Inicio Topics ciberataque ¿Qué es un ciberataque?
Explore la solución de ciberataque de IBM Suscríbase a las noticias sobre seguridad
Ilustración con collage de pictogramas de nubes, teléfono móvil, huella dactilar y marca de verificación
¿Qué es un ciberataque?

Un ciberataque es cualquier esfuerzo intencional para robar, exponer, alterar, deshabilitar o destruir datos, aplicaciones u otros activos a través del acceso no autorizado a una red, sistema informático o dispositivo digital.

Los actores de amenazas lanzan ciberataques por todo tipo de motivos, desde pequeños robos hasta actos de guerra. Utilizan varias tácticas, como ataques de malware, estafas de ingeniería social y robo de contraseñas, para obtener acceso no autorizado a sus sistemas objetivo.

Los ciberataques pueden interrumpir, dañar e incluso destruir negocios. El coste medio de una filtración de datos es de 4,35 millones de dólares. Este precio incluye los costes de descubrir y responder a la violación, el tiempo de inactividad y la pérdida de ingresos, así como el daño a la reputación a largo plazo de una empresa y su marca.

Pero algunos ciberataques pueden llegar a ser más costosos que otros. Los ataques de ransomware han supuesto el pago de rescates de hasta 40 millones de dólares (enlace externo a ibm.com). Las estafas de compromiso de correo electrónico empresarial (BEC) han robado hasta 47 millones de dólares a las víctimas en un solo ataque (enlace externo a ibm.com). Los ciberataques que comprometen la información de identificación personal (PII) de los clientes pueden provocar una pérdida de confianza de los clientes, multas reglamentarias e incluso acciones legales. Según una estimación, la ciberdelincuencia costará a la economía mundial 10,5 billones de dólares al año de aquí a 2025 (enlace externo a ibm.com). 

Coste de la vulneración de datos

Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".

Contenido relacionado

Regístrese para obtener el X-Force Threat Intelligence Index

¿Por qué suceden los ciberataques? 

Las motivaciones detrás de los ciberataques pueden variar, pero hay tres categorías principales: 

  1. Criminal
  2. Política 
  3. Personal

Los atacantes con motivaciones delictivas buscan obtener ganancias financieras mediante el robo de dinero, el robo de datos o la interrupción del negocio. Los ciberdelincuentes pueden piratear una cuenta bancaria para robar dinero directamente o utilizar estafas de ingeniería social para engañar a las personas para que les envíen dinero. Los hackers pueden robar datos y utilizarlos para cometer robos de identidad o venderlos en la dark web o guardarlos para un rescate.

La extorsión es otra táctica que se utiliza. Los hackers pueden usar programas maliciosos, ataques DDoS u otras tácticas para mantener como rehenes los datos o dispositivos hasta que una empresa pague. Sin embargo, según el X-Force Threat Intelligence Index más reciente, el 32 por ciento de los ciberincidentes implicaron el robo y la venta de datos, más que el cifrado con fines de extorsión.

Los agresores con motivaciones personales , como los empleados actuales o antiguos descontentos, buscan principalmente la retribución por algún desaire percibido. Pueden tomar dinero, robar datos confidenciales o interrumpir los sistemas de una empresa.

Los atacantes con motivaciones políticas suelen asociarse con la guerra cibernética, el ciberterrorismo o el "hacktivismo". En la guerra cibernética, los actores de los estados-nación suelen atacar las agencias gubernamentales o la infraestructura crucial de sus enemigos. Por ejemplo, desde el inicio de la Guerra de Rusia y Ucrania, ambos países han experimentado una erupción de ciberataques contra instituciones vitales (enlace externo a ibm.com). Los hackers activistas, llamados "hacktivistas", pueden no causar grandes daños a sus objetivos. En cambio, suelen buscar atención para sus causas dando a conocer sus ataques al público.

Entre las motivaciones menos comunes de los ciberataques se incluyen el espionaje corporativo, en el que los hackers roban propiedad intelectual para obtener una ventaja injusta sobre sus competidores, y los hackers vigilantes que explotan las vulnerabilidades de un sistema para advertir a otros sobre ellas. Algunos hackers hackean por deporte, disfrutando del desafío intelectual.

¿Quién está detrás de los ciberataques?

Las organizaciones penales, los actores estatales y las personas privadas pueden lanzar ciberataques. Una forma de clasificar a los actores de amenazas es categorizarlos como amenazas externas o amenazas internas.

Las amenazas externas no están autorizadas a utilizar una red o dispositivo, pero se rompen de todos modos. Los actores externos de amenazas cibernéticas incluyen grupos delictivos organizados, hackers profesionales, actores patrocinados por el estado, hackers aficionados y hacktivistas.

Las amenazas internas son usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y hacen un mal uso de sus privilegios de forma deliberada o accidental. Esta categoría incluye empleados, socios comerciales, clientes, contratistas y proveedores con acceso al sistema.

Aunque los usuarios negligentes pueden poner en riesgo a sus empresas, solo es un ciberataque si el usuario utiliza intencionalmente sus privilegios para llevar a cabo actividades maliciosas. Un empleado que almacena descuidadamente información confidencial en un disco no seguro no está cometiendo un ciberataque, pero un empleado descontento que, a sabiendas, hace copias de datos confidenciales para beneficio personal sí lo está. 

¿Cuál es el objetivo de los ciberataques?

Los actores de amenazas suelen irrumpir en las redes informáticas porque buscan algo específico. Los objetivos comunes incluyen:

  • Dinero
  • Datos financieros de las empresas
  • Listas de clientes
  • Datos de clientes, incluida información de identificación personal (PII) u otros datos personales confidenciales
  • Direcciones de email y credenciales de inicio de sesión
  • Propiedad intelectual, como secretos comerciales o diseños de productos

En algunos casos, los ciberatacantes no quieren robar nada. En su lugar, simplemente desean interrumpir los sistemas de información o la infraestructura de TI para dañar un negocio, una agencia gubernamental u otro objetivo. 

¿Qué efectos tienen los ciberataques en las empresas? 

Si tienen éxito, los ataques cibernéticos pueden dañar a las empresas. Pueden causar tiempo de inactividad, pérdida de datos y pérdida de dinero. Por ejemplo:

  • Los hackers pueden utilizar programas maliciosos o ataques de denegación de servicio para provocar fallos del sistema o del servidor. Este tiempo de inactividad puede provocar importantes interrupciones del servicio y pérdidas financieras. Según el informe "Cost of a Data Breach" , la vulneración promedia se traduce en pérdidas de negocios por valor de 1,42 millones de dólares.

  • Los ataques de inyección SQL permiten a los piratas informáticos alterar, eliminar o robar datos de un sistema.

  • Los ataques de suplantación de identidad permiten a los piratas informáticos engañar a las personas para que les envíen dinero o información confidencial.

  • Los ataques de cibersecuestro pueden desactivar un sistema hasta que la empresa pague al atacante un rescate. Según un informe (enlace externo a ibm.com), el pago promedio de rescate es de 812 360 dólares estadounidenses.

Además de dañar directamente al objetivo, los ciberataques pueden tener una serie de costes y consecuencias secundarios. Por ejemplo, el informe "Cost of a Data Breach" reveló que las empresas gastan una media de 2,62 millones de dólares en detectar, responder y remediar las infracciones.

Los ciberataques también pueden tener repercusiones para las víctimas más allá del objetivo inmediato. En 2021, la banda de ransomware DarkSide atacó Colonial Pipeline, el mayor sistema de oleoductos refinados de Estados Unidos. Los atacantes ingresaron a la red de la empresa utilizando una contraseña comprometida (enlace externo a ibm.com). Cerraron el oleoducto que transporta el 45 % del gas, el gasóleo y el combustible para aviones que se suministra a la costa este de Estados Unidos, lo que provocó una escasez generalizada de combustible.

Los ciberdelincuentes exigieron un rescate de casi 5 millones de dólares en bitcoins, que Colonial PiProcess pagó (enlace externo a ibm.com). Sin embargo, con la ayuda del gobierno de EE. UU., la empresa finalmente recuperó 2,3 millones de dólares del rescate.

¿Cuáles son los ciberataques más comunes?

Los ciberdelincuentes utilizan muchas herramientas y técnicas sofisticadas para lanzar ciberataques contra sistemas de TI empresariales, computadoras personales y otros objetivos. Algunos de los tipos más comunes de ciberataques son:

Malware

El malware es un software malicioso que puede hacer que los sistemas infectados no funcionen. Los programas maliciosos pueden destruir datos, robar información o incluso borrar archivos críticos para la capacidad de ejecución del sistema operativo. El malware se presenta en muchas formas, incluidas:

  • Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un troyano cuentagotas instala un programa malicioso adicional una vez que logra establecerse.

  • El ransomware es un malware sofisticado que utiliza un cifrado sólido para mantener como rehenes los datos o los sistemas. Los ciberdelincuentes exigen el pago a cambio de liberar el sistema y restaurar la funcionalidad. Según el X-Force Threat Intelligence Index de IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.

  • Scareware utiliza mensajes falsos para asustar a las víctimas y hacer que descarguen programas maliciosos o faciliten información confidencial a un estafador.

  • El spyware es un tipo de malware que recopila secretamente información confidencial, como nombres de usuario, contraseñas y números de tarjetas de crédito. Luego envía esta información al hacker.

  • Los rootkits son paquetes de malware que permiten a los hackers obtener acceso de nivel de administrador al sistema operativo de un ordenador u otros activos.

  • Los gusanos son códigos maliciosos autorreplicantes que pueden propagarse automáticamente entre aplicaciones y dispositivos. 
Ingeniería social

Los ataques de ingeniería social manipulan a las personas para que hagan cosas que no deberían hacer, como compartir información que no deberían compartir, descargar software que no deberían descargar o enviar dinero a los delincuentes.

El phishing es uno de los ataques de ingeniería social más generalizados. Según el informe "Cost of a Data Breach", es la segunda causa más común de vulneraciones. Las estafas más básicas de phishing utilizan correos electrónicos falsos o mensajes de texto para robar las credenciales de los usuarios, exfiltrar datos confidenciales o difundir malware. Los mensajes de phishing suelen estar diseñados para verse como si fueran de una fuente legítima. Normalmente dirigen a la víctima a hacer clic en un hipervínculo que los lleva a un sitio web malicioso o abre un archivo adjunto de correo electrónico que resulta ser malware.

Los ciberdelincuentes también han desarrollado métodos de phishing más sofisticados. El spear phishing es un ataque muy específico que tiene como objetivo manipular a una persona concreta y, a menudo, utiliza detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la artimaña sea más convincente. El whale phishing es un tipo de phishing dirigido específicamente a altos cargos de ballena. En una estafa de correo electrónico empresarial (BEC), los ciberdelincuentes se hacen pasar por ejecutivos, proveedores u otros asociados comerciales para engañar a las víctimas para que suban dinero o compartan datos confidenciales. 

Ataques de denegación de servicio

Los ataques de denegación de servicio (denegación de servicio) y denegación de servicio distribuido (DDoS) inundan los recursos de un sistema con tráfico fraudulento. Este tráfico abrumará al sistema, evitando las respuestas a solicitudes legítimas y reduciendo la capacidad del sistema de realizar. Un ataque de denegación de servicio puede ser un fin en sí mismo o una configuración para otro ataque.

La diferencia entre los ataques DDoS y los ataques DDoS es simplemente que los ataques DDoS utilizan una única fuente para generar tráfico fraudulento, mientras que los ataques DDoS utilizan múltiples fuentes. Los ataques DDoS suelen llevarse a cabo con una botnet, una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las redes de bots pueden incluir portátiles, smartphones y dispositivos de Internet de las cosas (IoT). Las víctimas a menudo no saben cuando una botnet ha secuestrado sus dispositivos.

Compromiso de cuenta

Compromiso de cuenta es cualquier ataque en el que los piratas informáticos secuestran la cuenta de un usuario legítimo para realizar actividades maliciosas. Los ciberdelincuentes pueden entrar en la cuenta de un usuario de muchas maneras. Pueden robar credenciales a través de ataques de phishing o comprar bases de datos de contraseñas robadas de la web oscura. Pueden usar herramientas de ataque de contraseñas como Hashcat y John the Ripper para romper los cifrados de contraseñas o organizar ataques de fuerza bruta, en los que ejecutan scripts automatizados o bots para generar y probar contraseñas potenciales hasta que una funcione.

Ataques de intermediario

En un ataque de intermediario (MiTM) , también llamado "escuchas no autorizadas", un hacker intercepta en secreto las comunicaciones entre dos personas o entre un usuario y un servidor. Los ataques MitM se llevan a cabo comúnmente a través de redes wifi públicas no seguras, donde es relativamente fácil para los actores de amenazas espiar el tráfico.

Los piratas informáticos pueden leer los correos electrónicos de un usuario o incluso alterarlos en secreto antes de que lleguen al destinatario. En un ataque de secuestro de sesiones, el hacker interrumpe la conexión entre un usuario y un servidor que aloja activos importantes, como una base de datos confidencial de la empresa. El hacker intercambia su dirección IP con la del usuario, haciendo que el servidor piense que es un usuario legítimo conectado a una sesión legítima. Esto le da al hacker rienda suelta para robar datos o causar estragos. 

Ataques a la cadena de suministro

Los ataques a la cadena de suministro son ataques cibernéticos en los que los hackers infringen una empresa dirigiéndose a sus proveedores de software, proveedores de materiales y otros proveedores de servicios. Dado que los proveedores suelen conectarse a las redes de sus clientes de alguna manera, los piratas informáticos pueden utilizar la red del proveedor como un vector de ataque para acceder a varios destinos a la vez.

Por ejemplo, en 2020, los agentes estatales rusos piratearon al proveedor de software SolarWinds y distribuyeron programas maliciosos a sus clientes bajo la apariencia de una actualización de software (enlace externo a ibm.com). El malware permitió a los espías rusos acceder a los datos confidenciales de varias agencias gubernamentales de EE. UU. utilizar los servicios de SolarWinds, incluidos los departamentos del Tesoro, Justicia y Estado. 

Otros tipos de ciberataques
Script entre sitios (XSS) 

Los ataques de secuencias de comandos entre sitios (XSS) insertan código malicioso en una página web o aplicación web legítima. Cuando un usuario visita el sitio o la aplicación, el código se ejecuta automáticamente en el navegador web del usuario, generalmente robando información confidencial o redirigiendo al usuario a un sitio web malicioso falsificado. Los atacantes suelen utilizar JavaScript para ataques XSS.

Inyección SQL

Los ataques de inyección SQL usan lenguaje de consulta estructurado (SQL) para enviar comandos maliciosos a la base de datos back-end de un sitio web o aplicación. Los hackers ingresan los comandos a través de campos orientados al usuario como barras de búsqueda y ventanas de inicio de sesión. Los comandos se pasan a la base de datos, solicitándole que devuelva datos privados como números de tarjetas de crédito o detalles del cliente.

Túnel DNS

El túnel DNS oculta el tráfico malicioso dentro de los paquetes DNS, lo que le permite eludir los firewalls y otras medidas de seguridad. Los ciberdelincuentes utilizan el túnel DNS para crear canales de comunicación secretos, que pueden utilizar para extraer datos de forma silenciosa o establecer conexiones entre el malware y un servidor de comando y control (C&C).

Exploits de día cero

Los exploits de día cero aprovechan las vulnerabilidades de día cero, que son vulnerabilidades desconocidas para la comunidad de seguridad o identificadas pero aún no parcheadas. Estas vulnerabilidades pueden existir durante días, meses o años antes de que los desarrolladores las conozcan, lo que las convierte en objetivos prioritarios para los piratas informáticos.

Ataques sin archivos

Los ataques sin archivos utilizan vulnerabilidades en programas de software legítimos para inyectar código malicioso directamente en la memoria de una computadora. Los ciberdelincuentes a menudo usan PowerShell, una herramienta de scripting integrada en los sistemas operativos Microsoft Windows, para ejecutar scripts maliciosos que cambian configuraciones o roban contraseñas.

Suplantación de DNS

Los ataques de suplantación de DNS, también llamados "envenenamiento de DNS", editan secretamente los registros DNS para reemplazar la dirección IP real de un sitio web con una falsa. Cuando las víctimas intentan visitar el sitio real, se entregan sin saberlo a una copia maliciosa que roba sus datos o propaga malware. 

Prevención, detección y respuesta a ciberataques

Las organizaciones pueden reducir los ciberataques implantando sistemas y estrategias de ciberseguridad. La ciberseguridad es la práctica de proteger los sistemas cruciales y la información sensible de los ataques digitales mediante una combinación de tecnología, personas y procesos. 

Prevención de ciberataques

Muchas organizaciones implementan una estrategia de gestión de amenazas para identificar y proteger sus activos y recursos más importantes. La gestión de amenazas puede incluir políticas y soluciones de seguridad como:

  • Las plataformas y políticas de gestión de identidades y accesos (IAM), incluidas las políticas de acceso con privilegios mínimos, autenticación multifactor y contraseñas seguras, pueden ayudar a garantizar que solo las personas adecuadas tengan acceso a los recursos correctos. Las empresas también pueden exigir que los empleados remotos utilicen redes privadas virtuales (VPN) cuando accedan a recursos confidenciales a través de wifi no seguro.
     
  • Una plataforma integral de seguridad de datos y herramientas de prevención de pérdida de datos (DLP) pueden cifrar datos confidenciales, monitorizar su acceso y uso, y generar alertas cuando se detecta actividad sospechosa. Las organizaciones también pueden hacer copias de seguridad periódicas de los datos para minimizar los daños si se produce una brecha.

  • Los cortafuegos pueden ayudar a impedir que los actores de amenazas ingresen a la red en primer lugar. Los cortafuegos también pueden bloquear el tráfico malicioso que sale de la red, como el malware que intenta comunicarse con un servidor de comando y control.
     
  • La formación en concienciación sobre seguridad puede ayudar a los usuarios a identificar y evitar algunos de los vectores de ciberataque más comunes, como el phishing y otros ataques de ingeniería social.

  • Las políticas de gestión de vulnerabilidades , incluidas las programaciones de gestión de parches y las pruebas de penetración regulares, pueden ayudar a detectar y cerrar vulnerabilidades antes de que los hackers puedan aprovecharlas.

  • Las herramientas de gestión de la superficie de ataque (ASM) pueden identificar, catalogar y corregir los activos potencialmente vulnerables antes de que los ciberatacantes los encuentren.

  • Las herramientas unificadas de gestión de endpoints (UEM) pueden aplicar políticas y controles de seguridad en todos los endpoints de la red corporativa, incluidos portátiles, equipos de escritorio y dispositivos móviles.
Detección de ciberataques

Es imposible evitar completamente los intentos de ciberataques, por lo que las organizaciones también pueden utilizar la monitorización continua de la seguridad y los procesos de detección temprana para identificar y marcar los ciberataques en curso. Algunos ejemplos son:

  • Los sistemas de gestión de eventos e información de seguridad (SIEM) centralizan y rastrean alertas de diversas herramientas internas de ciberseguridad, incluidos sistemas de detección de intrusiones (IDS), sistemas de detección y respuesta de endpoints (EDR) y otras soluciones de seguridad.

  • Las plataformas de inteligencia sobre amenazas enriquecen las alertas de seguridad para ayudar a los equipos de seguridad a comprender los tipos de amenazas de ciberseguridad a las que se enfrentan.

  • El software antivirus puede analizar regularmente los sistemas informáticos en busca de programas maliciosos y erradicar automáticamente el malware identificado.

  • Los procesos de búsqueda proactiva de amenazas pueden realizar un seguimiento de las ciberamenazas que acechan secretamente en la red, como las amenazas persistentes avanzadas (APT).
Responder a los ciberataques

Las organizaciones también pueden tomar medidas para garantizar una respuesta adecuada a los ciberataques en curso y otros eventos de ciberseguridad. Algunos ejemplos son:

  • Los planes de respuesta a incidentes pueden ayudar a contener y erradicar diversos tipos de ciberataques, restaurar los sistemas afectados y analizar las causas fundamentales para prevenir futuros ataques. Se ha demostrado que los planes de respuesta a incidentes reducen los costes globales de los ciberataques. Según el informe "Cost of a Data Breach", las organizaciones con equipos y planes formales de respuesta a incidentes tienen una media de un 58 % menos de costes de vulneración de datos.

  • Las soluciones de orquestación, automatización y respuesta de seguridad de seguridad (SOAR) pueden permitir a los equipos de seguridad coordinar herramientas de seguridad dispares en guías de estrategias semiautomatizadas o totalmente automatizadas para responder a ciberataques en tiempo real.

  • Las soluciones de detección y respuesta ampliadas (XDR) integran herramientas y operaciones de seguridad en todas las capas de seguridad: usuarios, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Los XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta a ciberataques, incluida la búsqueda proactiva de amenazas.
Soluciones relacionadas
Soluciones de protección contra ransomware

Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza el conocimiento que proporcionan 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing y datos de reputación sobre casi 1 millón de direcciones IP maliciosas de una red de 270 millones de puntos de conexión.

Explore las soluciones de protección contra ransomware
Recursos Informe sobre el coste de la vulneración de datos

El informe Coste de una filtración de datos comparte los conocimientos más recientes sobre el panorama de amenazas en expansión y ofrece recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.

X-Force Threat Intelligence Index

El Índice X-Force Threat Intelligence de IBM Security ofrece a los directores de seguridad de la información (CISO, por su sigla en inglés), equipos de seguridad y líderes empresariales información útil para ayudarles a entender cómo atacan los actores de amenazas y cómo proteger de forma proactiva proactiva a su organización.

Las principales preocupaciones de los líderes del sector por los ciberataques en 2024 y más allá

Los ciberataques son cada vez más sofisticados. Lea sobre las preocupaciones que los líderes del sector tienen por el futuro y los tres enfoques que las organizaciones pueden adoptar para reforzar sus defensas.

Dé el siguiente paso

Los servicios de ciberseguridad de IBM ofrecen servicios de asesoramiento, integración y seguridad gestionada, así como capacidades ofensivas y defensivas. Combinamos un equipo global de expertos con tecnología propia y de socios para crear conjuntamente programas de seguridad personalizados que gestionen el riesgo.

Explore los servicios de ciberseguridad Suscríbase al boletín de Think