¿Qué es un vector de ataque?

Un vector de ataque es una vía o método a través del cual los hackers obtienen acceso no autorizado a los sistemas objetivo para cometer un ciberataque. Los vectores de ataque comunes incluyen ataques de ingeniería social, amenazas internas y compromisos de la cadena de suministro.

En conjunto, los vectores de ataque de una organización (también conocidos como vectores de amenaza) y las vulnerabilidades de ciberseguridad comprenden su superficie de ataque. Las superficies de ataque se han ampliado a medida que las empresas se embarcan en la transformación digital, como la adopción de la inteligencia artificial (IA), la migración a la nube y los centros de datos, el uso de dispositivos del Internet de las cosas y la habilitación del teletrabajo. Con tantos activos que ahora forman parte de panoramas tecnológicos cada vez más complejos y descentralizados, los ciberdelincuentes tienen más puntos de entrada a través de los cuales infiltrarse en redes y sistemas operativos.

Mientras tanto, el alcance y la sofisticación de los vectores de ataque también han evolucionado. Los actores de amenazas se benefician de tecnologías como la IA para manipular a los usuarios y eludir las medidas de seguridad convencionales.

Afortunadamente, los equipos de seguridad empresarial pueden aprovechar disciplinas de ciberseguridad como la gestión de la superficie de ataque (ASM) para frustrar a estos atacantes. La ASM ayuda a las organizaciones a identificar posibles métodos de ataque y a defenderse de los vectores de ataque, pasos clave para mitigar el riesgo de ciberseguridad.

En epidemiología, los vectores son agentes que transmiten enfermedades infecciosas. Pueden ser desde seres vivos (mosquitos, murciélagos) hasta objetos inanimados (jeringas, papel moneda)¹. Comprender estos vectores contribuye a los esfuerzos de prevención y transmisión de enfermedades en el ámbito de la salud pública.

Del mismo modo, comprender la versatilidad de los vectores de ciberataque ayuda a las organizaciones (y a los profesionales de la ciberseguridad que trabajan con ellas) a diseñar e implementar estrategias y herramientas para la detección y corrección de ciberamenazas.

Sin dicha detección y corrección, pueden producirse graves consecuencias. Los vectores de ataque a menudo permiten vulneraciones de datos, en las que los actores de amenazas obtienen acceso a información sensible o confidencial.

Según el informe Cost of a Data Breach 2025 de IBM, el coste medio de una vulneración de datos es de 4,44 millones de dólares. Los costes se derivan de las investigaciones y auditorías de vulneraciones; la notificación de vulneraciones a clientes, reguladores y stakeholders; acuerdos y honorarios legales; y pérdida de clientes. Los incidentes suelen ser especialmente costosos en campos altamente regulados, donde las vulneraciones de datos pueden conllevar multas regulatorias. Por ejemplo, según el informe de IBM, el coste medio de una vulneración de datos sanitarios en 2025 es de 7,42 millones de dólares.

Los hackers también pueden implementar vectores de ataque para inhabilitar o destruir activos, causando importantes interrupciones comerciales y económicas. En septiembre de 2025, por ejemplo, un ciberataque a los sistemas de facturación de los aeropuertos provocó cancelaciones de vuelos y retrasos en los aeropuertos de las principales ciudades europeas. A principios del mismo mes, un ciberataque obligó a cerrar durante semanas a un gran fabricante de automóviles británico.

Al igual que ocurre con los patógenos mutantes, el panorama de las ciberamenazas está evolucionando. Por ejemplo, hace dos décadas, el vector de ataque responsable de aproximadamente la mitad de las vulneraciones de datos era un dispositivo perdido o robado, como un ordenador portátil o una memoria USB. En la actualidad, el robo de dispositivos representa menos del 10 % de todas las vulneraciones de datos, con una serie de otros vectores (desde el phishing hasta las cadenas de suministro comprometidas) implicados en el resto, según el informe "Cost of a Data Breach" de 2025 de IBM.

Los ciberdelincuentes están utilizando las nuevas tecnologías para agilizar su enfoque de los vectores. Por ejemplo, están implementando cada vez más la IA para crear correos electrónicos y páginas web de phishing convincentes, entre otras actividades engañosas. Según el informe "Cost of a Data Breach" de 2025 de IBM, de media el 16 % de las vulneraciones de datos involucraron a atacantes que utilizaron IA, la mayoría de las veces por phishing generado por IA (37 %) y ataques de suplantación de identidad deepfake (35 %).

Los hackers también navegan por la dark web para comprar software de delincuencia como servicio (CaaS) para impulsar actividades de ciberdelincuencia que van desde el uso de spyware hasta el descifrado de contraseñas. Equipados con herramientas avanzadas, “los ciberadversarios que cambian de forma obtienen más acceso, se mueven con mayor facilidad por las redes y crean nuevos puestos avanzados en relativa oscuridad”, según el IBM X-Force Threat Intelligence Index de 2025.

Seguir la evolución de los vectores de ataque de los actores de amenazas puede ayudar a las empresas a contrarrestarlos. “Cuanto más sepa sobre lo que hacen los hackers, mejor trabajo podrá hacer para crear defensas”, explicó Jeff Crume, ingeniero distinguido de seguridad de IBM, en un vídeo reciente de IBM Technology. “La información es poder”.

Aunque diferentes organizaciones clasifican los vectores de ataque de distintas maneras, las categorías comunes incluyen:

• Ingeniería social
• Compromiso de proveedores externos y cadena de suministro
• Denegación de servicio
• Credenciales comprometidas
• Amenazas internas
• Explotación de vulnerabilidades
• Malware
• Ataques físicos

Los ataques de ingeniería social manipulan a las personas haciéndoles creer que se están comunicando con una persona de confianza y las convencen de comprometer la seguridad de sus datos personales (contraseñas bancarias, números de tarjetas de crédito) o de los activos de la organización (información privada, secretos comerciales).  

Uno de los ataques de ingeniería social más comunes es el phishing, que implica el uso de correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos. En el informe "Cost of a Data Breach" de 2025 de IBM, el phishing se clasificó como el vector más común de vulneraciones de datos, representando el 16 % de las vulneraciones con un coste medio de 4,8 millones de dólares por ataque. Los ataques de phishing a menudo implican el spoofing, en el que un atacante disfraza sus direcciones de correo electrónico u otros métodos de comunicación para hacerse pasar por una fuente de confianza.

Los hackers tratarán de infiltrarse en terceros proveedores para acceder a sus socios, lo que convierte a las cadenas de suministro en un objetivo popular para los ciberataques. Los ecosistemas modernos de la cadena de suministro son cada vez más vulnerables gracias a sus sistemas digitales y tecnologías de comunicación, que crean una vasta superficie de ataque.

Los ciberataques a la cadena de suministro pueden detener la producción, interrumpir el transporte y la logística, dañar infraestructuras críticas, robar propiedad intelectual y mucho más. Según el informe "Cost of a Data Breach" de 2025 de IBM, el compromiso de la cadena de suministro es el segundo vector más frecuente de vulneraciones de datos, así como el segundo más costoso de media, con 4,91 millones de dólares por ataque.

Los ataques contra las cadenas de suministro de software, en particular, han generado una creciente preocupación a medida que más empresas dependen del software de código abierto para sus sistemas informáticos. Según un estudio, las amenazas a la cadena de suministro de software procedentes de los repositorios de paquetes de código abierto aumentaron un 1300 % en tres años².

Los ataques de denegación de servicio (DoS) son ciberataques que ralentizan o detienen aplicaciones o servicios. La mayoría de las veces, los incidentes de DoS se manifiestan cuando los atacantes inundan un servidor de red con tráfico, lo que acaba sobrecargando el servidor e impidiéndole procesar las peticiones legítimas. Según el informe "Cost of a Data Breach" de 2025 de IBM, los ataques de denegación de servicio representaron más del 12 % de las vulneraciones de datos.

Un tipo potente de ataque DoS es un ataque de denegación de servicio distribuido (DDoS). En un ataque DDoS, el tráfico de ataque proviene de múltiples fuentes a la vez, lo que puede dificultar su reconocimiento y su defensa. Los ataques DDoS suelen llevarse a cabo a través de botnets, que son grupos de dispositivos conectados que los hackers han secuestrado para sus actividades delictivas.

Los ataques con credenciales comprometidas se producen cuando los hackers obtienen acceso no autorizado a un sistema a través de las credenciales de inicio de sesión de usuarios legítimos, como nombres de usuario y contraseñas. Según el IBM® X-Force Threat Intelligence Index, el 30 % de los ciberataques implican el robo y el abuso de cuentas válidas.

Los hackers tienen diferentes opciones para montar ataques de credenciales comprometidas. Por ejemplo, pueden utilizar las credenciales de usuario robadas reveladas durante vulneraciones de datos anteriores o implementar phishing para persuadir a las víctimas de que compartan las credenciales. También pueden usar ataques de fuerza bruta, que aprovechan la potencia de cálculo y la automatización para deducir contraseñas mediante prueba y error, siendo generalmente más fácil localizar las contraseñas débiles.

Las amenazas internas son amenazas a la ciberseguridad que tienen su origen en usuarios autorizados, como empleados, contratistas y business partners, que intencionada o accidentalmente hacen un uso indebido de su acceso legítimo, o cuyas cuentas son secuestradas por ciberdelincuentes.

Existen varios tipos de amenazas internas, incluyendo usuarios internos negligentes (empleados descontentos con intención de venganza), usuarios internos maliciosos (empleados que crean amenazas a la seguridad por ignorancia o negligencia) y usuarios internos comprometidos (empleados a los que les roban las credenciales).

Según el Informe "Cost of a Data Breach" de 2025 de IBM, los usuarios internos negligentes destacan como la causa más costosa de vulneraciones de datos entre todos los vectores de ataque, a 4,92 millones de dólares por incidente.

La explotación de vulnerabilidades se produce cuando los actores de amenazas internas o externas explotan las debilidades de seguridad en el entorno digital de una organización. Según el X-Force Threat Intelligence Index, la explotación de vulnerabilidades en aplicaciones públicas es uno de los principales vectores de ciberataque.

Algunos ejemplos de vulnerabilidades son:

• Software sin parches: debilidades de seguridad que ocurren cuando no se ha parcheado (la aplicación de actualizaciones de software).
  
  
• Configuración incorrecta: los puertos de red, canales, puntos de acceso inalámbricos, firewalls o protocolos configurados incorrectamente sirven como puntos de entrada para los hackers.
  
  
• Vulnerabilidades de puertos abiertos: los atacantes explotan las debilidades en los endpoints de la comunicación de la red.
  
  
• Vulnerabilidades de inyección SQL: los atacantes utilizan consultas especialmente diseñadas para acceder a los datos.
  
  
• Secuencias de comandos en sitios cruzados (XSS): una aplicación web maneja incorrectamente la entrada del usuario, lo que permite a los atacantes inyectar scripts maliciosos en las páginas web.

A pesar de la existencia de catálogos de vulnerabilidades de seguridad, como la lista de vulnerabilidades y exposiciones comunes (CVE), muchas vulnerabilidades siguen siendo desconocidas y no se abordan. Estas debilidades de seguridad se denominan vulnerabilidades de día cero porque un proveedor de software o proveedor de dispositivos tiene cero días para corregir el fallo antes de que actores maliciosos puedan aprovecharse de ella. Los ataques resultantes se conocen como ataques de día cero.

Aunque el malware, o software malicioso, suele ser un componente de otros vectores de ataque, como la ingeniería social o los compromisos de la cadena de suministro, también puede considerarse su propia categoría de vectores. En 2024, el ransomware representó la mayor cuota de casos de malware (28 %), según el IBM X-Force Threat Intelligence Index.

Otros ejemplos de malware son el malware de acceso remoto (que proporciona acceso remoto a los hackers), los troyanos (programas maliciosos disfrazados de útiles) y el spyware (programas que recopilan información sensible y la envían a los hackers).

El malware Infostealer, diseñado para robar información valiosa, es una amenaza creciente en este ámbito. Según el X-Force Threat Intelligence Index: la cantidad de ladrones de información enviados semanalmente a través de correos electrónicos de phishing ha aumentado un 84 %.

Si bien los hackers tienen una gran cantidad de herramientas digitales a su disposición, las intrusiones físicas siguen siendo una preocupación real en la ciberseguridad. Por ejemplo, los atacantes pueden falsificar credenciales, hacerse pasar por vendedores o seguir a una persona autorizada hasta la zona segura de un negocio (una práctica conocida como tailgating). Desde allí, pueden robar ordenadores portátiles y otros dispositivos, descargar malware o dejar unidades USB cargadas con malware por la oficina (para que los empleados curiosos conecten las unidades y carguen ellos mismos el malware sin darse cuenta).

Según el informe "Cost of a Data Breach" de 2025 de IBM, el robo físico o los problemas de seguridad cuestan a las organizaciones más de cuatro millones de dólares de media por incidente.

Los ciberataques suelen abarcar dos o más vectores de ataque. Por ejemplo, los atacantes podrían usar phishing para engañar a un usuario y permitir que el ransomware se descargue en su ordenador. Entonces, el atacante podría amenazar con un ataque DDoS si la víctima no paga el rescate que exige. O pueden explotar una vulnerabilidad en el sistema de un proveedor para acceder a los sistemas de sus clientes (un ataque que compromete la cadena de suministro) e inyectar código malicioso en esos sistemas para buscar credenciales que los hackers puedan usar para exfiltrar datos.

Otra forma de organizar vectores es dividirlos en dos grupos: pasivos o activos.

Los ciberdelincuentes utilizan vectores de ataque pasivos para acceder a la información sin alterar el sistema. Un ejemplo de vector de ataque pasivo sería una red Wi-Fi sin cifrado, lo que la hace vulnerable a las escuchas de los hackers.

Por el contrario, los hackers utilizan vectores de ataque activos para obtener control sobre los sistemas, interrumpirlos o afectarlos de otro modo. Los vectores de ataque activos incluyen ataques de denegación de servicio y ataques de ransomware.

A veces, la delimitación entre lo que constituye un vector de ataque activo y lo que constituye un vector de ataque pasivo no está clara. Por ejemplo, el phishing podría considerarse un vector de ataque pasivo cuando se utiliza únicamente para obtener información de un objetivo sin alterar su sistema. Sin embargo, el phishing que engaña a una víctima para que descargue ransomware en un sistema podría considerarse un vector de ataque activo.

Aunque los profesionales de la ciberseguridad disponen de diversas herramientas y Estrategias, la gestión de superficie de ataque (ASM) es especialmente importante para abordar posibles vectores de ataque con la dirección. A diferencia de otras disciplinas de ciberseguridad, la ASM se lleva a cabo desde la perspectiva de un hacker, evaluando un sistema en busca de oportunidades que puedan resultar atractivas para un ciberdelincuente.

La ASM consta de cuatro procesos principales: