El hacking (también llamado piratería informática) es el uso de medios no convencionales o ilícitos para obtener acceso no autorizado a un dispositivo digital, sistema informático o red informática. El ejemplo clásico es un ciberdelincuente que explota las vulnerabilidades de seguridad para entrar en una red y robar datos.
Pero el hacking no siempre tiene propósitos maliciosos. Un consumidor que manipula su smartphone personal para ejecutar programas personalizados también es, técnicamente hablando, un pirata informático.
Los hackers malintencionados han desarrollado una enorme economía de la ciberdelincuencia, en la que los delincuentes obtienen beneficios iniciando ciberataques, extorsionando a las víctimas o vendiéndose entre sí programas maliciosos y datos robados. Se espera que el coste global de todos los ciberdelitos alcance casi los 24 billones de dólares en 2027.1
Los ataques maliciosos pueden tener consecuencias devastadoras. Las personas se enfrentan al robo de identidad, de dinero y mucho más. Las organizaciones pueden sufrir tiempos de inactividad del sistema, fugas de datos y otros daños que resultan en pérdida de clientes, menores ingresos, daños a la reputación y multas u otros castigos legales. En total, según el informe "Cost of a Data Breach" de IBM, la vulneración de datos cuesta de media a una organización 4,88 millones de dólares.
En el otro extremo del espectro del hacking, la comunidad de la ciberseguridad depende de los hackers éticos (hackers con intenciones útiles y no delictivas) para probar las medidas de seguridad, solucionar los fallos y prevenir las ciberamenazas. Estos hackers éticos se ganan la vida ayudando a las empresas a reforzar sus sistemas de seguridad o trabajando con las fuerzas del orden para acabar con sus homólogos malintencionados.
Un ciberataque es un esfuerzo intencionado para dañar un sistema informático o a sus usuarios, mientras que el hacking es el acto de obtener acceso o control sobre un sistema a través de medios no autorizados. La diferencia clave es que los ciberataques siempre dañan a sus objetivos, pero el hacking puede ser bueno, malo o neutral.
Los actores maliciosos pueden, y a menudo lo hacen, utilizar técnicas de hacking para iniciar ciberataques; por ejemplo, alguien que explota una vulnerabilidad del sistema para irrumpir en una red y plantar ransomware.
Como alternativa, los hackers éticos utilizan técnicas de hacking para ayudar a las organizaciones a reforzar sus defensas. Esto es básicamente lo opuesto a un ciberataque.
Otra distinción importante es que el hacking no siempre es ilegal. Si un hacker tiene permiso del propietario de un sistema, o es el propietario del sistema, su actividad es legal.
Por el contrario, los ciberataques son casi siempre ilegales, ya que no cuentan con el consentimiento del objetivo y pretenden activamente causar daño.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Los hackers se dividen en tres categorías principales según sus motivos y tácticas:
Hackers malintencionados, que se dedican a la piratería para causar daño
Hackers éticos, que se dedican a la piratería para proteger a las empresas de cualquier daño
Hackers vigilantes o de "sombrero gris", que desdibujan las líneas entre el hacking "bueno" y "malo"
Los hackers malintencionados (a veces llamados "hackers de sombrero negro") son ciberdelincuentes que se dedican a la piratería por motivos perversos, perjudicando a sus víctimas para obtener beneficios personales o económicos.
Algunos hackers malintencionados realizan ciberataques directamente, mientras que otros desarrollan código malicioso o exploits para venderlos a otros hackers en la dark web (véanse, por ejemplo, los acuerdos de ransomware como servicio). Pueden trabajar solos o como parte de una banda de ransomware, una red de estafadores u otros grupos organizados.
El dinero es la motivación más común de los hackers malintencionados. Por lo general, "ganan" su sueldo de diversas formas:
Robo de datos confidenciales o personales, como credenciales de inicio de sesión, números de tarjetas de crédito, números de cuentas bancarias, números de la seguridad social, que pueden utilizar para entrar en otros sistemas, cometer robos de identidad o para venderlos.
Según el IBM X-Force Threat Intelligence Index, la exfiltración de datos es el impacto más común de los ciberataques, ya que se produce en el 32 % de ellos.
Extorsión a las víctimas, como el uso de ataques de ransomware o ataques de denegación de servicio distribuido (DDoS) para mantener como rehenes datos, dispositivos u operaciones empresariales hasta que la víctima pague un rescate. La extorsión, que se produce en el 24 % de los incidentes, es el segundo impacto de ataque más común según el Threat Intelligence Index.
Realización de espionaje corporativo por encargo, robando propiedad intelectual u otra información confidencial de los competidores de su empresa cliente.
Los hackers malintencionados a veces tienen motivaciones aparte del dinero. Por ejemplo, un empleado descontento podría piratear el sistema de la empresa para la que trabaja por puro rencor por haber perdido un ascenso.
Los hackers éticos (a veces llamados "hackers de sombrero blanco") utilizan sus habilidades de hacking para ayudar a las empresas a encontrar y corregir vulnerabilidades de seguridad para que los actores de amenazas no puedan explotarlas.
El hacking ético es una profesión legítima. Los hackers éticos trabajan como consultores de seguridad o empleados de las empresas que están hackean. Para generar confianza y demostrar sus habilidades, los hackers éticos obtienen certificaciones de organismos como CompTIA y EC-Council. Siguen un estricto código de conducta. Siempre obtienen permiso antes de proceder al hackeo, no causan daños y mantienen la confidencialidad de sus hallazgos.
Uno de los servicios de hacking ético más comunes son las pruebas de penetración (o “pen testing”), en la que los hackers inician ciberataques simulados contra aplicaciones web, redes u otros activos para encontrar sus debilidades. A continuación, trabajan con los propietarios de los activos para remediar esas debilidades.
Los hackers éticos también pueden realizar evaluaciones de vulnerabilidades, analizar malware para recopilar inteligencia de amenazas o participar en ciclos de vida de desarrollo de software seguro.
Un sombrero gris o hacker de sombrero gris no encaja claramente en los campos ético o malicioso. Estos vigilantes irrumpen en los sistemas sin permiso, pero lo hacen para ayudar a las organizaciones que piratean y tal vez obtener algo a cambio.
El nombre "sombrero gris" hace referencia al hecho de que estos piratas informáticos operan en una zona moral gris. Informan a las empresas de los fallos que encuentran en sus sistemas y pueden ofrecerse a corregir estas vulnerabilidades a cambio de una comisión o incluso de un trabajo. Aunque tengan buenas intenciones, pueden dar accidentalmente pistas a los hackers malintencionados sobre nuevos vectores de ataque.
Algunos programadores aficionados se dedican a la piratería simplemente por diversión o para aprender y ganar notoriedad al vulnerar objetivos difíciles. Por ejemplo, el auge de la IA generativa ha impulsado una oleada de hackers de IA aficionados que experimentan con modelos de IA de jailbreak para obligarlos a hacer cosas nuevas.
Los "hacktivistas" son activistas que piratean sistemas para llamar la atención sobre cuestiones sociales y políticas. El colectivo Anonymous es probablemente el grupo hacktivista más conocido, habiendo organizado ataques contra objetivos de alto perfil como el gobierno ruso y las Naciones Unidas.
Los hackers patrocinados por los estados cuentan con el respaldo oficial de un estado-nación. Trabajan con el gobierno para espiar a los adversarios, perturbar infraestructuras cruciales o difundir información errónea, a menudo en nombre de la seguridad nacional.
Si estos hackers son éticos o maliciosos depende de quien los mire. Pensemos en el ataque de Stuxnet a las instalaciones nucleares iraníes, que se cree obra de los gobiernos de EE. UU. e Israel. Cualquiera que considere el programa nuclear iraní como una amenaza para la seguridad podría considerar ético ese ataque.
En última instancia, lo que hace un hacker es acceder a un sistema de alguna forma que los diseñadores del mismo no tenían previsto. La forma en que lo hagan dependerá de sus objetivos y de los sistemas a los que se dirijan.
Un hackeo puede ser tan sencillo como enviar correos electrónicos de phishing para robar las contraseñas de cualquiera que pique o tan elaborado como una amenaza persistente avanzada (APT) que acecha en una red durante meses.
Algunos de los métodos de hacking más comunes incluyen:
Aunque la gente puede utilizar los sistemas operativos estándar de Mac o Microsoft para el hackeo, muchos piratas informáticos utilizan sistemas operativos (SO) personalizados cargados con herramientas de hackeo hechas a medida, como descifradores de credenciales y escáneres de redes.
Por ejemplo, Kali Linux, una distribución de código abierto de Linux diseñada para pruebas de penetración, es popular entre los hackers éticos.
Los hackers utilizan diversas herramientas para conocer sus objetivos e identificar las debilidades que pueden explotar.
Por ejemplo, los rastreadores de paquetes analizan el tráfico de red para determinar de dónde viene, a dónde va y qué datos contiene. Los escáneres de puertos comprueban de forma remota los dispositivos en busca de puertos abiertos y disponibles a los que los hackers puedan conectarse. Los escáneres de vulnerabilidades buscan vulnerabilidades conocidas, lo que permite a los hackers encontrar rápidamente vías de entrada a un objetivo.
El software malicioso, o malware, es una arma clave en los arsenales de los hackers malintencionados. Según el X-Force Threat Intelligence Index, el 43 % de los ciberataques implican malware.
Algunos de los tipos de malware más comunes son:
El ransomware bloquea los dispositivos o datos y exige el pago de un rescate para desbloquearlos.
Los botnets son redes de dispositivos conectados a internet e infectados por malware bajo el control de un hacker. El malware de botnets suele atacar a los dispositivos de Internet de las cosas (IoT) debido a que su protección suele ser débil. Los hackers utilizan botnets para iniciar ataques de denegación de servicio distribuido (DDoS).
Los troyanos se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios y conseguir que los instalen. Los hackers utilizan troyanos para obtener acceso remoto secreto a dispositivos o descargar otro malware sin que los usuarios lo sepan.
El spyware recopila en secreto información confidencial (como contraseñas o datos de cuentas bancarias) y la transmite de vuelta al atacante.
El malware de infostealing se ha vuelto especialmente popular entre los ciberdelincuentes, ya que los equipos de ciberseguridad han aprendido a desbaratar otras cepas de malware comunes. El Threat Intelligence Index reveló que la actividad de los ladrones de información aumentó un 266 % en 2022–2023.
Los ataques de ingeniería social engañan a las personas para que envíen dinero o datos a los hackers o les concedan acceso a sistemas sensibles. Las tácticas comunes de ingeniería social incluyen:
Ataques de phishing, como las estafas de correo electrónico empresarial comprometido, que utilizan correos electrónicos u otros mensajes fraudulentos.
Ataques de spear phishing dirigidos a personas específicas, a menudo utilizando datos de sus páginas públicas de redes sociales para ganarse su confianza.
Ataques de baiting, en los que los hackers colocan unidades USB infectadas con malware en lugares públicos.
Ataques de scareware, que utilizan el miedo para obligar a las víctimas a hacer lo que el hacker quiere.
Los hackers siempre buscan el camino de menor resistencia y, en muchas redes empresariales, eso significa robar las credenciales de los empleados. Según el IBM X-Force Threat Intelligence Index, el abuso de cuentas válidas es el vector de ciberataque más común, ya que representa el 30 % de todos los incidentes.
Armados con las contraseñas de los empleados, los hackers pueden hacerse pasar por usuarios autorizados y pasar los controles de seguridad. Los hackers pueden obtener credenciales de cuentas a través de varios medios.
Pueden utilizar spyware e infostealers para recopilar contraseñas o engañar a los usuarios para que compartan información de inicio de sesión mediante ingeniería social. Pueden utilizar herramientas de cracking de credenciales para lanzar ataques de fuerza bruta (probando automáticamente posibles contraseñas hasta que una funcione) o incluso comprar credenciales robadas previamente en la dark web.
Al igual que los defensores utilizan ahora la inteligencia artificial (IA) para luchar contra las ciberamenazas, los hackers utilizan la IA para explotar sus objetivos. Esta tendencia se manifiesta de dos maneras: hackers que utilizan herramientas de IA en sus objetivos y hackers que se centran en las vulnerabilidades de las aplicaciones de IA.
Los hackers pueden utilizar la IA generativa para desarrollar código malicioso, detectar vulnerabilidades y crear exploits. En un estudio, los investigadores descubrieron que un modelo de lenguaje de gran tamaño (LLM) ampliamente disponible, como ChatGPT, puede explotar vulnerabilidades de un día en el 87 % de los casos.
Los hackers también pueden utilizar LLM para escribir correos electrónicos de phishing en una fracción del tiempo: cinco minutos frente a las 16 horas que llevaría redactar el mismo correo electrónico de forma manual, según el X-Force Threat Intelligence Index.
Al automatizar partes significativas del proceso de hacking, estas herramientas de IA pueden reducir la barrera de entrada en el campo de la piratería informática, lo que tiene consecuencias tanto positivas como negativas.
En cuanto a la creciente superficie de ataque de la IA , la creciente adopción de aplicaciones de IA ofrece a los hackers más formas de dañar a empresas y particulares. Por ejemplo, los ataques de data poisoning (o envenenamiento de datos) pueden degradar el rendimiento del modelo de IA al introducir datos de baja calidad o sesgados intencionadamente en sus conjuntos de entrenamiento. Las inyecciones de prompts utilizan prompts maliciosos para engañar a los LLM para que divulguen datos confidenciales, destruyan documentos importantes o cosas peores.
Los ataques de intermediario (MITM), también conocidos como adversario en el medio (AITM), implican que los hackers espíen comunicaciones confidenciales entre dos partes, como correos electrónicos entre usuarios o conexiones entre navegadores web y servidores web.
Por ejemplo, un ataque de suplantación de DNS redirige a los usuarios de una página web legítima a otra controlada por el hacker. El usuario cree que está en el sitio real, y el hacker puede robar en secreto la información que comparte.
Los ataques de inyección, como el cross-site scripting (XSS), utilizan scripts maliciosos para manipular aplicaciones y sitios web legítimos. Por ejemplo, en un ataque de inyección SQL, los hackers hacen que los sitios web divulguen datos confidenciales introduciendo comandos SQL en los campos de entrada de usuario de cara al público.
Los ataques sin archivos, también llamados "living off the land", son una técnica en la que los hackers utilizan activos que ya han comprometido para moverse lateralmente a través de una red o causar más daños. Por ejemplo, si un hacker accede a la interfaz de línea de comandos de una máquina, puede ejecutar scripts maliciosos directamente en la memoria del dispositivo sin dejar mucho rastro.
A principios de la década de 1980, un grupo de hackers conocidos como los 414 hackearon varios objetivos, entre ellos el Laboratorio Nacional de Los Álamos y el Sloan-Kettering Cancer Center. Aunque los 414 causaron pocos daños reales, sus ataques motivaron que el Congreso de EE. UU. aprobara la Ley de Fraude y Abuso Informático, que convirtió oficialmente el hacking malintencionado en un delito.
Uno de los primeros gusanos informáticos, el gusano Morris fue liberado en internet en 1988 como un experimento. Causó más daños de los previstos, obligó a desconectar miles de ordenadores y acumuló unos 10 millones de dólares en costes relacionados con el tiempo de inactividad y la corrección.
Robert Tappan Morris, el programador del gusano, fue la primera persona en recibir una condena por delito grave bajo la Ley de Fraude y Abuso Informático.
En 2021, unos hackers infectaron los sistemas de Colonial Pipeline con un ransomware que obligó a la empresa a cerrar temporalmente el oleoducto que suministra el 45 % del combustible de la costa este de Estados Unidos. Los hackers utilizaron la contraseña de un empleado, encontrada en la dark web, para acceder a la red. The Colonial Pipeline Company pagó un rescate de 5 millones de dólares para recuperar el acceso a sus datos.
En 2024, la empresa de sistemas de pago Change Healthcare sufrió una vulneración de datos masiva que afectó a los sistemas de facturación de todo el sector sanitario estadounidense. Los hackers obtuvieron datos personales, datos de pago, registros de seguros y otra información confidencial de millones de personas.
Debido al gran número de transacciones que Change Healthcare ayuda a procesar, se estima que la vulneración afectó a hasta un tercio de todos los estadounidenses. Los costes totales asociados a la vulneración podrían alcanzar los 1000 millones de dólares.
Cualquier organización que se base en sistemas informáticos para funciones críticas (como la mayoría de las empresas) está en riesgo de ser hackeada. No hay forma de mantenerse fuera del radar de los hackers, pero las empresas pueden dificultar su intrusión, reduciendo tanto la probabilidad como los costes de los hackeos realizados con éxito.
Según el informe "Cost of a Data Breach", las credenciales robadas y comprometidas son el vector de ataque más común para las vulneraciones de datos.
Las contraseñas seguras pueden dificultar que los hackers roben credenciales. Las estrictas medidas de autenticación, como la autenticación multifactor (MFA) y los sistemas de gestión de accesos privilegiados (PAM), hacen que los hackers necesiten algo más que una contraseña robada para secuestrar la cuenta de un usuario.
La formación de los empleados en las buenas prácticas de ciberseguridad, como reconocer los ataques de ingeniería social, seguir las políticas de la empresa e instalar controles de seguridad adecuados, puede ayudar a las organizaciones a prevenir más hackeos. Según el informe "Cost of a Data Breach", la formación puede reducir el coste de una vulneración de datos hasta en 258 629 dólares.
Los hackers suelen buscar objetivos fáciles y optan por violar redes con vulnerabilidades conocidas. Un programa formal de gestión de parches puede ayudar a las compañías a mantenerse actualizadas sobre los parches de seguridad de los proveedores de software, lo que dificulta el acceso de los piratas informáticos.
El informe "Cost of a Data Breach" reveló que las organizaciones que realizan grandes inversiones en IA y automatización para la ciberseguridad pueden reducir el coste de una filtración media en 1,88 millones de dólares. También identifican y contienen las vulneraciones 100 días más rápido que las organizaciones que no invierten en IA y automatización.
El informe señala que la IA y la automatización pueden ser especialmente beneficiosas cuando se implementan en flujos de trabajo de prevención de amenazas, como la gestión de la superficie de ataque, el red teaming y la gestión de la postura.
Los firewalls y los sistemas de prevención de intrusiones (IPS) pueden ayudar a detectar y bloquear la entrada de hackers en una red. El software de gestión de información y eventos de seguridad (SIEM) puede ayudar a detectar ataques en curso. Los programas antivirus pueden encontrar y eliminar malware, y las plataformas de respuesta y detección de endpoints (EDR) pueden automatizar las respuestas incluso ante ataques complejos. Los empleados remotos pueden utilizar redes privadas virtuales (VPN) para reforzar la seguridad de la red y proteger el tráfico de los fisgones.
Las organizaciones con control centralizado sobre los datos, independientemente de dónde residan, pueden identificar y contener las vulneraciones con mayor rapidez que las organizaciones sin dicho control, según el informe "Cost of a Data Breach".
Herramientas como las soluciones de gestión de la posición de seguridad de datos, las soluciones de prevención de pérdida de datos (DLP), las soluciones de cifrado y las copias de seguridad seguras pueden ayudar a proteger los datos en tránsito, en reposo y en uso.
Los hackers éticos son una de las mejores defensas contra los hackers malintencionados. Los hackers éticos pueden utilizar evaluaciones de vulnerabilidades, pruebas de penetración, red teaming y otros servicios para encontrar y corregir vulnerabilidades del sistema y problemas de seguridad de la información antes de que los hackers y las ciberamenazas puedan explotarlos.
12023 was a big year for cybercrime—here’s how we can make our systems safer [2023 fue un gran año para la ciberdelincuencia: así podemos hacer que nuestros sistemas sean más seguros]. Foro Económico Mundial. 10 de enero de 2024. (Enlace externo a ibm.com).