser personas, propiedad, información, sistemas o equipos» (Maras, 2014b, pág. 21), por ejemplo empleados de una organización, dispositivos digitales, programas informáticos y datos (ITU, 2008). Los activos son susceptibles (es decir, vulnerables) frente a varias formas de daño. Los activos tienen vulnerabilidades internas (intrínsecas) o externas (extrínsecas). Por ejemplo, en materia de las tecnologías de la información y comunicación (TIC), pueden encontrarse vulnerabilidades intrínsecas dentro del diseño del sistema, en las configuraciones, en el hardware, en el software, entre otras áreas (ENISA, 2017). Un caso particular es el de un error de programa. En 2018, se reveló un error de programa en el monedero de la criptomoneda Monero, lo que les permitió a algunas personas aprovecharse de esta vulnerabilidad para duplicar ilegalmente las cantidades en sus transferencias con criptomoneda (Barth, 2018) (para más información sobre criptomonedas, consulte Delitos Cibernéticos Módulo 2: Tipos Generales de Delitos Cibernéticos). En contraste, las vulnerabilidades extrínsecas no se encuentran en los activos, por ejemplo, en las TIC (tecnologías de la información y comunicación). Un ejemplo de ello es el propio usuario de las TIC. El usuario puede involucrarse en acciones que exponen su dispositivo a infecciones de programas maliciosos (p. ej., al abrir archivos adjuntos en correos electrónicos que provienen de remitentes desconocidos). Las propiedades intrínsecas y extrínsecas hacen que los activos sean vulnerables frente a amenazas (es decir, a cualquier elemento que podría causar un efecto adverso). Estas amenazas pueden causar daño intencional o involuntario. Por ejemplo, el hardware de un dispositivo digital podría funcionar mal o ser dañado intencionalmente por una persona que se aprovecha de algunas vulnerabilidades del firmware (soporte lógico inalterable) del programa (ENISA, 2017).