Los actores de amenazas, también conocidos como actores de ciberamenazas o actores maliciosos, son individuos o grupos que causan daños intencionadamente a dispositivos o sistemas digitales. Las amenazas explotan las vulnerabilidades de los sistemas informáticos, las redes y el software para perpetuar diversos ciberataques, como el phishing, el ransomware y los ataques de malware.
Hoy en día, existen muchos tipos de actores de amenazas, todos con diferentes atributos, motivaciones, niveles de habilidad y tácticas. Entre los más comunes se encuentran los hacktivistas, los actores del estados-nación, los ciberdelincuentes, los buscadores de emociones, los actores de amenazas internas y los ciberterroristas.
A medida que aumentan la frecuencia y la gravedad de los ciberdelitos, es cada vez más importante comprender a estos distintos tipos de actores de amenazas para mejorar la ciberseguridad ciberseguridad individual y de las organizaciones.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese para obtener el X-Force Threat Intelligence Index
El término actor de amenazas es amplio y relativamente general, extendiéndose a cualquier persona o grupo que suponga una amenaza para la ciberseguridad. Los actores de amenazas suelen clasificarse en diferentes tipos en función de su motivación y, en menor medida, de su nivel de sofisticación.
Estos individuos o grupos cometen ciberdelitos sobre todo para obtener beneficios económicos. Entre los delitos más comunes que cometen los ciberdelincuentes se incluyen los ataques de ransomware y las estafas de phishing que engañan a las personas para que realicen transferencias de dinero o divulguen información sobre tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o sensible.
Los estados-nación y los gobiernos financian con frecuencia a los actores de amenazas con el objetivo de robar datos sensibles, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades maliciosas incluyen a menudo el espionaje o la guerra cibernética y suelen estar muy financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar.
Estos actores de amenazas utilizan técnicas de pirateo para promover agendas políticas o sociales, como difundir la libertad de expresión o destapar violaciones de los derechos humanos. Los hacktivistas creen que están provocando un cambio social positivo y se sienten justificados al atacar a individuos, organizaciones o agencias gubernamentales con el fin de revelar secretos u otra información sensible. Un ejemplo bien conocido de grupo hacktivista es Anonymous, un colectivo internacional de piratas informáticos que afirma defender la libertad de expresión en Internet.
Como su nombre indica, la principal motivación de los buscadores de emociones es atacar sistemas informáticos y de información por diversión. Algunos quieren ver cuánta información o datos sensibles pueden robar; otros quieren utilizar la piratería informática para comprender mejor cómo funcionan las redes y los sistemas informáticos. Una clase de buscadores de emociones, los llamados "script kiddies", no tienen conocimientos técnicos avanzados, pero utilizan herramientas y técnicas preexistentes para atacar sistemas vulnerables, principalmente por diversión o satisfacción personal. Aunque no siempre buscan causar daño, los buscadores de emociones pueden causar daños involuntarios al interferir en la ciberseguridad de una red y abrir la puerta a futuros ciberataques.
A diferencia de la mayoría de los demás tipos de actores, los actores de amenazas internas no siempre actúan con mala intención. Algunos perjudican a sus empresas por errores humanos, como la instalación involuntaria de malware o la pérdida de un dispositivo proporcionado por la empresa que un ciberdelincuente encuentra y utiliza para acceder a la red. Pero los usuarios internos negligentes existen. Por ejemplo, el empleado descontento que abusa de los privilegios de acceso para robar datos con fines lucrativos o inflige daños a datos o aplicaciones como represalia por haber sido rechazado para un ascenso.
Los ciberterroristas lanzan ciberataques por motivos políticos o ideológicos que amenazan con violencia o desembocan en ella. Algunos ciberterroristas son agentes de estados-nación; otros actúan por su cuenta o en nombre de un grupo no gubernamental.
Las amenazas suelen dirigirse a las grandes organizaciones, ya que disponen de más dinero y de más datos confidenciales, lo que representa un mayor beneficio potencial.
Sin embargo, en los últimos años, las pequeñas y medianas empresas (pymes) también se han convertido en objetivos frecuentes de los actores de amenazas debido a sus sistemas de seguridad relativamente más débiles. De hecho, el FBI expresó recientemente su preocupación por el aumento del número de ciberdelitos cometidos contra las pequeñas empresas, e informó de que solo en 2021, las pequeñas empresas perdieron 6.900 millones de dólares a causa de los ciberataques, lo que supone un incremento del 64 % con respecto al año anterior (enlace externo a ibm.com).
Del mismo modo, los actores de las amenazas se dirigen cada vez más a individuos y hogares por sumas más pequeñas. Por ejemplo, podrían irrumpir en redes y sistemas informáticos domésticos para robar información de identidad personal, contraseñas y otros datos potencialmente valiosos y sensibles. De hecho, las estimaciones actuales sugieren que uno de cada tres hogares estadounidenses con ordenadores está infectado con malware (enlace externo a ibm.com).
Los actores de amenazas no discriminan. Aunque tienden a ir a por los objetivos más interesantes o significativos, también aprovecharán cualquier punto débil de la ciberseguridad, esté donde esté, contribuyendo a que el panorama de las amenazas sea cada vez más costoso y complejo.
Los actores de las amenazas implementan una mezcla de tácticas cuando ejecutan un ciberataque, apoyándose más en unas que en otras, dependiendo de su motivación principal, sus recursos y el objetivo previsto.
El malware es software que daña o bloquea los ordenadores. El malware es un software malicioso que daña o inutiliza los ordenadores. El malware suele propagarse a través de adjuntos de correo electrónico, sitios web infectados o software comprometido y puede ayudar a los actores de amenazas a robar datos, tomar el control de sistemas informáticos y atacar a otros ordenadores. Los tipos de malware incluyen virus, gusanos y troyanos, que se descargan en los ordenadores disfrazados de programas legítimos.
El ransomware es un tipo de malware que bloquea los datos o el dispositivo de la víctima y amenaza con mantenerlos bloqueados (o algo peor) a menos que la víctima pague un rescate al atacante. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión que también amenazan con robar los datos de la víctima y venderlos o filtrarlos en Internet. Según el IBM Security X-Force Threat Intelligence 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022.
Los ataques de caza mayor (BGH) son campañas masivas y coordinadas de ransomware que se dirigen a grandes organizaciones, incluidos gobiernos, grandes empresas y proveedores de infraestructuras críticas que tienen mucho que perder con una interrupción del servicio y serán más propensos a pagar un rescate cuantioso.
Los ataques de phishing utilizan el correo electrónico, los mensajes de texto, los mensajes de voz o los sitios web falsos para engañar a los usuarios con el fin de que compartan datos confidenciales, descarguen programas maliciosos o se expongan a la ciberdelincuencia. Los tipos de phishing incluyen:
- Spear phishing, un ataque de phishing que se dirige a un individuo o grupo de individuos específicos con mensajes que parecen proceder de remitentes legítimos que tienen relación con el objetivo.
- Compromiso del correo electrónico empresarial, un ataque de phishing dirigido que envía a la víctima un correo electrónico fraudulento desde la cuenta de correo electrónico suplantada o secuestrada de un compañero de trabajo o colega.
- Whale phishing, un ataque de phishing dirigido específicamente a ejecutivos de alto nivel o directivos de empresas.
El phishing es una forma de ingeniería social, una clase de ataques y tácticas que explotan los sentimientos de miedo o urgencia para manipular a las personas para que cometan otros errores que comprometan sus activos o su seguridad personal u organizacional. La ingeniería social puede ser tan sencilla como dejar una unidad USB infectada con malware donde alguien la encuentre (porque "¡Ey, una unidad USB gratis!"), o tan compleja como pasarse meses cultivando una relación romántica a larga distancia con la víctima para estafarle el billete de avión y poder "encontrarse por fin".
Dado que la ingeniería social explota las debilidades humanas en lugar de las vulnerabilidades técnicas, a veces se denomina "piratería humana".
Este tipo de ciberataque consiste en inundar de tráfico una red o un servidor, de modo que los usuarios no puedan acceder a ellos. Un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) utiliza una red distribuida de ordenadores para enviar el tráfico malicioso, creando un ataque que puede abrumar al objetivo más rápidamente y es más difícil de detectar, prevenir o mitigar.
Las amenazas persistentes avanzadas (APT) son ciberataques sofisticados que abarcan meses o años en lugar de horas o días. Las APT permiten a los actores de amenazas operar sin ser detectados en la red de la víctima, infiltrándose en los sistemas informáticos, llevando a cabo espionaje y reconocimiento, escalando privilegios y permisos (lo que se denomina movimiento lateral) y robando datos confidenciales. Debido a que pueden ser increíblemente difíciles de detectar y relativamente caras de ejecutar, las APT suelen ser iniciadas por actores de estados-nación u otros actores de amenazas bien financiados.
Un ataque de puerta trasera explota una abertura en un sistema operativo, una aplicación o un sistema informático que no está protegido por las medidas de ciberseguridad de una organización. A veces, la puerta trasera es creada por el desarrollador del software o el fabricante del hardware para permitir actualizaciones, correcciones de errores o (irónicamente) parches de seguridad; otras veces, los actores de la amenaza crean puertas traseras propias utilizando malware o pirateando el sistema. Las puertas traseras permiten a los actores de amenazas entrar y salir de los sistemas informáticos sin ser detectados.
Los términos actor de amenazas, hacker y cibercriminal a menudo se utilizan indistintamente, especialmente en Hollywood y en la cultura popular. Pero existen sutiles diferencias entre estos términos y las relaciones que mantienen entre sí.
No todos los actores de amenazas o ciberdelincuentes son piratas informáticos. Por definición, un pirata informático es alguien con los conocimientos técnicos necesarios para comprometer una red o un sistema informático. Pero algunos actores de amenazas o ciberdelincuentes no hacen nada más técnico que dejar una unidad USB infectada para que alguien la encuentre y la utilice, o enviar un correo electrónico con un malware adjunto.
No todos los piratas informáticos son actores de amenazas o ciberdelincuentes. Por ejemplo, algunos piratas informáticos, llamados piratas informáticos éticos, se hacen pasar esencialmente por ciberdelincuentes para ayudar a las organizaciones y a las agencias gubernamentales a comprobar la vulnerabilidad de sus sistemas informáticos frente a las ciberamenazas.
Ciertos tipos de actores de amenazas no son ciberdelincuentes por definición o intención, pero lo son en la práctica. Por ejemplo, un buscador de emociones que "solo se divierte" cortando la red eléctrica de una ciudad durante unos minutos, o un hacktivista que exfiltra y publica información gubernamental confidencial en nombre de una causa noble, también pueden estar cometiendo un ciberdelito, tanto si lo pretenden como si creen que lo hacen.
A medida que la tecnología se vuelve más sofisticada, también lo hace el panorama de las ciberamenazas. Para ir por delante de los actores de amenazas, las organizaciones evolucionan continuamente sus medidas de ciberseguridad y se vuelven más hábiles con la inteligencia sobre amenazas. Algunas de las medidas que toman las organizaciones para mitigar el impacto de los actores de amenazas, si no para detenerlos por completo, incluyen:
Formación sobre concienciación en materia de seguridad. Dado que los actores de las amenazas suelen explotar el error humano, la formación de los empleados es una importante línea de defensa. La formación sobre concienciación en materia de seguridad puede abarcar cualquier aspecto, desde no utilizar dispositivos autorizados por la empresa hasta almacenar correctamente las contraseñas, pasando por las técnicas para reconocer correos electrónicos de phishing y hacerles frente.
Autenticación multifactor y adaptable. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o autenticación adaptativa (requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los hackers obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si pueden robar el usuario.
- Soluciones de seguridad para endpoints. Éstas abarcan desde el software antivirus, que detecta y detiene el malware y los virus conocidos, hasta herramientas como las soluciones de detección y respuesta para endpoints (EDR), que utilizan inteligencia artificial (IA) y análisis para ayudar a los equipos de seguridad a detectar amenazas que superan el software tradicional de seguridad para endpoints y responder a ellas.
- Tecnologías de seguridad de redes. La tecnología de seguridad de red fundamental es el firewall, que impide que el tráfico sospechoso entre o salga de una red a la vez que permite el paso del tráfico legítimo. Otras tecnologías son los sistemas de prevención de intrusiones (IPS), que vigilan la red en busca de amenazas potenciales e intervienen para detenerlas, y la detección y respuesta de red (NDR), que utiliza IA, machine learning y análisis del comportamiento para ayudar a los profesionales de la seguridad a detectar y automatizar las respuestas a las ciberamenazas.
Software de seguridad empresarial. Estas soluciones pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) a detectar e interceptar actividades anómalas o maliciosas en todos los dominios de la infraestructura de TI: endpoints, correo electrónico, aplicaciones, la red y cargas de trabajo en la nube. Incluyen (pero no se limitan a) la orquestación, automatización y respuesta de seguridad (SOAR), la gestión de incidentes y eventos de seguridad (SIEM) y la detección y respuesta ampliadas (XDR).
Las organizaciones también pueden realizar evaluaciones de seguridad periódicas para identificar las vulnerabilidades del sistema. El personal informático interno suele ser capaz de realizar estas auditorías, pero algunas empresas las subcontratan a expertos o proveedores de servicios externos. La actualización periódica del software también ayuda a las empresas y a los particulares a detectar y corregir posibles vulnerabilidades en sus sistemas informáticos.
Detecte amenazas avanzadas que otros pasan por alto. QRadar SIEM utiliza el análisis y la IA para monitorizar la información sobre amenazas y las anomalías en la red y en el comportamiento de los usuarios, así como para priorizar dónde es necesaria una atención y correción inmediatas.
La búsqueda proactiva de amenazas, la monitorización continua y la investigación en profundidad de las mismas son solo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado. Contar con un equipo de respuesta a incidentes de confianza en estado de alerta puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza conocimientos de 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing y datos de reputación de casi 1 millón de direcciones IP maliciosas de una red de 270 millones de endpoints.
Los ciberataques son intentos de robar, exponer, alterar, inutilizar o destruir activos ajenos mediante el acceso no autorizado a sistemas informáticos.
En su 17ª edición, este informe comparte los últimos conocimientos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate.