Los actores de amenazas, también conocidos como actores de ciberamenazas o actores malignos, son individuos o grupos que causan daño intencionalmente a dispositivos o sistemas digitales. Los actores de amenazas explotan las vulnerabilidades de los sistemas informáticos, las redes y los programas para perpetuar diversos ciberataques, como el phishing, el ransomware y el malware.
Hoy en día, hay muchos tipos de actores de amenazas, todos con diferentes atributos, motivaciones, niveles de skills y tácticas. Algunos de los tipos más comunes de actores de amenazas incluyen hacktividad, actores de estados nación, delincuentes cibernéticos, actores de amenazas internas y ciberterroristas.
A medida que la frecuencia y la gravedad de los ciberdelitos continúan creciendo, comprender estos diferentes tipos de actores de amenazas es cada vez más crítico para mejorar la ciberseguridad individual y organizacional.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos
Regístrese en el índice X-Force Threat Intelligence
El término actor de amenazas es amplio y relativamente universal, extendiéndose a cualquier persona o grupo que represente una amenaza para la ciberseguridad. Los actores de amenazas suelen clasificarse en diferentes tipos en función de su motivación y su nivel de sofisticación.
Estas personas o grupos cometen un delito cibernético principalmente para obtener ganancias financieras. Los delitos comunes cometidos por un delincuente cibernético incluyen ataques de ransomware y estafas de phishing que engañan a las personas para que hagan transferencias de dinero o divulguen información de tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o confidencial.
Los estados nación y los gobiernos financian frecuentemente a los actores de amenazas con el objetivo de robar datos confidenciales, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades malignas suelen incluir espionaje o guerra cibernética y tienden a ser altamente financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar.
Estos actores de amenazas utilizan técnicas de piratería para promover agendas políticas o sociales, como difundir la libertad de expresión o destapar violaciones de derechos humanos. Los hacktivistas creen que están provocando un cambio social positivo y se sienten justificados para atacar a individuos, organizaciones o agencias gubernamentales con el fin de revelar secretos u otra información sensible. Un ejemplo bien conocido de un grupo hacktivista es Anonymous, un colectivo internacional de hackers que afirma abogar por la libertad de expresión en Internet.
Los buscadores de emociones son exactamente como suena su nombre: atacan la computadora y los sistemas de información principalmente por diversión. Algunos quieren ver cuánta información o datos confidenciales pueden robar; otros quieren utilizar la piratería para comprender mejor cómo funcionan las redes y los sistemas informáticos. Una clase de buscadores de emociones, llamados script kiddies, carecen de habilidades técnicas avanzadas, pero utilizan herramientas y técnicas preexistentes para atacar sistemas vulnerables, principalmente para diversión o satisfacción personal. Aunque no siempre buscan causar daño, los buscadores de emociones pueden provocar daños involuntarios al interferir en la ciberseguridad de una red y abrir la puerta a futuros ciberataques.
A diferencia de la mayoría de otros tipos de actores, los actores de amenazas internas no siempre tienen intención maligna. Algunos perjudican a sus empresas por errores humanos, por ejemplo instalando malware sin darse cuenta o perdiendo un dispositivo proporcionado por la empresa que un delincuente cibernético encuentra y utiliza para acceder a la red. Pero existen usuarios internos maliciosos. Por ejemplo, el empleado descontento que abusa de los privilegios de acceso para robar datos para obtener ganancias monetarias o inflige daños a datos o aplicaciones en represalia porque no lo ascendieron.
Los ciberterroristas lanzan ciberataques por motivos políticos o ideológicos que amenazan o resultan en violencia. Algunos ciberterroristas son agentes de algún estado nación; otros actúan por su cuenta o en nombre de un grupo no gubernamental.
Los actores de amenazas suelen dirigirse a grandes organizaciones; debido a que tienen más dinero y datos más confidenciales, ofrecen el mayor beneficio potencial.
Sin embargo, en los últimos años, las pequeñas y medianas empresas (PYMES) también se han convertido en objetivos frecuentes para los atacantes debido a sus sistemas de seguridad relativamente débiles De hecho, el FBI citó recientemente su preocupación por las crecientes tasas de delitos cibernéticos cometidos contra las pequeñas empresas, compartiendo que solo en 2021, las pequeñas empresas perdieron USD 6.9 mil millones a causa de ciberataques, un aumento del 64 % con respecto al año anterior (el enlace reside fuera de ibm.com).
Del mismo modo, los actores de amenazas atacan cada vez más a personas y hogares por sumas más pequeñas. Por ejemplo, pueden irrumpir en redes domésticas y sistemas informáticos para robar información de identidad personal, contraseñas y otros datos potencialmente valiosos y confidenciales. De hecho, las estimaciones actuales sugieren que uno de cada tres hogares estadounidenses con computadoras están infectados con malware (el enlace reside fuera de ibm.com).
Los actores de amenazas no discriminan. Aunque tienden a buscar los objetivos más gratificantes o significativos, también aprovecharán cualquier debilidad de ciberseguridad, sin importar dónde lo encuentren, haciendo que el panorama de amenazas sea cada vez más costoso y complejo.
Los actores de amenazas despliegan una combinación de tácticas al ejecutar un ataque cibernético, recurriendo más a unas que a otras en función de su motivación principal, sus recursos y el objetivo previsto.
El malware es un software maligno que daña o deshabilita las computadoras. El malware suelen propagarse a través de documentos adjuntos por correo electrónico, sitios web infectados o software comprometido, y pueden ayudar a los autores de las amenazas a robar datos, hacerse con el control de los sistemas informáticos y atacar otros ordenadores Los tipos de malware incluyen virus, gusanos y caballo de Troya, que se descargan en los ordenadores disfrazados de programas legítimos.
El ransomware es un tipo de malware que bloquea los datos o el dispositivo de la víctima y amenaza con mantenerlos bloqueados, o peor, a menos que la víctima pague un rescate al atacante. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión que amenazan con robar los datos de la víctima y venderlos o filtrarlos en línea. Según el IBM Security® X-Force® Threat Index 2023, los ataques de ransomware representaron el 17% de todos los ciberataques en 2022.
Los ataques de caza de grandes juegos (BGH) son campañas de ransomware masivas y coordinadas que se dirigen a grandes organizaciones. incluidos gobiernos, y proveedores de infraestructura crítica que tienen mucho que perder de una interrupción y serán más propensos a pagar un gran rescate.
Los ataques de phishing utilizan correo electrónico, mensajes de texto, mensajes de voz o sitios web falsos para engañar a los usuarios para que compartan datos confidenciales, descarguen malware o se expongan a delitos cibernéticos. Los tipos de phishing incluyen:
- Phishing focalizado, un ataque de phishing dirigido a un individuo o grupo de individuos específico con mensajes que parecen provenir de emisores legítimos que tienen una relación con el objetivo.
- Compromiso de correo electrónico del negocio, un ataque de phishing focalizado que envía a la víctima un correo electrónico fraudulento desde la cuenta de correo electrónico suplantada o secuestrada de un compañero de trabajo o colega
- Whale phishing, un ataque de phishing focalizado dirigido específicamente a ejecutivos de alto nivel o funcionarios corporativos.
El phishing es una forma de ingeniería social, una clase de ataques y tácticas que explotan los sentimientos de miedo o urgencia para manipular a las personas a que cometan otros errores que comprometen sus activos o su seguridad personal u organizacional. La ingeniería social puede ser tan simple como dejar una unidad USB infectada con un malware donde alguien la encuentre (porque "hey, ¡unidad USB gratis!"), o tan complejo como pasar meses para cultivar una relación romántica a larga distancia con la víctima con el fin de estafarle el boleto de avión para "finalmente reunirse".
Debido a quela ingeniería social explota la debilidad humana en lugar de las vulnerabilidades técnicas, a veces se le llama "piratería humana".
Este tipo de ciberataque funciona inundando una red o servidor con tráfico, lo que hace que no esté disponible para los usuarios. Un ataque de denegación distribuida del servicio (DDoS) marca una red distribuida de equipos para enviar el tráfico maligno, creando un ataque que puede abrumar al objetivo más rápido y ser más difícil de detectar, prevenir o mitigar.
Las amenazas persistentes avanzadas (APT) son ciberataques sofisticados que abarcan meses o años en lugar de horas o días. Las APCT permiten a los actores de amenazas operar sin ser detectados en la red de la víctima: infiltrarse en los sistemas informáticos, realizar espionaje y reconocimiento, aumentar privilegios y permisos (llamado movimiento lateral) y robar datos confidenciales. Debido a que pueden ser increíblemente difíciles de detectar y relativamente costosos de ejecutar, las APCT suelen ser iniciadas por actores del estado de la nación u otros actores de amenazas bien financiados.
Un ataque de puerta trasera explota una apertura en un sistema operativo, aplicación o sistema informático que no está protegido por las medidas de ciberseguridad de una organización. A veces, la puerta trasera la crea el desarrollador del software o el fabricante del hardware para permitir actualizaciones, arreglos de errores o (irónicamente) parches de seguridad; otras veces, los actores de la amenaza crean puertas traseras por su cuenta utilizando malware o pirateando el sistema. Las puertas traseras permiten a los atacantes entrar y salir de los sistemas informáticos sin que los detecten.
Los términos actor de amenaza, hacker y delincuente cibernético suelen utilizarse indistintamente, especialmente en Hollywood y en la cultura popular. Pero hay diferencias sutiles en los significados de cada una y su relación entre sí.
No todos los actores de amenazas o delincuentes cibernéticos son hackers. Por definición, un hacker es alguien con skills técnicas para comprometer una red o sistema informático. Pero algunos actores de amenazas o delincuentes cibernéticos no hacen nada más técnico que dejar una unidad USB infectada para que alguien la encuentre y la utilice, o enviar un correo electrónico con malware adjunto.
No todos los hackers son actores de amenazas o delincuentes cibernéticos. Por ejemplo, algunos hackers denominados hackers éticos se hacen pasar por delincuentes cibernéticos para ayudar a organizaciones y organismos públicos a comprobar la vulnerabilidad de sus sistemas informáticos frente a las ciberamenazas.
Ciertos tipos de actores de amenazas no son delincuentes cibernéticos por definición o intención, pero sí en la práctica. Por ejemplo, un buscador de emociones que "solo se divierte" apagando la red eléctrica de una ciudad durante unos minutos, o un hacktivista que filtra y publica información del gobierno confidencial en nombre de una causa noble, también pueden estar cometiendo un delito cibernético, tengan o no la intención de hacerlo o crean o no que lo hacen.
A medida que la tecnología se vuelve más sofisticada, también lo hace el panorama de amenazas cibernéticas. Para adelantarse a los actores de amenazas, las organizaciones están evolucionando continuamente sus medidas de ciberseguridad y se vuelven más inteligentes con respecto a la inteligencia de amenazas. Algunas de las medidas que toman las organizaciones para mitigar el impacto de los actores de amenazas, si no detenerlos por completo, incluyen:
Capacitación en concientización sobre seguridad. Debido a que los actores de amenazas suelen explorar los errores humanos, la capacitación de los empleados es una línea defensiva importante. La capacitación de concientización sobre seguridad puede abarcar cualquier cosa, desde no usar dispositivos autorizados por la empresa y almacenar correctamente las contraseñas, hasta técnicas para reconocer y tratar los correos electrónicos de phishing.
Autenticación adaptable y multifactor. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y contraseña) y/o la autenticación adaptable (que requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) pueden evitar que los piratas informáticos accedan a la cuenta de correo electrónico de un usuario, incluso si es que pueden robar la contraseña de correo electrónico del usuario.
- Soluciones de seguridad de endpoints. Estas van desde el software antivirus, que detecta y detiene el malware y los virus conocidos, hasta herramientas como las soluciones de detección y respuesta de endpoints (EDR), que utilizan inteligencia artificial (IA) y análisis para ayudar a los equipos de seguridad a detectar y responder a las amenazas que traspasan el software tradicional de endpoints.
- Tecnologías de seguridad de red. La tecnología de seguridad de red básica es el cortafuegos, que impide que el tráfico sospechoso entre o salga de una red mientras deja pasar el tráfico legítimo. Otras tecnologías incluyen sistemas de prevención de intrusiones (IPS), que monitorean la red para detectar amenazas potenciales e intervienen para detenerlas, y detección y respuesta de redes (NDR), que utilizan IA, aprendizaje automático y analytics de comportamiento para ayudar a los profesionales de seguridad a detectar y automatizar las respuestas.
Software de seguridad empresarial. Estas soluciones pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) a detectar e interceptar la actividad sospechosa o maligna en todos los dominios de la infraestructura de TI: endpoints, correo electrónico, aplicaciones, red y cargas de trabajo en cloud. Incluyen (pero no se limitan a) orquestación, automatización y respuesta en materia de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM) y la detección y respuesta extendidas (XDR).
Las organizaciones también pueden realizar evaluaciones de seguridad periódicas para identificar las vulnerabilidades del sistema. El personal interno de TI suele ser capaz de realizar estas auditorías, pero algunas empresas subcontratan a expertos o proveedores de servicios externos. La actualización periódica del software también ayuda a empresas y particulares a detectar y corregir posibles puntos vulnerables de sus sistemas informáticos.
Detecte amenazas avanzadas que otros pasan por alto. QRadar SIEM utiliza analytics e IA para monitorear la información sobre amenazas, la red y las anomalías del comportamiento del usuario, y para priorizar dónde se necesitan atención y corrección inmediatas.
La caza de amenazas proactiva, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrenta un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza insights de 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing, y datos de reputación de direcciones casi 1 millón de IP maliciosas de una red de 270 millones de endpoints.
Los ciberataques son intentos de robar, exponer, alterar, desactivar o destruir los activos de otra persona a través del acceso no autorizado a los sistemas informáticos.
En su 17ª edición, este informe comparte los insights más recientes sobre el creciente escenario de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate.