Las motivaciones detrás de los ciberataques pueden variar, pero hay tres categorías principales: criminal, política y personal.

Los atacantes con motivaciones delictivas buscan obtener ganancias financieras mediante el robo de dinero, el robo de datos o la interrupción del negocio. Los ciberdelincuentes pueden piratear una cuenta bancaria para robar dinero directamente o utilizar estafas de ingeniería social para engañar a las personas para que les envíen dinero. Los piratas informáticos pueden robar datos y utilizarlos para cometer robos de identidad o venderlos en la Dark Web o guardarlos para un rescate.

La extorsión es otra táctica popular. Los piratas informáticos pueden usar programas maliciosos, ataques DDoS u otras tácticas para mantener como rehenes los datos o dispositivos hasta que una empresa pague. Según el X-Force Threat Intelligence Index, el 27 por ciento de los ciberataques tienen como objetivo extorsionar a sus víctimas.

Los agresores con motivaciones personales , como los empleados actuales o antiguos descontentos, buscan principalmente la retribución por algún desaire percibido. Pueden tomar dinero, robar datos confidenciales o interrumpir los sistemas de una empresa.

Los atacantes con motivaciones políticas suelen asociarse con la guerra cibernética, el ciberterrorismo o el "hacktivismo". En la ciberguerra, los actores de los estados-nación suelen atacar las agencias gubernamentales o la infraestructura crítica de sus enemigos. Por ejemplo, desde el inicio de la Guerra de Rusia y Ucrania, ambos países han experimentado una erupción de ciberataques contra instituciones vitales (enlace externo a ibm.com). Los piratas informáticos activistas, llamados "hacktivistas", pueden no causar grandes daños a sus objetivos. En cambio, suelen buscar atención por sus causas dando a conocer sus ataques al público.

Entre las motivaciones menos comunes de los ciberataques se incluyen el espionaje corporativo, en el que los hackers roban propiedad intelectual para obtener una ventaja injusta sobre sus competidores, y los hackers vigilantes que explotan las vulnerabilidades de un sistema para advertir a otros sobre ellas. Algunos hackers simplemente piratean por diversión, saboreando el desafío intelectual.

Las organizaciones penales, los actores estatales y las personas privadas pueden lanzar ciberataques. Una forma de clasificar a los actores de amenazas es clasificándolos como amenazas externas o amenazas internas.

Las amenazas externas no están autorizadas a utilizar una red o dispositivo, pero se rompen de todos modos. Los actores externos de amenazas cibernéticas incluyen grupos delictivos organizados, hackers profesionales, actores patrocinados por el estado, hackers aficionados y hacktivistas.

Las amenazas internas son usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y hacen un mal uso de sus privilegios de forma deliberada o accidental. Esta categoría incluye empleados, socios comerciales, clientes, contratistas y proveedores con acceso al sistema.

Aunque los usuarios negligentes pueden poner en riesgo a sus empresas, solo es un ciberataque si el usuario utiliza intencionalmente sus privilegios para llevar a cabo actividades maliciosas. Un empleado que almacena descuidadamente información confidencial en un disco no seguro no está cometiendo un ciberataque, pero un empleado descontento que, a sabiendas, hace copias de datos confidenciales para beneficio personal sí lo está. 

Los actores de amenazas suelen irrumpir en las redes informáticas porque buscan algo específico. Los objetivos comunes incluyen:

• Dinero
• Datos financieros de las empresas
• Listas de clientes
• Datos de clientes, incluida información de identificación personal (PII) u otros datos personales confidenciales
• Direcciones de email y credenciales de inicio de sesión
• Propiedad intelectual, como secretos comerciales o diseños de productos

En algunos casos, los ciberatacantes no quieren robar nada. En su lugar, simplemente desean interrumpir los sistemas de información o la infraestructura de TI para dañar un negocio, una agencia gubernamental u otro objetivo. 

Los ciberdelincuentes utilizan muchas herramientas y técnicas sofisticadas para lanzar ataques cibernéticos contra sistemas de TI empresariales, computadoras personales y otros objetivos. Algunos de los tipos más comunes de ciberataques son:

El malware es un software malicioso que puede hacer que los sistemas infectados no funcionen. Los programas maliciosos pueden destruir datos, robar información o incluso borrar archivos críticos para la capacidad de ejecución del sistema operativo. El malware se presenta en muchas formas, incluidas:

• Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un troyano cuentagotas instala un programa malicioso adicional una vez que logra establecerse.
  
  
• El ransomware es un malware sofisticado que utiliza un cifrado sólido para mantener como rehenes los datos o los sistemas. Los ciberdelincuentes exigen el pago a cambio de liberar el sistema y restaurar la funcionalidad. Según IBM X-Force Threat Intelligence Index, el ransomware es el segundo tipo más común de ciberataque y representa el 17% de los ataques.
  
  
• Scareware utiliza mensajes falsos para atascar a las víctimas a descargar malware o pasar información confidencial a un estafador.
  
  
• El spyware es un tipo de malware que recopila secretamente información confidencial, como nombres de usuario, contraseñas y números de tarjetas de crédito. Luego envía esta información al hacker.
  
  
• Los rootkits son paquetes de malware que permiten a los piratas informáticos obtener acceso de nivel de administrador al sistema operativo de una computadora u otros activos.
  
  
• Los gusanos son códigos maliciosos autorreplicantes que pueden propagarse automáticamente entre aplicaciones y dispositivos. 

Los ataques de ingeniería social manipulan a las personas para que hagan cosas que no deberían hacer, como compartir información que no deberían compartir, descargar software que no deberían descargar o enviar dinero a los delincuentes.

El phishing es uno de los ataques de ingeniería social más generalizados. Según el informe Coste de una filtración de datos, es la segunda causa más común de infracciones. Las estafas más básicas de phishing utilizan correos electrónicos falsos o mensajes de texto para robar las credenciales de los usuarios, exfiltrar datos confidenciales o difundir malware. Los mensajes de phishing suelen estar diseñados para verse como si fueran de una fuente legítima. Normalmente dirigen a la víctima a hacer clic en un hipervínculo que los lleva a un sitio web malicioso o abre un archivo adjunto de correo electrónico que resulta ser malware.

Los ciberdelincuentes también han desarrollado métodos de phishing más sofisticados. El spear phishing es un ataque muy específico que tiene como objetivo manipular a una persona específica y, a menudo, utiliza detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la artimaña sea más convincente. El phishing de ballena es un tipo de phishing dirigido específicamente a altos cargos de empresas. En una estafa de correo electrónico empresarial (BEC), los ciberdelincuentes se hacen pasar por ejecutivos, proveedores u otros asociados comerciales para engañar a las víctimas para que suban dinero o compartan datos confidenciales. 

Los ataques de denegación de servicio (denegación de servicio) y denegación de servicio distribuido (DDoS) inundan los recursos de un sistema con tráfico fraudulento. Este tráfico abrumará al sistema, evitando las respuestas a solicitudes legítimas y reduciendo la capacidad del sistema de realizar. Un ataque de denegación de servicio puede ser un fin en sí mismo o una configuración para otro ataque.

La diferencia entre los ataques DDoS y los ataques DDoS es simplemente que los ataques DDoS utilizan una única fuente para generar tráfico fraudulento, mientras que los ataques DDoS utilizan múltiples fuentes. Los ataques DDoS suelen llevarse a cabo con una botnet, una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las redes de bots pueden incluir portátiles, smartphones y dispositivos de Internet de las cosas (IoT). Las víctimas a menudo no saben cuando una botnet ha secuestrado sus dispositivos.

Compromiso de cuenta es cualquier ataque en el que los piratas informáticos secuestran la cuenta de un usuario legítimo para realizar actividades maliciosas. Los ciberdelincuentes pueden entrar en la cuenta de un usuario de muchas maneras. Pueden robar credenciales a través de ataques de phishing o comprar bases de datos de contraseñas robadas de la web oscura. Pueden usar herramientas de ataque de contraseñas como Hashcat y John the Ripper para romper los cifrados de contraseñas o organizar ataques de fuerza bruta, en los que ejecutan scripts automatizados o bots para generar y probar contraseñas potenciales hasta que una funcione.

En un ataque de intermediario (MiTM) , también llamado "escuchas no autorizadas", un hacker intercepta en secreto las comunicaciones entre dos personas o entre un usuario y un servidor. Los ataques MitM se llevan a cabo comúnmente a través de redes wifi públicas no seguras, donde es relativamente fácil para los actores de amenazas espiar el tráfico.

Los piratas informáticos pueden leer los correos electrónicos de un usuario o incluso alterarlos en secreto antes de que lleguen al destinatario. En un ataque de secuestro de sesiones, el hacker interrumpe la conexión entre un usuario y un servidor que aloja activos importantes, como una base de datos confidencial de la empresa. El hacker intercambia su dirección IP con la del usuario, haciendo que el servidor piense que es un usuario legítimo conectado a una sesión legítima. Esto le da al hacker rienda suelta para robar datos o causar estragos. 

Los ataques a la cadena de suministro son ataques cibernéticos en los que los hackers infringen una empresa dirigiéndose a sus proveedores de software, proveedores de materiales y otros proveedores de servicios. Dado que los proveedores suelen conectarse a las redes de sus clientes de alguna manera, los piratas informáticos pueden utilizar la red del proveedor como un vector de ataque para acceder a varios destinos a la vez.

Por ejemplo, en 2020, los actores estatales rusos piratearon al proveedor de software SolarWinds y distribuyeron programas maliciosos a sus clientes bajo la apariencia de una actualización de software (enlace externo a ibm.com). El malware permitió a los espías rusos acceder a los datos confidenciales de varias agencias gubernamentales de EE. UU. utilizar los servicios de SolarWinds, incluidos los departamentos del Tesoro, Justicia y Estado. 

Las organizaciones pueden reducir los ciberataques implantando sistemas y estrategias de ciberseguridad. La ciberseguridad es la práctica de proteger los sistemas críticos y la información sensible de los ataques digitales mediante una combinación de tecnología, personas y procesos. 

Muchas organizaciones implementan una estrategia de gestión de amenazas para identificar y proteger sus activos y recursos más importantes. La gestión de amenazas puede incluir políticas y soluciones de seguridad como:

• Las plataformas y políticas de gestión de identidades y accesos (IAM) , incluido el acceso con privilegios mínimos, la autenticación multifactor y políticas de contraseñas seguras, pueden ayudar a garantizar que solo las personas adecuadas tengan acceso a los recursos adecuados. Las empresas también pueden exigir que los empleados remotos utilicen redes privadas virtuales (VPN) cuando accedan a recursos confidenciales a través de wifi no seguro.
   
• Una plataforma integral de seguridad de datos y herramientas de prevención de pérdida de datos (DLP) pueden cifrar datos confidenciales, monitorizar su acceso y uso, y generar alertas cuando se detecta actividad sospechosa. Las organizaciones también pueden realizar copias de seguridad de los datos con regularidad para minimizar los daños en caso de una infracción.
  
  
• Los cortafuegos pueden ayudar a impedir que los actores de amenazas ingresen a la red en primer lugar. Los cortafuegos también pueden bloquear el tráfico malicioso que sale de la red, como el malware que intenta comunicarse con un servidor de comando y control.
   
• La capacitación en concientización sobre seguridad puede ayudar a los usuarios a identificar y evitar algunos de los vectores de ciberataque más comunes, como el phishing y otros ataques de ingeniería social.
  
  
• Las políticas de gestión de vulnerabilidades , incluidas las programaciones de gestión de parches y las pruebas de penetración regulares, pueden ayudar a detectar y cerrar vulnerabilidades antes de que los piratas informáticos puedan aprovecharlas.
  
  
• Las herramientas de gestión de superficies de ataque (ASM) pueden identificar, catalogar y remediar activos potencialmente vulnerables antes de que los ciberatacantes los encuentren.
  
  
• Las herramientas unificadas de gestión de endpoints (UEM) pueden aplicar políticas y controles de seguridad en todos los endpoints de la red corporativa, incluidos portátiles, equipos de escritorio y dispositivos móviles.

Es imposible evitar completamente los intentos de ciberataques, por lo que las organizaciones también pueden utilizar la monitorización continua de la seguridad y los procesos de detección temprana para identificar y marcar los ciberataques en curso. Algunos ejemplos son:

• Los sistemas de gestión de eventos e información de seguridad (SIEM)centralizan y rastrean alertas de diversas herramientas internas de ciberseguridad, incluidos sistemas de detección de intrusiones (IDS), sistemas de detección y respuesta de puntos finales (EDR) y otras soluciones de seguridad.
  
  
• Las plataformas de inteligencia sobre amenazas enriquecen las alertas de seguridad para ayudar a los equipos de seguridad a comprender los tipos de amenazas de ciberseguridad a las que se enfrentan.
  
  
• El software antivirus puede analizar regularmente los sistemas informáticos en busca de programas maliciosos y erradicar automáticamente el malware identificado.
  
  
• Los procesos de búsqueda proactiva de amenazas pueden realizar un seguimiento de las ciberamenazas que acechan secretamente en la red, como las amenazas persistentes avanzadas (APT).

Las organizaciones también pueden tomar medidas para garantizar una respuesta adecuada a los ciberataques en curso y otros eventos de ciberseguridad. Algunos ejemplos son:

• Los planes de respuesta ante incidentes pueden ayudar a contener y erradicar varios tipos de ciberataques, restaurar sistemas afectados y analizar causas raíz para prevenir futuros ataques. Se muestra que los planes de respuesta a incidentes reducen los costes generales de los ciberataques. Según el informe sobre el Coste de una filtración de datos, las organizaciones con equipos y planes formales de respuesta a incidentes tienen una media de un 58% menos de costos de violación de datos.
  
  
• Las soluciones de orquestación, automatización y respuesta de seguridad (SOAR) pueden permitir a los equipos de seguridad coordinar herramientas de seguridad dispares en manuales semiautomatizados para responder a los ciberataques en tiempo real.
  
  
• Las soluciones de detección y respuesta ampliadas (XDR) integran herramientas y operaciones de seguridad en todas las capas de seguridad: usuarios, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Los XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta a ciberataques, incluida la búsqueda proactiva de amenazas.