¿Qué es la seguridad de TI?

El ámbito de la seguridad informática es amplio y a menudo implica una mezcla de tecnologías y soluciones de seguridad. Trabajan conjuntamente para hacer frente a las vulnerabilidades de los dispositivos digitales, las redes informáticas, los servidores, las bases de datos y las aplicaciones informáticas.

Los ejemplos más citados de seguridad informática incluyen disciplinas de seguridad digital, como seguridad endpoint, seguridad en la nube, seguridad de red y seguridad de aplicaciones. Pero la seguridad de TI también incluye medidas de seguridad física (por ejemplo, cerraduras, tarjetas de identificación, cámaras de vigilancia) necesarias para proteger edificios y dispositivos que albergan datos y activos de TI.

La seguridad informática a menudo se confunde con la seguridad cibernética, una disciplina más estrecha que es técnicamente un subconjunto de seguridad informática. La ciberseguridad se centra principalmente en proteger a las organizaciones de ataques digitales, como ransomware, malware y estafas de phishing. Mientras que la seguridad de TI brinda servicios a toda la infraestructura técnica de una organización, incluidos sistemas de hardware, aplicaciones de software y endpoints, como computadoras portátiles y dispositivos móviles. La seguridad de TI también protege la red de la empresa y sus diversos componentes, como data centers físicos y basados en la nube.

Los ataques cibernéticos y los incidentes de seguridad pueden cobrarse un precio enorme medido en pérdidas de negocio, reputación dañada, multas reglamentarias y, en algunos casos, extorsión y robo de activos.

Según el informe Costo de una filtración de datos 2025 de IBM, el costo promedio de una filtración de datos es de 4.44 millones de dólares. Los factores que contribuyen al costo incluyen de todo, desde notificar a clientes, ejecutivos y entes reguladores hasta multas normativas, ingresos perdidos durante el tiempo de inactividad y clientes perdidos permanentemente.

Algunos incidentes de seguridad son más costosos que otros. Los ataques de ransomware cifran los datos de una organización, inutilizan los sistemas y exigen un costoso pago de rescate por una clave de descifrado para desbloquear los datos. Cada vez más, los delincuentes cibernéticos exigen un segundo rescate para evitar compartir datos confidenciales con el público u otros delincuentes cibernéticos. Según la Guía definitiva del ransomware de IBM, las demandas de rescate han aumentado a cantidades de 7 y 8 cifras y, en casos extremos, han llegado a los 80 millones de dólares.

Como era de esperar, las inversiones en seguridad informática siguen aumentando. El analista de la industria Gartner proyecta que el mercado se disparará en los próximos años, superando los 260 mil millones de dólares para 2026.

Cada organización es susceptible a las amenazas cibernéticas desde dentro y fuera de sus organizaciones. Estas amenazas pueden ser intencionales, como con delincuentes cibernéticos o no intencionales, como con empleados o contratistas que hacen clic accidentalmente en vínculos maliciosos o descargan malware.

La seguridad informática tiene como objetivo abordar esta amplia gama de riesgos de seguridad y cuenta todos los tipos de actores de amenazas y sus diferentes motivaciones, tácticas y niveles de habilidades.

El malware es un software malicioso que puede dejar inoperables los sistemas infectados, destruyendo datos, robando información e incluso borrando archivos críticos para el sistema operativo.

Los tipos de malware más conocidos incluyen:

• El ransomware es un malware que bloquea los datos o dispositivos de una víctima y amenaza con mantenerlos bloqueados, a menos que la víctima pague un rescate al atacante. Según el IBM X-Force® Threat Intelligence Index, los ataques de ransomware son la forma de malware más comúnmente desplegada.
   

• Un caballo de Troya es un malware que engaña a las personas para que lo descarguen disfrazándose de programas útiles u ocultándose dentro de software legítimo. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un dropper troyano instala malware adicional una vez que se ha afianzado.
   

• El spyware recopila en secreto información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales, y la transmite de vuelta al hacker.
   

• Un gusano es un malware autoreplicante que puede propagarse automáticamente entre aplicaciones y dispositivos.

Con frecuencia denominada “hackeo humano”, la ingeniería social manipula a las víctimas para que tomen medidas que expongan información confidencial, comprometan la seguridad de su organización o amenacen el bienestar financiero de su organización.

Elphishing es el tipo de ataque de ingeniería social más conocido y generalizado. Los ataques de phishing emplean correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentas para engañar a las personas. Estos ataques tienen como objetivo que las personas compartan datos personales o accedan a credenciales, descarguen malware, envíen dinero a los delincuentes cibernéticos o realicen otras acciones que puedan exponerlos a delitos cibernéticos. Los tipos especiales de phishing incluyen:

• Phishing focalizado: ataques de phishing altamente dirigidos que manipulan a un individuo específico, a menudo usando detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la maniobra sea más convincente.
   

• Whale phishing:phishing focalizado dirigido a ejecutivos corporativos o personas adineradas.
   

• Business email compromise (BEC):estafas en las que los delincuentes cibernéticos se hacen pasar por ejecutivos, proveedores o socios comerciales de confianza para engañar a las víctimas para que transfieran dinero o compartan datos confidenciales.

Otra táctica de ingeniería social, el tailgaiting, es menos técnica, pero no menos peligrosa para la seguridad informática: implica seguir (o rastrear) a un individuo con acceso físico a un centro de datos (por ejemplo, alguien con una tarjeta de identificación) y literalmente colarse detrás de este antes de que se cierre la puerta.

Un ataque DoS satura un sitio web, aplicación o sistema con volúmenes de tráfico fraudulento, haciéndolo demasiado lento para su uso o totalmente inaccesible para los usuarios legítimos. Un ataque de denegación distribuida del servicio (DDoS) utiliza una red de dispositivos conectados a Internet e infectados con malware, denominado botnet, para paralizar o bloquear la aplicación o el sistema objetivo.

Una exploración de día cero se beneficia de una falla de seguridad desconocida o aún no resuelta en software, hardware o firmware de computadora. La expresión “día cero” hace referencia al hecho de que el proveedor de software o dispositivo no tiene días ni tiempo para arreglar la falla, ya que los actores maliciosos ya pueden usarlo para obtener acceso a sistemas vulnerables.

Las amenazas internas se originan de empleados, socios y otros usuarios con acceso autorizado a la red. Ya sean involuntarias (por ejemplo, un proveedor externo engañado para lanzar malware) o maliciosas (por ejemplo, un empleado descontento empeñado en vengarse), las amenazas internas tienen poder. 

Según el Informe del costo de una filtración de datos, las filtraciones causadas por usuarios internos maliciosos son las más costosas, con un costo promedio de 4.92 millones de dólares.

En un ataque MITM, un delincuente cibernético escucha a escondidas una conexión de red e intercepta y retransmite mensajes entre dos partes para robar datos. Las redes wifi no seguras son un coto de caza ideal para los hackers que lanzan ataques MITM.

A medida que las amenazas de seguridad cibernética continúan aumentando en ferocidad y complejidad, las organizaciones están desplegando estrategias de seguridad informática que combinan una variedad de sistemas, programas y tecnologías de seguridad.

Supervisadas por equipos de seguridad experimentados, estas prácticas y tecnologías de seguridad informática pueden ayudar a proteger toda la infraestructura de TI de una organización y evitar o mitigar el impacto de las amenazas cibernéticas conocidas y desconocidas.

Debido a que muchos ataques cibernéticos, como los ataques de phishing, explotan las vulnerabilidades humanas, la capacitación de los empleados se ha convertido en una importante línea de defensa contra las amenazas internas.

La formación de concienciación sobre seguridad enseña a los empleados a reconocer las amenazas a la seguridad y a utilizar hábitos seguros en el lugar de trabajo. Los temas que se cubren a menudo incluyen el reconocimiento de phishing, la seguridad de contraseñas, la importancia de ejecutar actualizaciones de software periódicas y problemas de privacidad, como la protección de los datos de los clientes y otra información confidencial.

La autenticación multifactor requiere una o más credenciales además de un nombre de usuario y una contraseña. La implantación de la autenticación multifactor puede impedir que un pirata informático acceda a las aplicaciones o los datos de la red. Esta autenticación funciona incluso si el hacker puede robar u obtener el nombre de usuario y la contraseña de un usuario legítimo.

La autenticación multifactor es crítica para las organizaciones que emplean sistemas de inicio de sesión único (SSO). Estos sistemas permiten a los usuarios iniciar una sesión una sola vez y acceder a múltiples aplicaciones y servicios relacionados durante esa sesión sin tener que volver a registrarse.

Una respuesta ante incidentes, a veces llamada respuesta ante incidentes de seguridad cibernética, se refiere a los procesos y tecnologías de una organización para detectar y responder a amenazas cibernéticas, violaciones de seguridad y ciberataques. El objetivo de la respuesta a incidentes es prevenir los ataques cibernéticos antes de que ocurran y minimizar el costo y la interrupción del negocio resultante de cualquier ataque cibernético que ocurra.

Muchas organizaciones crean un plan formal de respuesta a incidentes (IRP) que define los procesos y el software de seguridad que emplean para identificar, contener y resolver diferentes tipos de ataques cibernéticos. Según el Informe del costo de una filtración de datos, en las organizaciones que crean y prueban regularmente un IRP formal, el costo de una filtración de datos fue USD 232,008 menos que el promedio de USD 4.45 millones.

Ninguna herramienta de seguridad puede evitar los ataques cibernéticos por sí sola. Aún así, varias herramientas pueden desempeñar un papel en la mitigación de los riesgos cibernéticos, la prevención de ciberataques y la minimización del daño cuando ocurre un ataque.

El software de seguridad común para ayudar a detectar y desviar los ataques cibernéticos incluye:

• Herramientas de seguridad del correo electrónico, como software antiphishing, filtros antispam y pasarelas de correo electrónico seguras basadas en IA.

• Software antivirus para neutralizar spyware o malware que los atacantes podrían utilizar para atacar la seguridad de la red con el fin de realizar investigaciones, espiar conversaciones o hacerse con el control de cuentas de correo electrónico

• Los parches del sistema y del software pueden cerrar vulnerabilidades técnicas comúnmente explotadas por los phishers.

• Puertas de enlace web seguras y otras herramientas de filtrado web para bloquear sitios web maliciosos a menudo vinculados a correos electrónicos de phishing.

• Las soluciones de detección y respuesta a amenazas utilizan analytics, inteligencia artificial (IA) y automatización para ayudar a los equipos de seguridad a detectar amenazas conocidas y actividades sospechosas. Permiten a los equipos de seguridad tomar medidas para eliminar la amenaza o minimizar su impacto. Estas tecnologías incluyen orquestación, automatización y respuesta de seguridad (SOAR),  gestión de incidentes y eventos de seguridad (SIEM),  detección y respuesta de endpoints(EDR), detección y respuesta de red (NDR) y detección y respuesta extendidas (XDR).

La seguridad ofensiva, también denominada "OffSec", se refiere a una variedad de estrategias de seguridad proactivas que utilizan las mismas tácticas que los actores maliciosos en ataques del mundo real para fortalecer la seguridad de la red en lugar de dañarla.

Con frecuencia, las operaciones de seguridad ofensivas las llevan a cabo los hackers éticos, profesionales de la ciberseguridad que utilizan sus habilidades de piratería para encontrar y arreglar fallas del sistema de TI. Los métodos comunes de seguridad ofensiva incluyen:

• Escaneo de vulnerabilidades, utilizando las mismas herramientas que utilizan los delincuentes cibernéticos para detectar e identificar fallas y debilidades de seguridad explotables en la infraestructura y las aplicaciones de TI de una organización.

• Las pruebas de penetración lanzan un ataque cibernético simulado para descubrir vulnerabilidades y debilitar los sistemas informáticos, los flujos de trabajo de respuesta y la concientización de seguridad de los usuarios. Algunas regulaciones de privacidad de datos, como la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS), especifican pruebas de penetración regulares como requisito de cumplimiento.
   

• Red teaming:autoriza a un equipo de piratas informáticos éticos a lanzar un ataque cibernético simulado y orientado a objetivos a la organización.

La seguridad ofensiva complementa el software de seguridad y otras medidas de seguridad defensivas: descubre vías de ciberataque desconocidas, o vectores, que otras medidas de seguridad podrían pasar por alto. Y proporciona a los equipos de seguridad de la información que pueden emplear para reforzar sus medidas de seguridad defensivas.

Dada su superposición significativa, los términos "seguridad informática", "seguridad de la información" y "seguridad cibernética" se utilizan a menudo (y de manera errónea) indistintamente. Se diferencian principalmente en su alcance.

• La seguridad de la información es la protección de los archivos y datos digitales de una organización, los documentos en papel, los soportes físicos e incluso la palabra humana contra el acceso, la divulgación, el uso o la alteración no autorizados. La seguridad de la información tiene el alcance más amplio de los tres. Al igual que la seguridad de TI, se ocupa de proteger los activos físicos de TI y los centros de datos. Además, afecta a la seguridad física de las instalaciones de almacenamiento de archivos en papel y otros soportes.
  
  
• La ciberseguridad se centra en la protección de los datos y activos digitales contra las amenazas cibernéticas, incluidas las acciones maliciosas de actores de amenazas externas e internas, y las amenazas accidentales planteadas por usuarios internos descuidados. Si bien una tarea enorme, la seguridad cibernética tiene el alcance más estrecho de los tres en que no se preocupa por la protección de los datos en papel o analógicos.