¿Qué es un actor de amenazas?

Hoy en día, existen muchos tipos de actores de amenazas, todos con diferentes atributos, motivaciones, niveles de habilidad y tácticas. Entre los más comunes se encuentran los hacktivistas, los actores del estados-nación, los ciberdelincuentes, los buscadores de emociones, los actores de amenazas internas y los ciberterroristas.

A medida que aumentan la frecuencia y la gravedad de los ciberdelitos, es cada vez más importante comprender a estos distintos tipos de actores de amenazas para mejorar la ciberseguridad individual y de las organizaciones.

El término actor de amenazas es amplio y relativamente general, extendiéndose a cualquier persona o grupo que suponga una amenaza para la ciberseguridad. Los actores de amenazas suelen clasificarse en diferentes tipos en función de su motivación y, en menor medida, de su nivel de sofisticación.

Estos individuos o grupos cometen ciberdelitos sobre todo para obtener beneficios económicos. Entre los delitos más comunes que cometen los ciberdelincuentes se incluyen los ataques de ransomware y las estafas de phishing que engañan a las personas para que realicen transferencias de dinero o divulguen información sobre tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o sensible.

Los estados-nación y los gobiernos financian con frecuencia a los actores de amenazas con el objetivo de robar datos sensibles, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades maliciosas incluyen a menudo el espionaje o la guerra cibernética y suelen estar muy financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar.

Estos actores de amenazas utilizan técnicas de pirateo para promover agendas políticas o sociales, como difundir la libertad de expresión o destapar violaciones de los derechos humanos. Los hacktivistas creen que están provocando un cambio social positivo y se sienten justificados al atacar a individuos, organizaciones o agencias gubernamentales con el fin de revelar secretos u otra información sensible. Un ejemplo bien conocido de grupo hacktivista es Anonymous, un colectivo internacional de piratas informáticos que afirma defender la libertad de expresión en Internet.

Como su nombre indica, la principal motivación de los buscadores de emociones es atacar sistemas informáticos y de información por diversión. Algunos quieren ver cuánta información o datos confidenciales pueden robar. Otros quieren utilizar la piratería informática para comprender mejor cómo funcionan las redes y los sistemas informáticos. Una clase de buscadores de emociones, los llamados "script kiddies", no tienen habilidades técnicas avanzadas, pero utilizan herramientas y técnicas preexistentes para atacar sistemas vulnerables, principalmente por diversión o satisfacción personal. Aunque no siempre buscan causar daño, los buscadores de emociones pueden causar daños involuntarios al interferir en la ciberseguridad de una red y abrir la puerta a futuros ciberataques.

A diferencia de la mayoría de los demás tipos de actores, los actores de amenazas internas no siempre actúan con mala intención. Algunos perjudican a sus empresas por errores humanos, como la instalación involuntaria de malware o la pérdida de un dispositivo proporcionado por la empresa que un ciberdelincuente encuentra y utiliza para acceder a la red. Pero los usuarios internos negligentes existen. Por ejemplo, el empleado descontento que abusa de los privilegios de acceso para robar datos con fines lucrativos o inflige daños a datos o aplicaciones como represalia por haber sido rechazado para un ascenso.

Los ciberterroristas lanzan ciberataques por motivos políticos o ideológicos que amenazan con violencia o desembocan en ella. Algunos ciberterroristas son agentes de estados-nación; otros actúan por su cuenta o en nombre de un grupo no gubernamental.

Los actores de amenazas suelen dirigirse a las grandes organizaciones, ya que disponen de más dinero y de más datos confidenciales, lo que representa un mayor beneficio potencial.

Sin embargo, en los últimos años, las pequeñas y medianas empresas (pymes) también se han convertido en objetivos frecuentes de los actores de amenazas debido a sus sistemas de seguridad relativamente más débiles. De hecho, el FBI citó recientemente su preocupación por el aumento de las tasas de ciberdelitos que se cometen contra las pequeñas empresas, compartiendo que solo en 2021, las pequeñas empresas perdieron 6900 millones de dólares a causa de los ciberataques, un aumento del 64 % con respecto al año anterior.

Del mismo modo, los actores de las amenazas se dirigen cada vez más a individuos y hogares por sumas más pequeñas. Por ejemplo, podrían irrumpir en redes y sistemas informáticos domésticos para robar información de identidad personal, contraseñas y otros datos potencialmente valiosos y sensibles. De hecho, las estimaciones actuales sugieren que uno de cada tres hogares estadounidenses con ordenadores está infectado con malware.

Los actores de amenazas no discriminan. Aunque tienden a ir a por los objetivos más interesantes o significativos, también aprovecharán cualquier punto débil de la ciberseguridad, esté donde esté, contribuyendo a que el panorama de las amenazas sea cada vez más costoso y complejo.

Los actores de las amenazas implementan una mezcla de tácticas cuando ejecutan un ciberataque, apoyándose más en unas que en otras, dependiendo de su motivación principal, sus recursos y el objetivo previsto.

El malware es software que daña o bloquea los ordenadores. El malware es un software malicioso que daña o inutiliza los ordenadores. El malware suele propagarse a través de adjuntos de correo electrónico, sitios web infectados o software comprometido y puede ayudar a los actores de amenazas a robar datos, tomar el control de sistemas informáticos y atacar a otros ordenadores. Los tipos de malware incluyen virus, gusanos y troyanos, que se descargan en los ordenadores disfrazados de programas legítimos.

El ransomware es un tipo de malware que bloquea los datos o el dispositivo de la víctima y amenaza con mantenerlos bloqueados, o peor, a menos que la víctima pague un rescate al atacante. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión que también amenazan con robar los datos de la víctima y venderlos o filtrarlos en Internet. Según el IBM X-Force Threat Intelligence Index, los ataques de ransomware representan el 20 % de todos los ataques de malware.

Los ataques de caza mayor (BGH) son campañas masivas y coordinadas de ransomware que se dirigen a grandes organizaciones, incluidos gobiernos, grandes empresas y proveedores de infraestructuras críticas que tienen mucho que perder con una interrupción del servicio y son más propensos a pagar un rescate cuantioso.

Los ataques de phishing utilizan el correo electrónico, los mensajes de texto, los mensajes de voz o los sitios web falsos para engañar a los usuarios con el fin de que compartan datos confidenciales, descarguen programas maliciosos o se expongan a la ciberdelincuencia. Los tipos de phishing incluyen:

• Spear phishing, un ataque de phishing que se dirige a un individuo o grupo de individuos específicos con mensajes que parecen proceder de remitentes legítimos que tienen relación con el objetivo.

• Compromiso del correo electrónico empresarial, un ataque de phishing dirigido que envía a la víctima un correo electrónico fraudulento desde la cuenta de correo electrónico suplantada o secuestrada de un compañero de trabajo o colega.
  
  
• Whale phishing, un ataque de phishing dirigido específicamente a ejecutivos de alto nivel o directivos de empresas.

El phishing es una forma de ingeniería social, una clase de ataques y tácticas que explotan los sentimientos de miedo o urgencia para manipular a las personas para que cometan otros errores que comprometan sus activos o su seguridad personal u organizacional. La ingeniería social puede ser tan sencilla como dejar una unidad USB infectada con malware donde alguien la encuentre (porque "¡Ey, un pen drive gratis!"), o tan compleja como pasarse meses cultivando una relación romántica a larga distancia con la víctima para estafarle el billete de avión y poder "encontrarse por fin".

Dado que la ingeniería social explota las debilidades humanas en lugar de las vulnerabilidades técnicas, a veces se denomina "piratería humana".

Este tipo de ciberataque consiste en inundar de tráfico una red o un servidor, de modo que los usuarios no puedan acceder a ellos. Un ataque de denegación de servicio distribuido (DDoS) utiliza una red distribuida de ordenadores para enviar el tráfico malicioso, y crea un ataque que puede abrumar al objetivo más rápidamente y es más difícil de detectar, prevenir o mitigar.

Las amenazas persistentes avanzadas (APT) son ciberataques sofisticados que abarcan meses o años en lugar de horas o días. Las APT permiten a los actores de amenazas operar sin ser detectados en la red de la víctima, infiltrándose en los sistemas informáticos, llevando a cabo espionaje y reconocimiento, escalando privilegios y permisos (lo que se denomina movimiento lateral) y robando datos confidenciales. Debido a que pueden ser increíblemente difíciles de detectar y relativamente caras de ejecutar, las APT suelen ser iniciadas por actores de estados-nación u otros actores de amenazas bien financiados.

Un ataque de puerta trasera explota una abertura en un sistema operativo, una aplicación o un sistema informático que no está protegido por las medidas de ciberseguridad de una organización. A veces, la puerta trasera es creada por el desarrollador del software o el fabricante del hardware para permitir actualizaciones, correcciones de errores o (irónicamente) parches de seguridad; otras veces, los actores de la amenaza crean puertas traseras propias utilizando malware o pirateando el sistema. Las puertas traseras permiten a los actores de amenazas entrar y salir de los sistemas informáticos sin ser detectados.

Los términos actor de amenazas, hacker y ciberdelincuente a menudo se utilizan indistintamente, especialmente en Hollywood y en la cultura popular. Pero existen sutiles diferencias entre estos términos y las relaciones que mantienen entre sí.

• No todos los actores de amenazas o ciberdelincuentes son hackers. Por definición, un hacker es alguien con las habilidades técnicas necesarias para comprometer una red o un sistema informático. Pero algunos actores de amenazas o ciberdelincuentes no hacen nada más técnico que dejar una unidad USB infectada para que alguien la encuentre y la utilice, o enviar un correo electrónico con un malware adjunto.

• No todos los hackers son actores de amenazas o ciberdelincuentes. Por ejemplo, algunos hackers, llamados hackers éticos, se hacen pasar esencialmente por ciberdelincuentes para ayudar a las organizaciones y a las agencias gubernamentales a comprobar la vulnerabilidad de sus sistemas informáticos frente a las ciberamenazas.

• Ciertos tipos de actores de amenazas no son ciberdelincuentes por definición o intención, pero lo son en la práctica. Por ejemplo, un buscador de emociones que "simplemente se está divirtiendo" podría apagar la red eléctrica de una ciudad durante unos minutos. Del mismo modo, un hacktivista que extrae y publica información confidencial del gobierno en nombre de una causa noble puede estar cometiendo un ciberdelito, independientemente de sus intenciones o creencias.

A medida que la tecnología se vuelve más sofisticada, también lo hace el panorama de las ciberamenazas. Para ir por delante de los actores de amenazas, las organizaciones evolucionan continuamente sus medidas de ciberseguridad y se vuelven más hábiles con la inteligencia sobre amenazas. Algunos pasos que las organizaciones toman para mitigar el impacto de los actores de amenazas, o incluso prevenirlos por completo, incluyen:

• Formación sobre concienciación en materia de seguridad. Dado que los actores de las amenazas suelen explotar el error humano, la formación de los empleados es una importante línea de defensa. La formación sobre concienciación en materia de seguridad puede abarcar cualquier aspecto, desde no utilizar dispositivos autorizados por la empresa hasta almacenar correctamente las contraseñas, pasando por las técnicas para reconocer correos electrónicos de phishing y hacerles frente.
   

• La autenticación multifactor y adaptativa. La implementación de la autenticación multifactor requiere que los usuarios proporcionen una o más credenciales, además del nombre de usuario y la contraseña. Del mismo modo, la autenticación adaptativa solicita credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones, lo que impide el acceso de los piratas informáticos a las cuentas de correo electrónico, incluso aunque hayan conseguido robar la contraseña del usuario.

• Soluciones de seguridad para endpoints. Estas abarcan desde el software antivirus, que detecta y detiene el malware y los virus conocidos, hasta herramientas como las soluciones de detección y respuesta de endpoints (EDR), que utilizan inteligencia artificial (IA) y análisis para ayudar a los equipos de seguridad a detectar amenazas que superan el software tradicional de seguridad de endpoints y responder a ellas.
  
  
• Tecnologías de seguridad de redes. La tecnología de seguridad de red fundamental es el firewall, que impide que el tráfico sospechoso entre o salga de una red a la vez que permite el paso del tráfico legítimo. Otras tecnologías son los sistemas de prevención de intrusiones (IPS), que vigilan la red en busca de amenazas potenciales e intervienen para detenerlas, y la detección y respuesta de red (NDR), que utiliza IA, machine learning y análisis del comportamiento para ayudar a los profesionales de la seguridad a detectar y automatizar las respuestas a las ciberamenazas.

• Software de seguridad empresarial. Estas soluciones pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) a detectar e interceptar actividades anómalas o maliciosas en todos los dominios de la infraestructura de TI: endpoints, correo electrónico, aplicaciones, la red y cargas de trabajo en la nube. Incluyen (pero no se limitan a) la orquestación, automatización y respuesta de seguridad (SOAR), la gestión de incidentes y eventos de seguridad (SIEM) y la detección y respuesta ampliadas (XDR).

Las organizaciones también pueden realizar evaluaciones de seguridad periódicas para identificar las vulnerabilidades del sistema. El personal interno de TI es capaz de realizar estas auditorías, pero algunas empresas las subcontratan a expertos o proveedores de servicios externos. La actualización periódica del software también ayuda a las empresas y a los particulares a detectar y corregir posibles vulnerabilidades en sus sistemas informáticos.