En el sentido más simple, una amenaza de ciberseguridad, o ciberamenaza, es una indicación de que un hacker o un actor malicioso está intentando obtener acceso no autorizado a una red para lanzar un ciberataque.

Las ciberamenazas pueden ir desde lo obvio, como un correo electrónico de un potentado extranjero que ofrece una pequeña fortuna si le facilita su número de cuenta bancaria, hasta lo retorcidamente sigiloso, como una línea de código malicioso que se cuela entre las ciberdefensas y vive en la red durante meses o años antes de desencadenar una costosa vulneración de datos. Cuanto más conozcan los equipos de seguridad y los empleados los distintos tipos de amenazas a la ciberseguridad, más eficazmente podrán prevenir, prepararse y responder a los ciberataques.

Malware, abreviatura de "software malicioso", es un código de software escrito intencionalmente para dañar un sistema informático o a sus usuarios.

Casi todos los ciberataques modernos implican algún tipo de malware. Los actores de las amenazas utilizan ataques de malware para obtener acceso no autorizado y dejar inoperativos los sistemas infectados, destruyendo datos, robando información confidencial e incluso borrando archivos críticos del sistema operativo.

Los tipos más comunes de malware son:

• El ransomware bloquea los datos o el dispositivo de la víctima y amenaza con mantenerlo bloqueado, o filtrarlo públicamente, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022.
• Un caballo de Troya es un código malicioso que engaña a las personas para que lo descarguen haciéndose pasar por un programa útil o escondiéndose dentro de un software legítimo. Algunos ejemplos son los troyanos de acceso remoto (RAT), que crean una puerta trasera secreta en el dispositivo de la víctima, o los troyanos cuentagotas, que instalan malware adicional una vez que se afianzan en el sistema o la red de destino.
• El spyware es un malware altamente secreto que recopila información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales, y la transmite al atacante sin que la víctima lo sepa.
• Los worms son programas autorreplicantes que se propagan automáticamente a aplicaciones y dispositivos sin necesidad de interacción humana.

La ingeniería social, a menudo llamada "human hacking", manipula a los objetivos para realizar acciones que expongan información confidencial, amenacen su propio bienestar financiero o el de su organización o comprometa de otro modo la seguridad personal u organizativa.

El phishing es la forma más conocida y generalizada de ingeniería social. El phishing utiliza correos electrónicos, adjuntos, mensajes de texto o llamadas telefónicas fraudulentos para engañar a las personas para que compartan datos personales o credenciales de inicio de sesión, descarguen malware, envíen dinero a los ciberdelincuentes o realicen otras acciones que puedan exponerlos a ciberdelitos.

Los tipos más comunes de phishing son:

• Spear phishing: ataques de phishing altamente dirigidos que manipulan a una persona específica, a menudo utilizando detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la artimaña sea más convincente.
• Whale phishing: spear phishing dirigido a ejecutivos corporativos o personas adineradas.
• Compromiso de correo electrónico empresarial (BEC): estafas en las que los ciberdelincuentes se hacen pasar por ejecutivos, proveedores o socios comerciales de confianza para engañar a las víctimas para que envíen dinero o compartan datos confidenciales.

Otra estafa de ingeniería social común es la suplantación de nombres de dominio (también llamada suplantación de DNS), en la que los ciberdelincuentes utilizan un sitio web o un nombre de dominio falso que se hace pasar por uno real, por ejemplo, "applesupport.com" en vez de support.apple.com, para engañar a las personas y que faciliten información confidencial. Los correos electrónicos de phishing suelen utilizar nombres de dominio de remitentes suplantados para que el correo parezca más creíble y legítimo.

En un ataque de intermediario o man-in-the-middle (MITM), un ciberdelincuente espía una conexión de red para interceptar y retransmitir mensajes entre dos partes y robar datos. Las redes wifi poco seguras suelen ser un coto de caza fácil para los hackers que buscan lanzar ataques MITM.

Un ataque de denegación de servicio (DoS) es un ciberataque que abruma un sitio web, una aplicación o un sistema con volúmenes de tráfico fraudulento, lo que hace que su uso sea demasiado lento o que no esté disponible para los usuarios legítimos. Un ataque de denegación de servicio distribuido, o ataque DDoS, es similar, pero utiliza una red de dispositivos o bots infectados con malware y conectados a internet, que se conocen como botnet, para paralizar o colapsar el sistema objetivo. 

Un exploit de día cero es un tipo de ciberataque que aprovecha una vulnerabilidad de día cero: una falla de seguridad desconocida, que aún no se ha abordado o sin parchear en el software, el hardware o el firmware del ordenador. El término "día cero" hace referencia al hecho de que un proveedor de software o dispositivos dispone de un total de "cero días", es decir, que no dispone de tiempo alguno para corregir las vulnerabilidades, ya que los agentes maliciosos pueden utilizarlo para acceder a los sistemas vulnerables.

Una de las vulnerabilidades de día cero más conocidas es Log4Shell, un defecto en la biblioteca de registro de Apache Log4j ampliamente utilizada. En el momento de su descubrimiento en noviembre de 2021, la vulnerabilidad Log4Shell existía en el 10 % de los activos digitales globales, incluidas muchas aplicaciones web, servicios en la nube y endpoints físicos como servidores.

Como su nombre indica, estos ataques implican a los ciberdelincuentes que intentan adivinar o robar la contraseña o credenciales de inicio de sesión de la cuenta de un usuario. Muchos ataques de contraseñas utilizan la ingeniería social para engañar a las víctimas para que compartan estos datos confidenciales sin saberlo. Sin embargo, los hackers también pueden usar ataques de fuerza bruta para robar contraseñas, probando repetidamente diferentes combinaciones de contraseñas hasta que una tenga éxito.

En un ataque de Internet de las cosas (IoT), los ciberdelincuentes explotan las vulnerabilidades de los dispositivos IoT, como los dispositivos domésticos inteligentes y los sistemas de control industrial, para apoderarse del dispositivo, robar datos o utilizarlo como parte de una botnet para otros fines maliciosos.

En estos ataques, los hackers inyectan código malicioso en un programa o descargan malware para ejecutar comandos remotos, lo que les permite leer o modificar una base de datos o cambiar los datos del sitio web.

Hay varios tipos de ataques de inyección. Dos de los más comunes son los siguientes:

• Ataques de inyección de SQL: cuando los hackers explotan la sintaxis de SQL para falsificar la identidad; exponer, manipular, destruir o hacer que los datos existentes no estén disponibles; o convertirse en administradores del servidor de la base de datos.
• Secuencias de comandos entre sitios cruzados (XSS): este tipo de ataques son similares a los ataques de inyección de SQL, pero en lugar de extraer datos de una base de datos, suelen infectar a los usuarios que visitan un sitio web.

Estos individuos o grupos cometen ciberdelitos, sobre todo para obtener beneficios económicos. Entre los delitos más comunes que cometen los ciberdelincuentes se incluyen los ataques de ransomware y las estafas de phishing que engañan a las personas para que realicen transferencias de dinero o divulguen información sobre tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o sensible. 

Estos individuos o grupos cometen ciberdelitos, sobre todo para obtener beneficios económicos. Entre los delitos más comunes que cometen los ciberdelincuentes se incluyen los ataques de ransomware y las estafas de phishing que engañan a las personas para que realicen transferencias de dinero o divulguen información sobre tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o sensible. 

Un hacker es alguien con las habilidades técnicas necesarias para comprometer una red o un sistema informático.

Tenga en cuenta que no todos los hackers son actores de amenazas o ciberdelincuentes. Por ejemplo, algunos hackers (denominados hackers éticos) se hacen pasar por ciberdelincuentes para ayudar a las organizaciones y organismos públicos a comprobar la vulnerabilidad de sus sistemas informáticos frente a los ciberataques.

Los estados-nación y los gobiernos financian con frecuencia a los actores de amenazas con el objetivo de robar datos sensibles, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades maliciosas incluyen a menudo el espionaje o la guerra cibernética y suelen estar muy financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar. 

A diferencia de la mayoría de los otros ciberdelincuentes, las amenazas internas no siempre son el resultado de actores maliciosos. Muchos usuarios internos perjudican a sus empresas por errores humanos, como la instalación involuntaria de malware o la pérdida de un dispositivo proporcionado por la empresa que un ciberdelincuente encuentra y utiliza para acceder a la red.

Dicho esto, los usuarios internos negligentes existen. Por ejemplo, un empleado descontento puede abusar de los privilegios de acceso para obtener ganancias monetarias (por ejemplo, un pago de un ciberdelincuente o un estado nacional) o simplemente por rencor o venganza.

Las contraseñas seguras (enlace externo a ibm.com), las herramientas de seguridad del correo electrónico y el software antivirus son todas las primeras líneas de defensa cruciales contra las ciberamenazas.

Las organizaciones también confían en firewalls, VPN, autenticación multifactor, formación en concienciación sobre seguridad y otras soluciones avanzadas de seguridad de endpoints y seguridad de redes para protegerse contra los ciberataques.

Sin embargo, ningún sistema de seguridad está completo sin capacidades de última generación de detección de amenazas y respuesta ante incidentes para identificar amenazas de ciberseguridad en tiempo real y ayudar a aislar y corregir rápidamente las amenazas para minimizar o prevenir el daño que pueden causar.

IBM Security QRadar SIEM aplica el machine learning y análisis del comportamiento del usuario (UBA) al tráfico de red junto con los logs tradicionales para una detección de amenazas más inteligente y una corrección más rápida. En un estudio reciente de Forrester, QRadar SIEM ayudó a los analistas de seguridad a ahorrar más de 14 000 horas en tres años mediante la identificación de falsos positivos, la reducción del tiempo dedicado a investigar incidentes en un 90 % y la reducción del riesgo de sufrir una violación de seguridad grave en un 60 %.* Con QRadar SIEM, los equipos de seguridad con pocos recursos tienen la visibilidad y el análisis que necesitan para detectar amenazas rápidamente y tomar medidas inmediatas e informadas para minimizar los efectos de un ataque.

*El Total Economic Impact de IBM Security QRadar SIEM es un estudio llevado a cabo por Forrester Consulting en nombre de IBM, abril de 2023. Basado en los resultados proyectados de una organización compuesta modelada a partir de 4 clientes de IBM entrevistados. Los resultados reales variarán en función de las configuraciones y condiciones del cliente y, por lo tanto, no se pueden ofrecer resultados esperados de forma general.