¿Qué es un actor de amenazas?
Los actores de amenazas son individuos o grupos que atacan dispositivos digitales, redes o sistemas informáticos
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dibujo isométrico que muestra diferentes trabajadores en oficina, todos usando IBM Security
¿Qué es un actor de amenazas?

Los actores de amenazas, también conocidos como actores de amenazas cibernéticas o actores malintencionados, son individuos o grupos que causan daños intencionadamente a dispositivos o sistemas digitales. Las amenazas se aprovechan de las vulnerabilidades de los sistemas informáticos, las redes y los programas para perpetuar una serie de ciberataques, entre los que se incluyen ataques de phishing, ransomware y malware

Hoy en día, existen muchos tipos de actores de amenazas, todos con diferentes atributos, motivaciones, niveles de habilidad y tácticas.Entre los más comunes se encuentran los hacktivistas, los actores del Estado nación, los ciberdelincuentes, los buscadores de emociones, los actores de amenazas internas y los ciberterroristas.

A medida que aumentan la frecuencia y la gravedad de los ciberdelitos, es cada vez más importante comprender a estos distintos tipos de actores de amenazas para mejorar la ciberseguridad ciberseguridad individual y de las organizaciones.

Tipos de actores de amenazas

El término "actor de la amenaza" es amplio y relativamente general, y se refiere a cualquier persona o grupo que suponga una amenaza para la ciberseguridad.A menudo, los actores de amenazas se clasifican en diferentes categorías en función de su motivación y, en menor medida, de su nivel de sofisticaciónn. 

Cibercriminales

Estos individuos o grupos cometen ciberdelitos, sobre todo para obtener beneficios económicos.Entre los delitos más comunes cometidos por los ciberdelincuentes se encuentran los ataques de ransomware y las estafas de phishing que engañan a la gente para que realice transferencias de dinero o divulgue información sobre tarjetas de crédito, credenciales de acceso, propiedad intelectual u otra información privada o sensible. 

Actores del Estado-nación

Con frecuencia, los Estados y los gobiernos financian a los actores de las amenazas con el objetivo de robar datos sensibles, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades maliciosas a menudo incluyen el espionaje o la ciberguerra y tienden a estar altamente financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar. 

Hacktivistas

Estos actores de amenazas utilizan técnicas de pirateo para promover agendas políticas o sociales, como difundir la libertad de expresión o destapar violaciones de los derechos humanos.Los hacktivistas creen que están provocando un cambio social positivo y se sienten justificados para atacar a individuos, organizaciones o agencias gubernamentales con el fin de revelar secretos u otra información sensible.Un ejemplo bien conocido de grupo hacktivista es Anonymous, un colectivo internacional de hackers que afirma defender la libertad de expresión en Internet.

Buscadores de emociones

Como su nombre indica, la principal motivación de los buscadores de emociones es atacar sistemas informáticos por diversión.Algunos quieren ver cuánta información o datos sensibles pueden robar, otros quieren utilizar la piratería informática para comprender mejor cómo funcionan las redes y los sistemas informáticos.Una clase de buscadores de emociones, los llamados "script kiddies", no tienen conocimientos técnicos avanzados, pero utilizan herramientas y técnicas preexistentes para atacar sistemas vulnerables, principalmente por diversión o satisfacción personal.Aunque no siempre buscan causar daño, los buscadores de emociones pueden causar daños involuntarios al interferir en la ciberseguridad de una red y abrir la puerta a futuros ciberataques. 

Amenazas internas

A diferencia de la mayoría de los demás tipos de actores, los actores de amenazas internas no siempre actúan con mala intención.Algunos perjudican a sus empresas por errores humanos, por ejemplo instalando malware sin darse cuenta o perdiendo un dispositivo proporcionado por la empresa que un ciberdelincuente encuentra y utiliza para acceder a la red.Pero también existen los empleados malintencionados, como los empleados descontentos que abusan de su privilegios de acceso para robar datos con fines lucrativos o dañan datos o aplicaciones como represalia por haber sido rechazados para un ascenso.

Ciberterroristas

Los ciberterroristas lanzan ciberataques por motivos políticos o ideológicos que amenazan o conducen a actos de violencia. Algunos ciberterroristas son agentes del Estado-nación, otros actúan por su cuenta o en nombre de un grupo no gubernamental. 

Objetivos de los actores de amenazas

Las amenazas suelen dirigirse a las grandes organizaciones, ya que disponen de más dinero y de más datos confidenciales, lo que representa un mayor beneficio potencial. 

Sin embargo, en los últimos años, las pequeñas y medianas empresas (PYME) también se han convertido en objetivos frecuentes de los actores de amenazas debido a la relativa debilidad de sus sistemas de seguridad.De hecho, el FBI expresó recientemente su preocupación por el aumento del número de ciberdelitos cometidos contra las pequeñas empresas, e informó de que solo en 2021, estas perdieron 6900 millones de dólares como consecuencia de los ciberataques, lo que supone un incremento del 64% respecto al año anterior (enlace externo).

Del mismo modo, las amenazas se dirigen cada vez más a particulares y hogares por sumas más pequeñas.Por ejemplo, podrían irrumpir en redes domésticas y sistemas informáticos para robar información de identidad personal, contraseñas y otros datos potencialmente valiosos y sensibles.De hecho, las estimaciones actuales sugieren que uno de cada tres hogares estadounidenses con ordenadores está infectado con algún tipo de malware (enlace externo). 

Los actores de amenazas no discriminan. Aunque tienden a ir a por los objetivos más interesantes o significativos, también aprovecharán cualquier punto débil de la ciberseguridad, esté donde esté, contribuyendo a que el panorama de las amenazas sea cada vez más costoso y complejo.

Tácticas de los actores de amenazas

Los autores de las amenazas despliegan una combinación de tácticas al ejecutar un ciberataque, recurriendo más a unas que a otras en función de su motivación principal, sus recursos y el objetivo previsto. 

Malware

El malware es software que daña o bloquea los ordenadores.El malware suele propagarse a través de adjuntos de correo electrónico, sitios web infectados o software comprometido, y pueden ayudar a los autores de las amenazas a robar datos, hacerse con el control de los sistemas informáticos y atacar a otros ordenadores. Entre los tipos de malware se encuentran los virus, los gusanos y los troyanos, que se descargan en los ordenadores haciéndose pasar por programas legítimos. 

Más información sobre malware
Ransomware

El ransomware es un tipo de malware que bloquea los datos o el dispositivo de la víctima y amenaza con no desbloquear nada, o algo peor, a menos que la víctima pague un rescate al hacker.Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión que también amenazan con robar los datos de la víctima y venderlos o filtrarlos en línea. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.

Los ataques de caza mayor (BGH, por sus siglas en inglés) son campañas masivas y coordinadas de ransomware dirigidas a grandes organizaciones (gobiernos, grandes empresas, proveedores de infraestructuras críticas) que tienen mucho que perder en caso de avería y son más propensas a pagar un rescate cuantioso.

Más información sobre ransomware
Phishing

Los ataques de phishing utilizan el correo electrónico, mensajes de texto, mensajes de voz o sitios web falsos para engañar a los usuarios y hacerles compartir datos confidenciales, descargar programas maliciosos o exponerse a la ciberdelincuencia.Los tipos de phishing incluyen

  • Spear phishing, un ataque de phishing que se dirige a una persona o grupo de personas específicos con mensajes que parecen proceder de remitentes legítimos que tienen relación con el objetivo.

  • Correo electrónico empresarial comprometido, un ataque de spear phishing que envía a la víctima un correo electrónico fraudulento desde la cuenta de correo electrónico de un miembro del personal, cuya identidad ha sido robada o usurpada.

  • Whale phishing, un ataque de phising dirigido específicamente a altos ejecutivos o directivos de empresas.
Más información sobre el phishing
Ingeniería social

El phishing es una forma de ingeniería social, una categoría de ataques y tácticas que explotan los sentimientos de miedo o urgencia para manipular a las personas con el fin de que cometan nuevos errores que comprometan su seguridad o sus activos personales u organizativos.Esta forma de manipulación puede ser tan sencilla como dejar una memoria USB infectada con malware donde alguien la pueda encuentrar (y decir "¡Oye, una memoria USB gratis!") o pasar meses en una relación amorosa a distancia con la víctima para sacarle el precio de un billete de avión y poder "conocerse por fin".

Dado que laingeniería social explota las debilidades humanas en lugar de las vulnerabilidades técnicas, a veces se denomina "hacking humano".

Más información sobre ingeniería social
Ataques de denegación de servicio

Este tipo de ciberataque consiste en inundar de tráfico una red o un servidor, de modo que los usuarios no puedan acceder a ellos.Un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) utiliza una red distribuida de ordenadores para enviar el tráfico malicioso, creando un ataque que puede abrumar al objetivo más rápidamente y es más difícil de detectar, prevenir o mitigar.

Más información sobre los ataques DDoS
Amenazas persistentes avanzadas

Las amenazas persistentes avanzadas (APT, por sus siglas en inglés) son ciberataques sofisticados que abarcan meses o años en lugar de horas o días.Las APT permiten a los actores de amenazas operar sin ser detectados en la red de la víctima, infiltrándose en los sistemas informáticos, llevando a cabo actividades de espionaje y reconocimiento, aumentando privilegios y permisos (lo que se conoce como movimiento lateral) y robando datos confidenciales. Debido a que pueden ser increíblemente difíciles de detectar y relativamente caras de ejecutar, las APT suelen ser lanzadas por agentes del Estado-nación u otros agentes de amenazas bien financiados.

Ataques de puerta trasera

Un ataque de puerta trasera aprovecha una abertura en un sistema operativo, aplicación o sistema informático que no está protegido por las medidas de ciberseguridad de una organización.A veces, la puerta trasera la crea el desarrollador del software o el fabricante del hardware para permitir actualizaciones, correcciones de errores o (irónicamente) parches de seguridad. Otras veces, los actores de la amenaza crean puertas traseras por su cuenta utilizando malware o pirateando el sistema. Las puertas traseras permiten a los actores de amenazas entrar y salir de los sistemas informáticos sin ser detectados.

Actores de amenazas frente a cibercriminales y hackers

Los términos actor de amenazas, hacker y cibercriminal a menudo se utilizan indistintamente, especialmente en Hollywood y en la cultura popular. Pero existen sutiles diferencias entre estos términos y las relaciones que mantienen entre sí.

  • No todos los actores de amenazas o cibercriminales son hackers. Por definición, un hacker es alguien con los conocimientos técnicos necesarios para poner en peligro una red o un sistema informático. Pero algunos actores de amenazas o ciberdelincuentes no hacen nada más técnico que dejar una unidad USB infectada para que alguien la encuentre y la utilice, o enviar un correo electrónico con un malware adjunto.
     

  • No todos los hackers son actores de amenazas o cibercriminales. Por ejemplo, algunos hackers (denominados hackers éticos) se hacen pasar por ciberdelincuentes para ayudar a organizaciones y organismos públicos a comprobar la vulnerabilidad de sus sistemas informáticos frente a las ciberamenazas.

  • Algunos tipos de actores de amenazas no son ciberdelincuentes por definición o intención, pero lo son en la práctica. Por ejemplo, un buscador de emociones que "solo se divierte" apagando la red eléctrica de una ciudad durante unos minutos, o un hacktivista que exfiltra y publica información gubernamental confidencial por una causa noble, también pueden estar cometiendo un ciberdelito, lo pretendan o no.

 

Avanzarse a los actores de amenazas

A medida que las tecnologías se vuelven más sofisticadas, también lo hace el panorama de las ciberamenazas. Para anticiparse a los actores de amenazas, las organizaciones evolucionan continuamente sus medidas de ciberseguridad y se interesan cada vez más por la inteligencia sobre amenazas. Estas son algunas de las medidas adoptadas por las organizaciones para mitigar el impacto de los actores de amenazas, o incluso detenerlos por completo

  • Formación sobre sensibilización en materia de seguridad.Dado que los actores de las amenazas suelen explorar el error humano, la formación de los empleados es una importante línea de defensa.La formación en materia de seguridad puede abarcar cualquier aspecto, desde no utilizar dispositivos autorizados por la empresa hasta almacenar correctamente las contraseñas, pasando por técnicas para reconocer y tratar los correos electrónicos de phishing.
     

  • Autenticación multifactor y adaptable. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o autenticación adaptativa (requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los hackers obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si pueden robar el usuario.

Las organizaciones también pueden realizar evaluaciones de seguridad periódicas para identificar las vulnerabilidades del sistema. El personal informático interno suele ser capaz de realizar estas auditorías, pero algunas empresas las subcontratan a expertos o proveedores de servicios externos.La actualización periódica del software también ayuda a las empresas y a los particulares a detectar y corregir posibles vulnerabilidades en sus sistemas informáticos.

Soluciones relacionadas
IBM® seguridad QRadar SIEM

Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha los análisis y la IA para supervisar la información sobre amenazas, anomalías en la red y comportamiento de los usuarios, y para priorizar las áreas que requieren atención y acción inmediatas.

Descubra las soluciones SIEM de QRadar

Equipo de respuesta a incidentes de X-Force Force

La caza proactiva de amenazas, la supervisión continua y la investigación en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado.Contar con un equipo de respuesta a incidentes de confianza puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.

Descubra la respuesta ante incidentes de X-Force
Soluciones de protección contra ransomware

Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza el conocimiento que proporcionan 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing y datos de reputación sobre casi 1 millón de direcciones IP maliciosas de una red de 270 millones de puntos de conexión.

Descubra las soluciones de protección contra ransomware
Recursos ¿Qué es un ciberataque?

Los ciberataques son intentos de robar, exponer, alterar, inutilizar o destruir activos ajenos mediante el acceso no autorizado a sistemas informáticos.

Coste de la violación de la seguridad de los datos

En su 17ª edición, este informe comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.

¿Qué es el ransomware?

El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas, hasta que se paga un rescate.

Dé el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para examinar innumerables alertas e incidentes. IBM® Security Qradar SIEM permite corregir amenazas con mayor rapidez, sin afectar a las finanzas de su empresa. QRadar SIEM establece alertas ultrafiables para ayudarle a identificar amenazas que otras soluciones pasan por alto.

Más información sobre QRadar SIEM Solicite una demo de QRadar SIEM