¿Qué es un ciberataque?

Las motivaciones detrás de los ciberataques pueden variar, pero hay tres categorías principales: 

1. Delincuente
2. Político 
3. Personal

Los atacantes con motivaciones delictivas buscan beneficios económicos a través del robo de dinero, el robo de datos o la interrupción de actividades comerciales. Los delincuente cibernéticos pueden hackear una cuenta bancaria para robar dinero directamente o usar estafas de ingeniería social para engañar a las personas para que les envíen dinero. Los hackers pueden robar datos y utilizarlos para cometer robo de identidad o venderlos en la dark web o mantenerlos para pedir rescates.

La extorsión es otra táctica que se emplea. Los hackers pueden usar ransomware, ataques de denegación distribuida del servicio (DDoS) u otras tácticas para secuestrar datos o dispositivos hasta que una empresa pague un rescate. Sin embargo, según el Índice X-Force Threat Intelligence más reciente, el 32 por ciento de los incidentes cibernéticos implicó el robo y la venta de datos en lugar del cifrado para la extorsión.

Los atacantes con motivos personales , como empleados actuales o exempleados descontentos, buscan principalmente una retribución por algún menosprecio percibido. Pueden tomar dinero, robar datos confidenciales o alterar los sistemas de una empresa.

Los atacantes con motivaciones políticas suelen asociarse con la guerra cibernética, el terrorismo cibernético o el “hacktivismo”. En la guerra cibernética, los actores de los estados naciones suelen atacar a las agencias gubernamentales o a la infraestructura crítica de sus enemigos. Por ejemplo, desde el inicio de la guerra entre Rusia y Ucrania, ambos países han experimentado una serie de ataques cibernéticos contra instituciones vitales. Es posible que los hackers (piratas informáticos) activistas, llamados “hacktivistas”, no causen grandes daños a sus objetivos. En cambio, normalmente buscan atención para sus causas dando a conocer sus ataques al público.

Entre las motivaciones menos comunes de los ataques cibernéticos podemos mencionar el espionaje corporativo, en el que los hackers roban propiedad intelectual para obtener una ventaja desleal sobre sus competidores, y los hackers vigilantes que explotan las vulnerabilidades de un sistema para advertir a otros sobre ellas. Algunos hackers piratean por puro gusto, saboreando el desafío intelectual.

El crimen organizado, actores estatales y personas particulares pueden lanzar ataques cibernéticos. Los actores de amenazas se pueden clasificar en: amenazas externas y amenazas internas.

Las amenazas externas no tienen autorización para utilizar una red o dispositivo, pero lo hacen de todos modos. Los actores de amenazas cibernéticas externas incluyen grupos delictivos organizados, hackers profesionales, actores patrocinados por el estado, hackers aficionados y hacktivistas.

Las amenazas internas son usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y hacen un uso indebido de sus privilegios deliberada o accidentalmente. Esta categoría incluye empleados, asociados de negocios, clientes, contratistas y proveedores con acceso al sistema.

Si bien los usuarios descuidados pueden poner en riesgo a sus empresas, solo se considera ataque cibernético si un usuario utiliza intencionalmente sus privilegios para llevar a cabo actividades maliciosas. Un empleado que almacena despreocupadamente información confidencial en un disco no seguro no está cometiendo un ataque cibernético, pero sí lo está un empleado descontento que, a sabiendas, hace copias de datos confidenciales para beneficio personal. 

Los actores de amenazas suelen irrumpir en las redes informáticas porque buscan algo específico. Los objetivos comunes incluyen:

• Dinero
• Datos financieros de empresas
• Listas de clientes
• Datos de clientes, entre ellos información de identificación personal (PII) u otros datos personales confidenciales
• Direcciones de correo electrónico y credenciales de inicio de sesión
• Propiedad intelectual, como secretos comerciales o diseños de productos

En algunos casos, los atacantes cibernéticos no tienen intención de robar nada. Más bien, simplemente desean alterar los sistemas de información o la infraestructura de TI para perjudicar a una empresa, una agencia gubernamental u otro objetivo. 

Los delincuentes cibernéticos cibernéticos cibernéticos utilizan muchas herramientas y técnicas sofisticadas para lanzar ataques contra sistemas de TI empresariales, equipos personales y otros objetivos. Algunos de los tipos de ataques cibernéticos más comunes incluyen:

El malware es un software malicioso que puede volver inutilizables a los sistemas infectados. El malware puede destruir datos, robar información o incluso borrar archivos indispensables para el funcionamiento del sistema operativo. El malware se presenta en muchas formas, entre ellas:

• Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un troyano dropper instala malware adicional una vez que se ha afianzado.
  
  
• El ransomware es un malware sofisticado que utiliza un cifrado sólido para secuestrar datos o sistemas. Los delincuentes cibernéticos exigen el pago a cambio de liberar el sistema y restaurar la funcionalidad. Según el índice X-Force Threat Intelligence Ide IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.
  
  
• El scareware utiliza mensajes falsos para asustar a las víctimas para que descarguen malware o transmitan información confidencial a un estafador.
  
  
• El spyware es un tipo de malware que recopila secretamente información confidencial, como nombres de usuario, contraseñas y números de tarjetas de crédito. Luego envía esta información al hacker.
  
  
• Los rootkits son paquetes de malware que permiten que los hackers obtengan acceso de nivel de administrador al sistema operativo de una computadora u otros activos.
  
  
• Los gusanos son código malicioso que se replica por sí solo para propagarse automáticamente entre aplicaciones y dispositivos. 

Los ataques de ingeniería social manipulan a las personas para que hagan cosas que no deberían hacer, como compartir información que no deberían compartir, descargar software que no deberían descargar o enviar dinero a delincuentes.

El phishing es uno de los ataques de ingeniería social más generalizados. Según el informe Costo de una filtración de datos, es la segunda causa más común de filtraciones. Las estafas de phishing más básicas utilizan correos electrónicos o mensajes de texto falsos para robar las credenciales de los usuarios, extraer datos confidenciales de manera subrepticia o difundir malware.

Los mensajes de phishing a menudo están diseñados para parecer que provienen de una fuente legítima. Suelen dirigir a la víctima para que haga clic en un hipervínculo que la lleva a un sitio web malicioso o abra un archivo adjunto de correo electrónico que resulta ser malware.

Los delincuentes cibernéticos también han desarrollado métodos más sofisticados de phishing. El phishing focalizado es un ataque altamente dirigido que tiene como objetivo manipular a un individuo específico, a menudo usando detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la artimaña sea más convincente. Whale phishing es un tipo de phishing focalizado que se dirige específicamente a funcionarios corporativos de alto nivel. En una estafa de vulneración del correo electrónico empresarial (BEC), los delincuentes cibernéticos se hacen pasar por ejecutivos, proveedores u otros asociados comerciales para engañar a las víctimas para que transfieran dinero o compartan datos confidenciales. 

Los ataques de denegación del servicio (DoS) y de denegación distribuida del servicio (DDoS) inundan los recursos de un sistema con tráfico fraudulento. Este tráfico sobrecarga el sistema, evitando respuestas a solicitudes legítimas y reduciendo la capacidad del sistema para funcionar. Un ataque de denegación del servicio puede ser un fin en sí mismo o una trampa para otro ataque.

La diferencia entre los ataques de DoS y los de DDoS es simplemente que los ataques DoS utilizan una sola fuente para generar tráfico fraudulento, mientras que los ataques de DDoS utilizan múltiples fuentes. Estos últimos suelen llevarse a cabo con una botnet, una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las botnets pueden incluir computadoras portátiles, teléfonos inteligentes e Internet de las cosas (IoT). Las víctimas a menudo no saben cuándo una botnet ha secuestrado sus dispositivos.

Una cuenta comprometida es el resultado de ataques en los que los hackers se apropian de la cuenta de un usuario legítimo para realizar actividades maliciosas. Los delincuentes cibernéticos pueden meterse a la cuenta de un usuario de muchas maneras.

Pueden robar credenciales a través de ataques de phishing o comprar bases de datos de contraseñas robadas de la Internet oscura. Pueden usar herramientas de ataque de contraseñas como Hashcat y John the Ripper para descifrar contraseñas codificadas u organizar ataques de fuerza bruta, en los que ejecutan scripts automatizados o bots para generar y probar posibles contraseñas hasta que una funcione.

En un ataque de intermediario (MiTM), también llamado ”ataque de escucha subrepticia”, un hacker intercepta secretamente las comunicaciones entre dos personas o entre un usuario y un servidor. Los ataques de MitM suelen llevarse a cabo a través de redes wifi públicas no seguras, donde es relativamente fácil para los actores de amenazas espiar el tráfico.

Los hackers pueden leer los correos electrónicos de un usuario o incluso alterarlos en secreto antes de que lleguen al destinatario. En un ataque de secuestro de sesiones, el hacker interrumpe la conexión entre un usuario y un servidor que aloja activos importantes, como una base de datos confidencial de la empresa. El hacker intercambia su dirección IP con la del usuario, haciendo que el servidor piense que es un usuario legítimo conectado a una sesión legítima. Esto le da rienda suelta al hacker para robar datos o de otra manera causar estragos. 

Los ataques a la cadena de suministro son ataques cibernéticos en los que los hackers violan una empresa dirigiendo sus ataque a sus proveedores de software, proveedores de materiales y otros proveedores de servicios. Dado que los proveedores a menudo están conectados a las redes de sus clientes de alguna manera, los hackers pueden usar la red de los proveedores como vector de ataque para acceder a múltiples objetivos a la vez.

Por ejemplo, en 2020, los actores estatales rusos hackearon al proveedor de software SolarWinds y distribuyeron malware a sus clientes bajo la apariencia de una actualización de software. El malware permitió que los espías rusos accedieran a los datos confidenciales de varias agencias gubernamentales de Estados Unidos que utilizan los servicios de SolarWinds, incluidos los Departamentos del Tesoro, Justicia y Estado. 

Las organizaciones pueden reducir los ataques cibernéticos mediante la implementación de sistemas y estrategias de ciberseguridad. La ciberseguridad es la práctica de proteger los sistemas críticos y la información confidencial confidencial confidencial contra los ataques digitales utilizando una combinación de tecnología, personas y procesos. 

Muchas organizaciones implementan una estrategia de administración de amenazas para identificar y proteger sus recursos y activos más importantes. La gestión de amenazas puede incluir políticas y soluciones de seguridad, tales como:

• Las plataformas y políticas de gestión de identidad y acceso (IAM), incluidas las políticas de acceso con privilegios mínimos, autenticación multifactor y contraseñas seguras, pueden ayudar a garantizar que solo las personas adecuadas tengan acceso a los recursos correctos. Las empresas también pueden exigir a los empleados remotos que utilicen redes privadas virtuales (VPN) cuando accedan a recursos sensibles a través de wifi no segura.
   
• Una plataforma integral de seguridad de datos y herramientas de prevención de pérdida de datos (DLP) pueden cifrar datos confidenciales, monitorear el acceso a estos y su uso, y generar alertas cuando se detecta actividad sospechosa. Las organizaciones también pueden hacer copias de seguridad de datos periódicamente para minimizar los daños si hay una filtración.
  
  
• Los cortafuegos pueden ayudar a impedir que actores de amenazas ingresen a la red en primer lugar. Asimismo, pueden bloquear el tráfico malicioso que sale de la red, como el malware que intenta comunicarse con un servidor de comando y control.
   
• La capacitación en materia de seguridad puede ayudar a que los usuarios identifiquen y eviten algunos de los vectores de ataques cibernéticos más comunes, como el phishing y otros ataques de ingeniería social.
  
  
• Las políticas de gestión de vulnerabilidades, incluidas las programaciones de gestión de parches y las pruebas de penetración regulares, pueden ayudar a detectar y cerrar vulnerabilidades antes de que los hackers puedan aprovecharlas.
  
  
• Las herramientas de gestión de la superficie de ataque (ASM) pueden identificar, catalogar y corregir los activos potencialmente vulnerables antes de que los ciberatacantes los encuentren.
  
  
• Las herramientas de gestión de endpoints (UEM, por sus siglas en inglés) pueden aplicar políticas y controles de seguridad en todos los endpoints de la red corporativa, entre ellos, computadoras portátiles, equipos de escritorio y dispositivos móviles.

Es imposible prevenir por completo los intentos de ataques cibernéticos, por lo que las organizaciones también pueden utilizar procesos continuos de monitoreo de seguridad y detección temprana para identificar y marcar los ataques en curso. Algunos ejemplos:

• Los sistemas de gestión de eventos e información de seguridad (SIEM) centralizan y rastrean alertas de diversas herramientas internas de ciberseguridad, incluidos sistemas de detección de intrusiones (IDS), sistemas de detección y respuesta de endpoints (EDR) y otras soluciones de seguridad.
  
  
• Las plataformas de inteligencia de amenazas enriquecen las alertas de seguridad para ayudar a los equipos de seguridad a comprender los tipos de amenazas de ciberseguridad a las que se enfrentan.
  
  
• El software antivirus puede analizar periódicamente los sistemas informáticos para detectar programas maliciosos y erradicar automáticamente el malware identificado.
  
  
• Los procesos proactivos de caza de amenazas pueden rastrear las amenazas cibernéticas que acechan secretamente en la red, como las amenazas persistentes avanzadas (APT, por sus siglas en inglés).

Las organizaciones también pueden tomar medidas para garantizar una respuesta adecuada a los ataques en curso y otros eventos de ciberseguridad. Algunos ejemplos:

• Los planes de respuesta a incidentes pueden ayudar a contener y erradicar diversos tipos de ciberataques, restaurar los sistemas afectados y analizar las causas principales para prevenir futuros ataques. Se ha demostrado que los planes de respuesta a incidentes reducen los costes globales de los ciberataques. Según el informe Costo de una filtración de datos, las organizaciones con equipos y planes formales de respuesta a incidentes tienen una media de un 58 % menos de costes de vulneración de datos.
  
  
• Las soluciones de orquestación, automatización y respuesta de seguridad (SOAR) pueden permitir a los equipos de seguridad coordinar herramientas de seguridad dispares en guías de estrategias semiautomatizadas o totalmente automatizadas para responder a ciberataques en tiempo real.
  
  
• Las soluciones de detección y respuesta extendidas (XDR, por sus siglas en inglés) integran herramientas y operaciones de seguridad en todas las capas de seguridad: usuarios, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Asimismo, ayudan a automatizar procesos complejos de prevención, detección, investigación y respuesta a ataques cibernéticos, como la caza de amenazas proactiva.