En el sentido más sencillo, una amenaza de ciberseguridad es una indicación de que un hacker o actor malicioso está intentando obtener acceso no autorizado a una red para lanzar un ataque cibernético.

Los tipos de amenazas cibernéticas van desde las obvias, como un correo electrónico de un rico extranjero que ofrece una pequeña fortuna si se proporciona el número de cuenta bancaria, hasta las engañosamente sigilosas, como una línea de código malicioso que se filtra a través de las defensas cibernéticas y permanece en la red durante meses o años antes de desencadenar una costosa filtración de datos. Cuanto más sepan los equipos de seguridad y los empleados sobre los diferentes tipos de amenazas de ciberseguridad, podrán prevenir los ciberataques, así como prepararse para ellos y responder con mayor eficacia.

El malware, la abreviatura de "software malicioso", es un código de software creado intencionalmente para dañar un sistema informático o a sus usuarios.

Casi todos los ciberataques modernos implican algún tipo de malware. Los actores de amenazas lanzan ataques de malware para obtener acceso no autorizado y hacer que los sistemas infectados no funcionen, con el fin de destruir datos, robar información confidencial e incluso borrar archivos críticos para el sistema operativo.

Los tipos comunes de malware incluyen:

• El ransomware bloquea los datos o dispositivos de una víctima y amenaza con mantenerlos bloqueados o filtrarlos públicamente, salvo que la víctima pague un rescate al atacante. Según el IBM® Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022.
• Un caballo de Troya es un código malicioso que engaña a las personas para que lo descarguen aparentando ser un programa útil o estar oculto dentro de un software legítimo. Algunos ejemplos son los troyanos de acceso remoto (RAT), que crean una puerta trasera secreta en el dispositivo de la víctima, o los troyanos tipo dropper, que instalan malware adicional una vez que se afianzan en el sistema o red de destino.
• El spyware es un malware muy secreto que recopila información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales, y la transmite al atacante sin que la víctima lo sepa.
• Los gusanos son programas autorreplicantes que se propagan automáticamente a aplicaciones y dispositivos sin interacción humana.

A menudo denominada “hackeo humano”, la ingeniería social manipula a los objetivos para que tomen medidas que expongan información confidencial, amenacen su propio bienestar financiero o el de su organización, o pongan en riesgo la seguridad personal o de la organización.

El phishing es la forma más conocida y generalizada de ingeniería social. El phishing utiliza correos electrónicos, archivos adjuntos en correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentos para engañar a las personas para que compartan datos personales o credenciales de inicio de sesión, descarguen malware, envíen dinero a los delincuentes cibernéticos o realicen otras acciones que puedan exponerlos a delitos cibernéticos.

Los tipos comunes de phishing incluyen:

• Phishing focalizado: son ataques de phishing altamente dirigidos que manipulan a una persona específica, a menudo con detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la maniobra sea más convincente.
• Whale phishing: phishing de lanzas dirigido a ejecutivos corporativos o personas adjudicadas.
• Compromiso del correo electrónico empresarial (BEC): estafas en las que los delincuentes cibernéticos se hacen pasar por ejecutivos, proveedores o socios comerciales de confianza para engañar a las víctimas para que transfieran dinero o compartan datos confidenciales.

Otra estafa común de ingeniería social es la suplantación de nombres de dominio (también denominada suplantación de DNS), en la que los delincuentes cibernéticos usan un sitio web falso o un nombre de dominio que se hace pasar por uno real; por ejemplo, "applesupport.com" para support.apple.com, a fin de engañar a las personas y que ingresen información confidencial. Los correos electrónicos de phishing a menudo emplean nombres de dominio de remitente falsificados para que el correo electrónico parezca más creíble y legítimo.

En un ataque de intermediario (MITM), un delincuente cibernético escucha a escondidas una conexión de red para interceptar y transmitir mensajes entre dos partes y robar datos. Las redes wifi no seguras suelen ser un buen terreno de caza para los hackers que buscan lanzar ataques MITM.

Un ataque de denegación del servicio (DoS) es un ciberataque que satura un sitio web, una aplicación o un sistema con volúmenes de tráfico fraudulento, haciendo que su uso sea demasiado lento o que no esté disponible en absoluto para los usuarios legítimos. Un ataque de denegación distribuida del servicio, o ataque DDoS, es similar, salvo que emplea una red de dispositivos o bots infectados con malware y conectados a Internet, lo que se conoce como botnet, para paralizar o colapsar el sistema objetivo. 

Una explotación de día cero es un tipo de ataque cibernético que aprovecha una vulnerabilidad de día cero: una falla de seguridad desconocida, aún no resuelta o sin parches en el software, hardware o firmware de la computadora. La expresión "día cero" hace referencia al hecho de que un proveedor de software o dispositivo tiene "cero días" para corregir las vulnerabilidades, dado que los actores maliciosos ya pueden usarlo para obtener acceso a sistemas vulnerables.

Una de las vulnerabilidades de día cero más conocidas es Log4Shell, una falla en la biblioteca de registro Apache Log4j ampliamente utilizada. Al momento de su descubrimiento en noviembre de 2021, la vulnerabilidad Log4Shell existía en el 10 por ciento de los activos digitales de todo el mundo, incluidas muchas aplicaciones web, servicios en la nube y endpoints físicos, como servidores.

Como su nombre indica, estos ataques involucran a delincuentes cibernéticos que intentan adivinar o robar la contraseña o las credenciales de inicio de sesión de la cuenta de un usuario. Muchos ataques por medio de contraseñas emplean la ingeniería social para engañar a las víctimas para que compartan estos datos confidenciales sin saberlo. Sin embargo, los hackers también pueden usar ataques de fuerza bruta para robar contraseñas al probar repetidamente diferentes combinaciones de contraseñas hasta que una sea la correcta.

En un ataque de Internet de las cosas (IoT), los delincuentes cibernéticos explotan vulnerabilidades en dispositivos IoT, como dispositivos de domótica y sistemas de control industrial, para controlar el dispositivo, robar datos o usar el dispositivo como parte de una red de robots (botnet) para otros fines maliciosos.

En estos ataques, los hackers inyectan código malicioso en un programa o descargan malware para ejecutar comandos remotos, lo que les permite leer o modificar una base de datos o cambiar los datos de un sitio web.

Hay varios tipos de ataques de inyección. Los dos más comunes son los siguientes:

• Ataques de inyección SQL: cuando los hackers explotan la sintaxis SQL para falsificar la identidad; exponer, manipular, destruir o hacer que los datos existentes no estén disponibles; o convertirse en el administrador del servidor de la base de datos.
• Cross-site scripting (XSS): este tipo de ataques es similar a los ataques de inyección SQL, excepto que, en lugar de extraer datos de una base de datos, suelen infectar a los usuarios que visitan un sitio web.

Estas personas o grupos cometen un delito cibernético, principalmente para obtener ganancias financieras. Los delitos comunes cometidos por un delincuente cibernético incluyen ataques de ransomware y estafas de phishing que engañan a las personas para que hagan transferencias de dinero o divulguen información de tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o confidencial. 

Estas personas o grupos cometen un delito cibernético, principalmente para obtener ganancias financieras. Los delitos comunes cometidos por un delincuente cibernético incluyen ataques de ransomware y estafas de phishing que engañan a las personas para que hagan transferencias de dinero o divulguen información de tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o confidencial. 

Un hacker es una persona que cuenta con las habilidades técnicas para poner en riesgo una red o sistema informático.

Tenga en cuenta que no todos los hackers son actores de amenazas o delincuentes cibernéticos. Por ejemplo, hay algunos hackers denominados hackers éticos, que se hacen pasar por delincuentes cibernéticos para ayudar a organizaciones y organismos públicos a comprobar la vulnerabilidad de sus sistemas informáticos frente a los ciberataques.

Los estados nación y los gobiernos financian frecuentemente a los actores de amenazas con el objetivo de robar datos confidenciales, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades malignas suelen incluir espionaje o guerra cibernética y tienden a ser altamente financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar. 

A diferencia de la mayoría de los delincuentes cibernéticos, las amenazas de usuarios internos no siempre provienen de actores maliciosos. Muchos usuarios internos perjudican a sus empresas por errores humanos; por ejemplo, mediante la instalación de malware o la pérdida de un dispositivo proporcionado por la empresa que un delincuente cibernético encuentra y utiliza para acceder a la red.

Dicho esto, los usuarios internos maliciosos existen. Por ejemplo, un empleado descontento puede abusar de los privilegios de acceso para obtener ganancias monetarias (por ejemplo, el pago de un delincuente cibernético o un estado nación), o simplemente por resentimiento o venganza.

Las contraseñas seguras (enlace externo a ibm.com), las herramientas de seguridad del correo electrónico y el software antivirus son las primeras líneas de defensa contra las ciberamenazas.

Las organizaciones también utilizan cortafuegos, VPN, autenticación multifactor, capacitación en seguridad y otras soluciones avanzadas de seguridad endpoint y seguridad de red para protegerse contra ataques cibernéticos.

Sin embargo, ningún sistema de seguridad está completo si no cuenta con capacidades de detección de amenazas y respuesta a incidentes de última generación para identificar las amenazas a la ciberseguridad en tiempo real, así como ayudar a aislar y resolver rápidamente las amenazas para reducir o prevenir el daño que puedan causar.

IBM® Security QRadar SIEM aplica el aprendizaje automático y analytics del comportamiento del usuario (UBA) al tráfico de red junto con los registros tradicionales para una detección de amenazas más inteligente y una corrección más rápida. En un estudio reciente de Forrester, QRadar SIEM ayudó a los analistas de seguridad a ahorrar más de 14 000 horas en tres años mediante la identificación de falsos positivos, la reducción del tiempo dedicado a investigar incidentes en un 90 % y el menor el riesgo de sufrir una violación grave de seguridad en un 60 %.* Con QRadar SIEM, los equipos de seguridad con recursos limitados tienen la visibilidad y los analytics que necesitan para detectar amenazas rápidamente y tomar medidas inmediatas y fundamentadas para minimizar los efectos de un ataque.

*The Total Economic Impact of IBM Security QRadar SIEM es un estudio encargado por Forrester Consulting en nombre de IBM, abril de 2023. Según los resultados proyectados de una organización compuesta modelada a partir de 4 clientes de IBM entrevistados. Los resultados reales variarán en función de las configuraciones y condiciones del cliente y, por lo tanto, no se pueden proporcionar resultados generalmente previstos.