Un ataque cibernético es cualquier esfuerzo intencional para robar, exponer, alterar, deshabilitar o destruir datos, aplicaciones u otros activos a través del acceso no autorizado a una red, sistema informático o dispositivo digital.
Los actores de amenazas lanzan ataques cibernéticos por todo tipo de razones, desde hurtos menores hasta actos de guerra. Utilizan diversas tácticas, como ataques de malware, estafas de ingeniería social y robo de contraseñas, para obtener acceso no autorizado a sus sistemas objetivo.
Los ataque cibernéticos pueden perturbar, dañar e incluso destruir empresas. El costo promedio de una filtración de datos es de 4.35 millones USD. Este precio incluye los costos de detección de la filtración y respuesta ante esta, tiempo de inactividad y la pérdida de ingresos, así como el daño reputacional a largo plazo de una empresa y su marca.
Pero algunos ataques cibernéticos pueden ser considerablemente más costosos que otros. Los ataques de ransomware han derivado en pagos de rescate de hasta 40 millones USD (enlace externo a ibm.com). Las estafas de vulneración de correo electrónico empresarial (BEC) han ascendido a hasta 47 millones USD de víctimas en un solo ataque (enlace externo a ibm.com). Los ataques cibernéticos que ponen en riesgo la información de identificación personal (PII) pueden derivar en pérdida de confianza de los clientes, multas e incluso acciones legales. Según una estimación, para 2025, la delincuencia cibernética le costará a la economía mundial 10.5 billones USD al año (enlace externo a ibm.com).
Los motivos detrás de los ataques cibernéticos pueden variar, pero existen tres categorías principales: delictivos, políticos y personales.
Los atacantes con motivaciones delictivas buscan beneficios económicos a través del robo de dinero, el robo de datos o la interrupción de actividades comerciales. Los delincuentes cibernéticos pueden hackear una cuenta bancaria para robar dinero directamente o usar estafas de ingeniería social para engañar a las personas para que les envíen dinero. Los hackers pueden robar datos y utilizarlos para cometer robo de identidad o venderlos en la web oscura o mantenerlos para pedir rescates.
La extorsión es otra táctica popular. Los hackers pueden usar ransomware, ataques de denegación distribuida del servicio (DDoS) u otras tácticas para secuestrar datos o dispositivos hasta que una empresa pague un rescate. Según el X-Force Threat Intelligence Index, el objetivo de 27 % de los ataques cibernéticos es extorsionar a sus víctimas.
Los atacantes con motivos personales , como empleados actuales o exempleados descontentos, buscan principalmente una retribución por algún menosprecio percibido. Pueden tomar dinero, robar datos confidenciales o alterar los sistemas de una empresa.
Los atacantes con motivaciones políticas suelen asociarse con la guerra cibernética, el terrorismo cibernético o el “hacktivismo”. En la guerra cibernética, los actores de los estados naciones suelen atacar a las agencias gubernamentales o a la infraestructura crítica de sus enemigos. Por ejemplo, desde el inicio de la guerra entre Rusia y Ucrania, ambos países han experimentado una serie de ataques cibernéticos contra instituciones vitales (enlace externo a ibm.com). Es posible que los hackers (piratas informáticos) activistas, llamados “hacktivistas”, no causen grandes daños a sus objetivos. En cambio, normalmente buscan atención para sus causas dando a conocer sus ataques al público.
Entre las motivaciones menos comunes de los ataques cibernéticos podemos mencionar el espionaje corporativo, en el que los hackers roban propiedad intelectual para obtener una ventaja desleal sobre sus competidores, y los hackers vigilantes que explotan las vulnerabilidades de un sistema para advertir a otros sobre ellas. Algunos hackers simplemente piratean por puro gusto, saboreando el desafío intelectual.
El crimen organizado, actores estatales y personas particulares pueden lanzar ataques cibernéticos. Los actores de amenazas se pueden clasificar en: amenazas externas y amenazas internas.
Las amenazas externas no tienen autorización para utilizar una red o dispositivo, pero lo hacen de todos modos. Los actores de amenazas cibernéticas externas incluyen grupos delictivos organizados, hackers profesionales, actores patrocinados por el estado, hackers aficionados y hacktivistas.
Las amenazas internas son usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y hacen un uso indebido de sus privilegios deliberada o accidentalmente. Esta categoría incluye empleados, asociados de negocios, clientes, contratistas y proveedores con acceso al sistema.
Si bien los usuarios descuidados pueden poner en riesgo a sus empresas, solo se considera ataque cibernético si un usuario utiliza intencionalmente sus privilegios para llevar a cabo actividades maliciosas. Un empleado que almacena despreocupadamente información confidencial en un disco no seguro no está cometiendo un ataque cibernético, pero sí lo está un empleado descontento que, a sabiendas, hace copias de datos confidenciales para beneficio personal.
Los actores de amenazas suelen irrumpir en las redes informáticas porque buscan algo específico. Los objetivos comunes incluyen:
- Dinero
- Datos financieros de empresas
- Listas de clientes
- Datos de clientes, entre ellos información de identificación personal (PII) u otros datos personales confidenciales
- Direcciones de correo electrónico y credenciales de inicio de sesión
- Propiedad intelectual, como secretos comerciales o diseños de productos
En algunos casos, los atacantes cibernéticos no tienen intención de robar nada. Más bien, simplemente desean alterar los sistemas de información o la infraestructura de TI para perjudicar a una empresa, una agencia gubernamental u otro objetivo.
Si tienen éxito, los ataques cibernéticos pueden dañar a las empresas. Pueden causar tiempo de inactividad, pérdida de datos y pérdida de dinero. Por ejemplo:
- Los hackers pueden usar malware o ataques de denegación del servicio para causar fallas en el sistema o el servidor. Este tiempo de inactividad puede conllevar interrupciones en el servicio y pérdidas financieras considerables. De acuerdo con el informe Costo de un filtración de datos: la filtración promedio deriva en una pérdida de negocio que asciende a 1.42 millones USD.
- Los ataques de inyección SQL permiten que los hackers alteren, eliminen o roben datos de un sistema.
- Los ataques de phishing permiten que los hackers engañen a las personas para que les envíen dinero o información confidencial.
- Los ataques de ransomware pueden desactivar un sistema hasta que la empresa pague un rescate al atacante. Según un informe (enlace externo a ibm.com), el pago promedio de rescate es de 812 360 USD.
Además de perjudicar directamente al objetivo, los ataques cibernéticos pueden conllevar una multitud de costos y consecuencias secundarios. Por ejemplo, el informe Costo de una filtración de datos arrojó que las empresas gastan un promedio de 2.62 millones USD en la detección de las filtraciones de datos, la respuesta ante ellas y su corrección.
Los ataques cibernéticos también pueden tener repercusiones para las víctimas más allá del objetivo inmediato. En 2021, la pandilla de ransomware DarkSide atacó a la empresa Colonial Pipeline, encargada del oleoducto más grande de los Estados Unidos. Los atacantes ingresaron a la red de la empresa utilizando una contraseña comprometida (enlace externo a ibm.com). Cerraron el oleoducto que transporta el 45 % del gas, el gasóleo y el combustible para aviones que se suministra a la costa este de Estados Unidos, lo que provocó una escasez generalizada de combustible.
Los delincuentes cibernéticos exigieron un rescate de casi 5 millones USD en criptomoneda bitcoin, que Colonial Pipeline terminó pagando (enlace externo a ibm.com). Sin embargo, con la ayuda del gobierno de Estados Unidos, la empresa finalmente recuperó 2.3 millones USD del rescate.
En el panorama digital actual y conectado, los ciberdelincuentes utilizan herramientas sofisticadas para lanzar ciberataques contra empresas.
Sus objetivos de ataque incluyen computadoras personales, redes informáticas, la infraestructura de TI y los sistemas de TI. Algunos tipos comunes de ciberataques son:
Los delincuentes cibernéticos utilizan muchas herramientas y técnicas sofisticadas para lanzar ataques contra sistemas de TI empresariales, equipos personales y otros objetivos. Algunos de los tipos de ataques cibernéticos más comunes incluyen:
El malware es un software malicioso que puede volver inutilizables a los sistemas infectados. El malware puede destruir datos, robar información o incluso borrar archivos indispensables para el funcionamiento del sistema operativo. El malware se presenta en muchas formas, entre ellas:
- Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un troyano dropper instala malware adicional una vez que se ha afianzado.
- El ransomware es un malware sofisticado que utiliza un cifrado sólido para secuestrar datos o sistemas. Los delincuentes cibernéticos exigen el pago a cambio de liberar el sistema y restaurar la funcionalidad. Según el X-Force Threat Intelligence Index de IBM, el ransomware es el segundo tipo más común de ataque cibernético y representa el 17 % de los ataques.
- El scareware utiliza mensajes falsos para asustar a las víctimas para que descarguen malware o transmitan información confidencial a un estafador.
- El spyware es un tipo de malware que recopila secretamente información confidencial, como nombres de usuario, contraseñas y números de tarjetas de crédito. Luego envía esta información al hacker.
- Los rootkits son paquetes de malware que permiten que los hackers obtengan acceso de nivel de administrador al sistema operativo de una computadora u otros activos.
- Los gusanos son código malicioso que se replica por sí solo para propagarse automáticamente entre aplicaciones y dispositivos.
Los ataques de ingeniería social manipulan a las personas para que hagan cosas que no deberían hacer, como compartir información que no deberían compartir, descargar software que no deberían descargar o enviar dinero a delincuentes.
El phishing es uno de los ataques de ingeniería social más generalizados. Según el informe Costo de una filtración de datos, es la segunda causa más común de filtraciones. Las estafas de phishing más básicas utilizan correos electrónicos o mensajes de texto falsos para robar las credenciales de los usuarios, extraer datos confidenciales de manera subrepticia o difundir malware. Los mensajes de phishing a menudo están diseñados para parecer que provienen de una fuente legítima. Suelen dirigir a la víctima para que haga clic en un hipervínculo que la lleva a un sitio web malicioso o abra un archivo adjunto de correo electrónico que resulta ser malware.
Los delincuentes cibernéticos también han desarrollado métodos más sofisticados de phishing. El spear phishing es un ataque altamente dirigido que tiene como objetivo manipular a un individuo específico, a menudo usando detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la artimaña sea más convincente. Whale phishing es un tipo de spear phishing que se dirige específicamente a funcionarios corporativos de alto nivel. En una estafa de vulneración de correo electrónico empresarial (BEC), los delincuentes cibernéticos se hacen pasar por ejecutivos, proveedores u otros asociados comerciales para engañar a las víctimas para que envíen dinero o compartan datos confidenciales.
Los ataques de denegación del servicio (DoS) y de denegación distribuida del servicio (DDoS) inundan los recursos de un sistema con tráfico fraudulento. Este tráfico sobrecarga el sistema, evitando respuestas a solicitudes legítimas y reduciendo la capacidad del sistema para funcionar. Un ataque de denegación del servicio puede ser un fin en sí mismo o una trampa para otro ataque.
La diferencia entre los ataques de DoS y los de DDoS es simplemente que los ataques DoS utilizan una sola fuente para generar tráfico fraudulento, mientras que los ataques de DDoS utilizan múltiples fuentes. Estos últimos suelen llevarse a cabo con una botnet, una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las botnets pueden incluir computadoras portátiles, teléfonos inteligentes e Internet de las cosas (IoT). Las víctimas a menudo no saben cuándo una botnet ha secuestrado sus dispositivos.
Una cuenta comprometida es el resultado de ataques en los que los hackers se apropian de la cuenta de un usuario legítimo para realizar actividades maliciosas. Los delincuentes cibernéticos pueden meterse a la cuenta de un usuario de muchas maneras. Pueden robar credenciales a través de ataques de phishing o comprar bases de datos de contraseñas robadas de la Internet oscura. Pueden usar herramientas de ataque de contraseñas como Hashcat y John the Ripper para descifrar contraseñas codificadas u organizar ataques de fuerza bruta, en los que ejecutan scripts automatizados o bots para generar y probar posibles contraseñas hasta que una funcione.
En un ataque de intermediario (MiTM), también llamado ”ataque de escucha subrepticia”, un hacker intercepta secretamente las comunicaciones entre dos personas o entre un usuario y un servidor. Los ataques de MitM suelen llevarse a cabo a través de redes wifi públicas no seguras, donde es relativamente fácil para los actores de amenazas espiar el tráfico.
Los hackers pueden leer los correos electrónicos de un usuario o incluso alterarlos en secreto antes de que lleguen al destinatario. En un ataque de secuestro de sesiones, el hacker interrumpe la conexión entre un usuario y un servidor que aloja activos importantes, como una base de datos confidencial de la empresa. El hacker intercambia su dirección IP con la del usuario, haciendo que el servidor piense que es un usuario legítimo conectado a una sesión legítima. Esto le da rienda suelta al hacker para robar datos o de otra manera causar estragos.
Los ataques a la cadena de suministro son ataques cibernéticos en los que los hackers violan una empresa dirigiendo sus ataque a sus proveedores de software, proveedores de materiales y otros proveedores de servicios. Dado que los proveedores a menudo están conectados a las redes de sus clientes de alguna manera, los hackers pueden usar la red de los proveedores como vector de ataque para acceder a múltiples objetivos a la vez.
Por ejemplo, en 2020, los actores estatales rusos hackearon al proveedor de software SolarWinds y distribuyeron malware a sus clientes bajo la apariencia de una actualización de software (enlace externo a ibm.com). El malware permitió que los espías rusos accedieran a los datos confidenciales de varias agencias gubernamentales de Estados Unidos que utilizan los servicios de SolarWinds, incluidos los Departamentos del Tesoro, Justicia y Estado.
Los ataques XSS insertan código malicioso en una página web o aplicación web legítima. Cuando un usuario visita el sitio o la aplicación, el código se ejecuta automáticamente en el navegador web del usuario, generalmente robando información confidencial o redirigiendo al usuario a un sitio web malicioso falsificado. Los atacantes suelen usar JavaScript para ataques XSS.
Los ataques de inyección SQL usan lenguaje de consulta estructurado (SQL) para enviar comandos maliciosos a la base de datos back-end de un sitio web o aplicación. Los hackers ingresan los comandos a través de campos orientados al usuario, como barras de búsqueda y ventanas de inicio de sesión. Luego, los comandos se transfieren a la base de datos, indicándole que devuelva datos privados como números de tarjetas de crédito o detalles del cliente.
La tunelización del DNS oculta el tráfico malicioso dentro de paquetes del DNS, lo que le permite eludir los firewalls y otras medidas de seguridad. Los delincuentes cibernéticos utilizan esta tunelización para crear canales de comunicación secretos, que pueden utilizar para extraer datos de forma silenciosa o establecer conexiones entre el malware y un servidor de comando y control (C&C).
Los ataques de día cero aprovechan vulnerabilidades de día cero, que pueden ser vulnerabilidades desconocidas para la comunidad de seguridad o vulnerabilidades identificadas pero que aún no se corrigen. Estas vulnerabilidades pueden existir durante días, meses o años antes de que los desarrolladores se enteren de las fallas, convirtiéndolos así en objetivos prioritarios para los hackers.
Los ataques sin archivos utilizan vulnerabilidades en programas de software legítimos para inyectar código malicioso directamente en la memoria de una computadora. Los delincuentes cibernéticos a menudo usan PowerShell, una herramienta de scripting integrada en los sistemas operativos Microsoft Windows, para ejecutar scripts maliciosos que cambian configuraciones o roban contraseñas.
Los ataques de falsificación del DNS, también llamados “envenenamiento de DNS”", editan secretamente los registros del DNS para reemplazar la dirección IP real de un sitio web con una falsa. Cuando las víctimas intentan visitar el sitio real, son dirigidas sin saberlo a una copia maliciosa que roba sus datos o difunde malware.
Las organizaciones pueden reducir los ciberataques con un sistema de ciberseguridad eficaz.
La ciberseguridad es la práctica de proteger sistemas críticos e información confidencial de ataques digitales, que involucran tecnología, personas y procesos.
Un sistema de ciberseguridad efectivo previene, detecta e informa los ataques cibernéticos utilizando tecnologías clave de ciberseguridad y mejores prácticas, que incluyen:
- Gestión de accesos e identidades (IAM)
- Una plataforma completa de seguridad de datos
- Información de seguridad y gestión de eventos (SIEM)
- Servicios de seguridad ofensivos y defensivos e inteligencia de amenazas
Las organizaciones pueden reducir los ataques cibernéticos mediante la implementación de sistemas y estrategias de ciberseguridad. La ciberseguridad es la práctica de proteger los sistemas críticos y la información confidencial contra los ataques digitales utilizando una combinación de tecnología, personas y procesos.
Muchas organizaciones implementan una estrategia de administración de amenazas para identificar y proteger sus recursos y activos más importantes. La gestión de amenazas puede incluir políticas y soluciones de seguridad, tales como:
- Las plataformas y políticas de gestión de identidad y acceso (IAM, por sus siglas en inglés), incluido el acceso con privilegios mínimos, la autenticación multifactor y las políticas de contraseñas seguras, pueden ayudar a garantizar que solo las personas adecuadas tengan acceso a los recursos adecuados. Las empresas también pueden exigir a los empleados remotos que utilicen redes privadas virtuales (VPN, por sus siglas en inglés) cuando accedan a recursos sensibles a través de wifi no segura.
- Una plataforma integral de seguridad de datos y herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés) pueden cifrar datos confidenciales, monitorear el acceso a estos y su uso, y generar alertas cuando se detecta actividad sospechosa. Las organizaciones también pueden hacer respaldos de datos periódicamente para minimizar los daños en caso de una filtración.
- Los cortafuegos pueden ayudar a impedir que actores de amenazas ingresen a la red en primer lugar. Asimismo, pueden bloquear el tráfico malicioso que sale de la red, como el malware que intenta comunicarse con un servidor de comando y control.
- La capacitación en materia de seguridad puede ayudar a que los usuarios identifiquen y eviten algunos de los vectores de ataques cibernéticos más comunes, como el phishing y otros ataques de ingeniería social.
- Las políticas de administración de vulnerabilidades, entre ellas, los programas de administración de parches y las pruebas de penetración periódicas, pueden ayudar a detectar y cerrar vulnerabilidades antes de que los hackers puedan aprovecharlas.
- Las herramientas de gestión de la superficie de ataque (ASM, por sus siglas en inglés) pueden identificar, catalogar y corregir activos potencialmente vulnerables antes de que los atacantes cibernéticos los encuentren.
- Las herramientas de gestión de endpoints (UEM, por sus siglas en inglés) pueden aplicar políticas y controles de seguridad en todos los endpoints de la red corporativa, entre ellos, computadoras portátiles, equipos de escritorio y dispositivos móviles.
Es imposible prevenir por completo los intentos de ataques cibernéticos, por lo que las organizaciones también pueden utilizar procesos continuos de monitoreo de seguridad y detección temprana para identificar y marcar los ataques en curso. Algunos ejemplos:
- Los sistemas de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés centralizan y rastrean alertas de diversas herramientas internas de ciberseguridad, entre ellas, sistemas de detección de intrusiones (IDS, por sus siglas en inglés), sistemas de detección y respuesta de endpoints (EDR, por sus siglas en inglés) y otras soluciones de seguridad.
- Las plataformas de inteligencia de amenazas enriquecen las alertas de seguridad para ayudar a los equipos de seguridad a comprender los tipos de amenazas de ciberseguridad a los que se pueden enfrentar.
- El software antivirus puede analizar periódicamente los sistemas informáticos para detectar programas maliciosos y erradicar automáticamente el malware identificado.
- Los procesos proactivos de caza de amenazas pueden rastrear las amenazas cibernéticas que acechan secretamente en la red, como las amenazas persistentes avanzadas (APT, por sus siglas en inglés).
Las organizaciones también pueden tomar medidas para garantizar una respuesta adecuada a los ataques en curso y otros eventos de ciberseguridad. Algunos ejemplos:
- Los planes de respuesta a incidentes pueden ayudar a contener y erradicar varios tipos de ataques cibernéticos, restaurar los sistemas afectados y analizar las causas principales para evitar futuros ataques. Se ha demostrado que los planes de respuesta a incidentes reducen los costos generales de los ataques cibernéticos. Según el informe Costo de una filtración de datos, los costos de las filtraciones en organizaciones con equipos y planes formales de respuesta a incidentes son en promedio un 58 % más bajos.
- Las soluciones de orquestación, automatización y respuesta de seguridad (SOAR, por sus siglas en inglés) pueden facilitar a los equipos de seguridad la coordinación de herramientas de seguridad dispares en manuales de estrategias semi o completamente automatizados para responder a los ataques cibernéticos en tiempo real.
- Las soluciones de detección y respuesta extendidas (XDR, por sus siglas en inglés) integran herramientas y operaciones de seguridad en todas las capas de seguridad: usuarios, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Asimismo, ayudan a automatizar procesos complejos de prevención, detección, investigación y respuesta a ataques cibernéticos, como la caza de amenazas proactiva.
Burle los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoints, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La búsqueda proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrenta un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ataque cibernético y ayudarlo a recuperarse más rápido.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza información de 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing, y datos de reputación de direcciones casi 1 millón de IP maliciosas de una red de 270 millones de endpoints.
El informe sobre el costo de una filtración de datos comparte los últimos insights sobre el panorama de amenazas en expansión y ofrece recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.
Conozca los riesgos de un ciberataque gracias a una visión global del panorama de las amenazas
Los marcos de preparación y ejecución de ataques cibernéticos de X-Force proporcionan un flujo lógico representativo de los ataques en la actualidad e incorporan fases que normalmente no se incluyen en otros marcos.