¿Qué es un ciberataque?

Las motivaciones detrás de los ciberataques pueden variar, pero hay tres categorías principales: 

1. Criminal
2. Política 
3. Personal

Los atacantes con motivaciones delictivas buscan obtener ganancias financieras mediante el robo de dinero, el robo de datos o la interrupción del negocio. Los ciberdelincuentes pueden piratear una cuenta bancaria para robar dinero directamente o utilizar estafas de ingeniería social para engañar a las personas para que les envíen dinero. Los hackers pueden robar datos y utilizarlos para cometer robos de identidad o venderlos en la dark web o guardarlos para un rescate.

La extorsión es otra táctica que se utiliza. Los hackers pueden usar programas maliciosos, ataques DDoS u otras tácticas para mantener como rehenes los datos o dispositivos hasta que una empresa pague. Sin embargo, según el X-Force Threat Intelligence Index más reciente, el 32 por ciento de los ciberincidentes implicaron el robo y la venta de datos, más que el cifrado con fines de extorsión.

Los agresores con motivaciones personales , como los empleados actuales o antiguos descontentos, buscan principalmente la retribución por algún desaire percibido. Pueden tomar dinero, robar datos confidenciales o interrumpir los sistemas de una empresa.

Los atacantes con motivaciones políticas suelen asociarse con la guerra cibernética, el ciberterrorismo o el "hacktivismo". En la guerra cibernética, los actores de los estados-nación suelen atacar las agencias gubernamentales o la infraestructura crucial de sus enemigos. Por ejemplo, desde el inicio de la Guerra de Rusia y Ucrania, ambos países han experimentado una erupción de ciberataques contra instituciones vitales (enlace externo a ibm.com). Los hackers activistas, llamados "hacktivistas", pueden no causar grandes daños a sus objetivos. En cambio, suelen buscar atención para sus causas dando a conocer sus ataques al público.

Entre las motivaciones menos comunes de los ciberataques se incluyen el espionaje corporativo, en el que los hackers roban propiedad intelectual para obtener una ventaja injusta sobre sus competidores, y los hackers vigilantes que explotan las vulnerabilidades de un sistema para advertir a otros sobre ellas. Algunos hackers hackean por deporte, disfrutando del desafío intelectual.

Las organizaciones penales, los actores estatales y las personas privadas pueden lanzar ciberataques. Una forma de clasificar a los actores de amenazas es categorizarlos como amenazas externas o amenazas internas.

Las amenazas externas no están autorizadas a utilizar una red o dispositivo, pero se rompen de todos modos. Los actores externos de amenazas cibernéticas incluyen grupos delictivos organizados, hackers profesionales, actores patrocinados por el estado, hackers aficionados y hacktivistas.

Las amenazas internas son usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y hacen un mal uso de sus privilegios de forma deliberada o accidental. Esta categoría incluye empleados, socios comerciales, clientes, contratistas y proveedores con acceso al sistema.

Aunque los usuarios negligentes pueden poner en riesgo a sus empresas, solo es un ciberataque si el usuario utiliza intencionalmente sus privilegios para llevar a cabo actividades maliciosas. Un empleado que almacena descuidadamente información confidencial en un disco no seguro no está cometiendo un ciberataque, pero un empleado descontento que, a sabiendas, hace copias de datos confidenciales para beneficio personal sí lo está. 

Los actores de amenazas suelen irrumpir en las redes informáticas porque buscan algo específico. Los objetivos comunes incluyen:

• Dinero
• Datos financieros de las empresas
• Listas de clientes
• Datos de clientes, incluida información de identificación personal (PII) u otros datos personales confidenciales
• Direcciones de email y credenciales de inicio de sesión
• Propiedad intelectual, como secretos comerciales o diseños de productos

En algunos casos, los ciberatacantes no quieren robar nada. En su lugar, simplemente desean interrumpir los sistemas de información o la infraestructura de TI para dañar un negocio, una agencia gubernamental u otro objetivo. 

Los ciberdelincuentes utilizan muchas herramientas y técnicas sofisticadas para lanzar ciberataques contra sistemas de TI empresariales, computadoras personales y otros objetivos. Algunos de los tipos más comunes de ciberataques son:

El malware es un software malicioso que puede hacer que los sistemas infectados no funcionen. Los programas maliciosos pueden destruir datos, robar información o incluso borrar archivos críticos para la capacidad de ejecución del sistema operativo. El malware se presenta en muchas formas, incluidas:

• Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un troyano cuentagotas instala un programa malicioso adicional una vez que logra establecerse.
  
  
• El ransomware es un malware sofisticado que utiliza un cifrado sólido para mantener como rehenes los datos o los sistemas. Los ciberdelincuentes exigen el pago a cambio de liberar el sistema y restaurar la funcionalidad. Según el X-Force Threat Intelligence Index de IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.
  
  
• Scareware utiliza mensajes falsos para asustar a las víctimas y hacer que descarguen programas maliciosos o faciliten información confidencial a un estafador.
  
  
• El spyware es un tipo de malware que recopila secretamente información confidencial, como nombres de usuario, contraseñas y números de tarjetas de crédito. Luego envía esta información al hacker.
  
  
• Los rootkits son paquetes de malware que permiten a los hackers obtener acceso de nivel de administrador al sistema operativo de un ordenador u otros activos.
  
  
• Los gusanos son códigos maliciosos autorreplicantes que pueden propagarse automáticamente entre aplicaciones y dispositivos. 

Los ataques de ingeniería social manipulan a las personas para que hagan cosas que no deberían hacer, como compartir información que no deberían compartir, descargar software que no deberían descargar o enviar dinero a los delincuentes.

El phishing es uno de los ataques de ingeniería social más generalizados. Según el informe "Cost of a Data Breach", es la segunda causa más común de vulneraciones. Las estafas más básicas de phishing utilizan correos electrónicos falsos o mensajes de texto para robar las credenciales de los usuarios, exfiltrar datos confidenciales o difundir malware. Los mensajes de phishing suelen estar diseñados para verse como si fueran de una fuente legítima. Normalmente dirigen a la víctima a hacer clic en un hipervínculo que los lleva a un sitio web malicioso o abre un archivo adjunto de correo electrónico que resulta ser malware.

Los ciberdelincuentes también han desarrollado métodos de phishing más sofisticados. El spear phishing es un ataque muy específico que tiene como objetivo manipular a una persona concreta y, a menudo, utiliza detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la artimaña sea más convincente. El whale phishing es un tipo de phishing dirigido específicamente a altos cargos de ballena. En una estafa de correo electrónico empresarial (BEC), los ciberdelincuentes se hacen pasar por ejecutivos, proveedores u otros asociados comerciales para engañar a las víctimas para que suban dinero o compartan datos confidenciales. 

Los ataques de denegación de servicio (denegación de servicio) y denegación de servicio distribuido (DDoS) inundan los recursos de un sistema con tráfico fraudulento. Este tráfico abrumará al sistema, evitando las respuestas a solicitudes legítimas y reduciendo la capacidad del sistema de realizar. Un ataque de denegación de servicio puede ser un fin en sí mismo o una configuración para otro ataque.

La diferencia entre los ataques DDoS y los ataques DDoS es simplemente que los ataques DDoS utilizan una única fuente para generar tráfico fraudulento, mientras que los ataques DDoS utilizan múltiples fuentes. Los ataques DDoS suelen llevarse a cabo con una botnet, una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las redes de bots pueden incluir portátiles, smartphones y dispositivos de Internet de las cosas (IoT). Las víctimas a menudo no saben cuando una botnet ha secuestrado sus dispositivos.

Compromiso de cuenta es cualquier ataque en el que los piratas informáticos secuestran la cuenta de un usuario legítimo para realizar actividades maliciosas. Los ciberdelincuentes pueden entrar en la cuenta de un usuario de muchas maneras. Pueden robar credenciales a través de ataques de phishing o comprar bases de datos de contraseñas robadas de la web oscura. Pueden usar herramientas de ataque de contraseñas como Hashcat y John the Ripper para romper los cifrados de contraseñas o organizar ataques de fuerza bruta, en los que ejecutan scripts automatizados o bots para generar y probar contraseñas potenciales hasta que una funcione.

En un ataque de intermediario (MiTM) , también llamado "escuchas no autorizadas", un hacker intercepta en secreto las comunicaciones entre dos personas o entre un usuario y un servidor. Los ataques MitM se llevan a cabo comúnmente a través de redes wifi públicas no seguras, donde es relativamente fácil para los actores de amenazas espiar el tráfico.

Los piratas informáticos pueden leer los correos electrónicos de un usuario o incluso alterarlos en secreto antes de que lleguen al destinatario. En un ataque de secuestro de sesiones, el hacker interrumpe la conexión entre un usuario y un servidor que aloja activos importantes, como una base de datos confidencial de la empresa. El hacker intercambia su dirección IP con la del usuario, haciendo que el servidor piense que es un usuario legítimo conectado a una sesión legítima. Esto le da al hacker rienda suelta para robar datos o causar estragos. 

Los ataques a la cadena de suministro son ataques cibernéticos en los que los hackers infringen una empresa dirigiéndose a sus proveedores de software, proveedores de materiales y otros proveedores de servicios. Dado que los proveedores suelen conectarse a las redes de sus clientes de alguna manera, los piratas informáticos pueden utilizar la red del proveedor como un vector de ataque para acceder a varios destinos a la vez.

Por ejemplo, en 2020, los agentes estatales rusos piratearon al proveedor de software SolarWinds y distribuyeron programas maliciosos a sus clientes bajo la apariencia de una actualización de software (enlace externo a ibm.com). El malware permitió a los espías rusos acceder a los datos confidenciales de varias agencias gubernamentales de EE. UU. utilizar los servicios de SolarWinds, incluidos los departamentos del Tesoro, Justicia y Estado. 

Las organizaciones pueden reducir los ciberataques implantando sistemas y estrategias de ciberseguridad. La ciberseguridad es la práctica de proteger los sistemas cruciales y la información sensible de los ataques digitales mediante una combinación de tecnología, personas y procesos. 

Muchas organizaciones implementan una estrategia de gestión de amenazas para identificar y proteger sus activos y recursos más importantes. La gestión de amenazas puede incluir políticas y soluciones de seguridad como:

• Las plataformas y políticas de gestión de identidades y accesos (IAM), incluidas las políticas de acceso con privilegios mínimos, autenticación multifactor y contraseñas seguras, pueden ayudar a garantizar que solo las personas adecuadas tengan acceso a los recursos correctos. Las empresas también pueden exigir que los empleados remotos utilicen redes privadas virtuales (VPN) cuando accedan a recursos confidenciales a través de wifi no seguro.
   
• Una plataforma integral de seguridad de datos y herramientas de prevención de pérdida de datos (DLP) pueden cifrar datos confidenciales, monitorizar su acceso y uso, y generar alertas cuando se detecta actividad sospechosa. Las organizaciones también pueden hacer copias de seguridad periódicas de los datos para minimizar los daños si se produce una brecha.
  
  
• Los cortafuegos pueden ayudar a impedir que los actores de amenazas ingresen a la red en primer lugar. Los cortafuegos también pueden bloquear el tráfico malicioso que sale de la red, como el malware que intenta comunicarse con un servidor de comando y control.
   
• La formación en concienciación sobre seguridad puede ayudar a los usuarios a identificar y evitar algunos de los vectores de ciberataque más comunes, como el phishing y otros ataques de ingeniería social.
  
  
• Las políticas de gestión de vulnerabilidades , incluidas las programaciones de gestión de parches y las pruebas de penetración regulares, pueden ayudar a detectar y cerrar vulnerabilidades antes de que los hackers puedan aprovecharlas.
  
  
• Las herramientas de gestión de la superficie de ataque (ASM) pueden identificar, catalogar y corregir los activos potencialmente vulnerables antes de que los ciberatacantes los encuentren.
  
  
• Las herramientas unificadas de gestión de endpoints (UEM) pueden aplicar políticas y controles de seguridad en todos los endpoints de la red corporativa, incluidos portátiles, equipos de escritorio y dispositivos móviles.

Es imposible evitar completamente los intentos de ciberataques, por lo que las organizaciones también pueden utilizar la monitorización continua de la seguridad y los procesos de detección temprana para identificar y marcar los ciberataques en curso. Algunos ejemplos son:

• Los sistemas de gestión de eventos e información de seguridad (SIEM) centralizan y rastrean alertas de diversas herramientas internas de ciberseguridad, incluidos sistemas de detección de intrusiones (IDS), sistemas de detección y respuesta de endpoints (EDR) y otras soluciones de seguridad.
  
  
• Las plataformas de inteligencia sobre amenazas enriquecen las alertas de seguridad para ayudar a los equipos de seguridad a comprender los tipos de amenazas de ciberseguridad a las que se enfrentan.
  
  
• El software antivirus puede analizar regularmente los sistemas informáticos en busca de programas maliciosos y erradicar automáticamente el malware identificado.
  
  
• Los procesos de búsqueda proactiva de amenazas pueden realizar un seguimiento de las ciberamenazas que acechan secretamente en la red, como las amenazas persistentes avanzadas (APT).

Las organizaciones también pueden tomar medidas para garantizar una respuesta adecuada a los ciberataques en curso y otros eventos de ciberseguridad. Algunos ejemplos son:

• Los planes de respuesta a incidentes pueden ayudar a contener y erradicar diversos tipos de ciberataques, restaurar los sistemas afectados y analizar las causas fundamentales para prevenir futuros ataques. Se ha demostrado que los planes de respuesta a incidentes reducen los costes globales de los ciberataques. Según el informe "Cost of a Data Breach", las organizaciones con equipos y planes formales de respuesta a incidentes tienen una media de un 58 % menos de costes de vulneración de datos.
  
  
• Las soluciones de orquestación, automatización y respuesta de seguridad de seguridad (SOAR) pueden permitir a los equipos de seguridad coordinar herramientas de seguridad dispares en guías de estrategias semiautomatizadas o totalmente automatizadas para responder a ciberataques en tiempo real.
  
  
• Las soluciones de detección y respuesta ampliadas (XDR) integran herramientas y operaciones de seguridad en todas las capas de seguridad: usuarios, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Los XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta a ciberataques, incluida la búsqueda proactiva de amenazas.