¿Qué es un vector de ataque?

By Alice Gomstyn and Alexandra Jonker

Definición de vector de ataque

Un vector de ataque es una vía o método a través del cual los hackers obtienen acceso no autorizado a los sistemas objetivo para cometer un ciberataque. Los vectores de ataque comunes incluyen ataques de ingeniería social, amenazas internas y compromisos de la cadena de suministro.

 

En conjunto, los vectores de ataque de una organización (también conocidos como vectores de amenaza) y las vulnerabilidades de ciberseguridad comprenden su superficie de ataque. Las superficies de ataque se han ampliado a medida que las empresas se embarcan en la transformación digital, como la adopción de la inteligencia artificial (IA), la migración a la nube y a los centros de datos, el uso de dispositivos del Internet de las cosas y la habilitación del trabajo remoto. Con tantos activos que ahora forman parte de escenarios tecnológicos cada vez más complejos y descentralizados, los delincuentes cibernéticos tienen más puntos de entrada a través de los cuales infiltrar redes y sistemas operativos.

Mientras tanto, el alcance y la sofisticación de los vectores de ataque también han evolucionado. Los actores de amenazas usan las tecnologías más nuevas, como la IA, para manipular a los usuarios y eludir las medidas de seguridad convencionales.

Afortunadamente, los equipos de seguridad empresarial pueden aprovechar las disciplinas de ciberseguridad, como la gestión de la superficie de ataque (ASM), para frustrar a estos atacantes. La ASM ayuda a las organizaciones a identificar posibles métodos de ataque y defenderse contra los vectores de ataque, pasos clave para mitigar el riesgo de ciberseguridad.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

¿Por qué es importante comprender los vectores de ataque?

En epidemiología, los vectores son agentes que transmiten enfermedades infecciosas. Pueden variar desde seres vivos (mosquitos, murciélagos) hasta objetos inanimados (jeringas, papel moneda).1 Comprender estos vectores fundamenta los esfuerzos de prevención y transmisión de enfermedades en el ámbito de la salud pública.

Del mismo modo, comprender la versatilidad de los vectores de ciberataque ayuda a las organizaciones (y a los profesionales de ciberseguridad que trabajan con ellas) a diseñar y desplegar estrategias y herramientas para la detección y corrección de amenazas cibernéticas.

Sin dicha detección y corrección, pueden producirse graves consecuencias. Los vectores de ataque suelen permitir filtraciones de datos, en las que los actores de amenazas acceden a información sensible o confidencial.

Según el Informe del costo de una filtración de datos 2025 de IBM, el costo promedio de una filtración de datos es de 4.44 millones de dólares. Los costos se derivan de las investigaciones y auditorías de violaciones; la notificación de las filtraciones a los clientes, organismos reguladores y stakeholders; acuerdos y honorarios legales; y la pérdida de clientes. Los incidentes tienden a ser especialmente costosos en campos altamente regulados donde las filtraciones de datos pueden resultar en multas regulatorias. Por ejemplo, según el informe de IBM, el costo promedio de una filtración de datos de atención médica en 2025 es de 7.42 millones de dólares.

Los hackers también pueden desplegar vectores de ataque para deshabilitar o destruir activos, causando importantes interrupciones comerciales y económicas. En septiembre de 2025, por ejemplo, un ciberataque contra los sistemas de registro de los aeropuertos provocó cancelaciones y retrasos en los vuelos de los aeropuertos de las principales ciudades europeas. A principios de ese mismo mes, un ciberataque obligó el cierre durante varias semanas de un gran fabricante de automóviles británico.

¿Cómo están evolucionando los vectores de ataque?

Al igual que ocurre con los patógenos mutantes, el escenario de las amenazas cibernéticas está en constante evolución. Por ejemplo, hace dos décadas, el vector de ataque responsable de aproximadamente la mitad de las filtraciones de datos era un dispositivo perdido o extraviado, como una computadora portátil o una unidad flash. Hoy en día, el robo de dispositivos representa menos del 10 % de todas las filtraciones de datos, con una serie de otros vectores, desde el phishing hasta las cadenas de suministro comprometidas, implicados en el resto, según el Informe del costo de una filtración de datos 2025 de IBM.

Los delincuentes cibernéticos están utilizando la nueva tecnología para optimizar su enfoque hacia los vectores. Por ejemplo, están desplegando cada vez más la IA para crear correos electrónicos y sitios web de phishing convincentes, entre otras actividades engañosas. Según el Informe del costo de una filtración de datos 2025 de IBM, en promedio, el 16 % de las filtraciones de datos involucró a atacantes que utilizaron IA, la mayoría de las veces para phishing generado por IA (37 %) y ataques de suplantación de deepfake (35 %).

Los hackers también están navegando por la dark web para comprar software de delito como servicio (CaaS) para impulsar actividades de delincuencia cibernética que van desde el uso de spyware hasta el descifrado de contraseñas. Equipados con herramientas avanzadas, “los adversarios cibernéticos que cambian de forma obtienen más acceso, se mueven más fácilmente a través de las redes y crean nuevos puestos de avanzada en relativa oscuridad”, según el IBM® X-Force Threat Intelligence Index 2025.

El seguimiento de los vectores de ataque en evolución de los actores de amenazas puede ayudar a las empresas a contrarrestarlos. “Cuanto más sepa sobre lo que están haciendo los hackers, mejor podrá desempeñarse en la creación de defensas”, explicó Jeff Crume, ingeniero distinguido de seguridad de IBM, en un video reciente de IBM Technology. “La información es poder”.

Tipos comunes de vectores de ataque

Si bien las diferentes organizaciones clasifican los vectores de ataque de diferentes maneras, las categorías comunes incluyen:

  • Ingeniería social
  • Compromiso entre proveedores externos y la cadena de suministro
  • Denegación del servicio
  • Credenciales comprometidas
  • Amenazas internas
  • Explotación de vulnerabilidades
  • Malware
  • Ataques físicos

Ingeniería social

Los ataques de ingeniería social manipulan a las personas haciéndoles creer que se están comunicando con una parte de confianza y las convencen de comprometer la seguridad de sus datos personales (contraseñas bancarias, números de tarjetas de crédito) o activos organizacionales (información patentada, secretos comerciales).  

Uno de los ataques de ingeniería social más comunes es el phishing, que implica el uso de correos electrónicos fraudulentos, mensajes de texto, llamadas telefónicas o sitios web. En el Informe del costo de una filtración de datos 2025 de IBM, el phishing se clasificó como el vector más común para las filtraciones de datos, ya que representa el 16 % de las filtraciones a un costo promedio de 4.8 millones de dólares por ataque. Los ataques de phishing a menudo implican suplantación de identidad, en la que un atacante disfraza sus direcciones de correo electrónico u otros métodos de comunicación para hacerse pasar por una fuente de confianza.

Compromiso entre los proveedores externos y la cadena de suministro

Los hackers intentarán infiltrarse en proveedores externos para obtener acceso a sus socios, lo que convierte a las cadenas de suministro en un objetivo popular para los ciberataques. Los ecosistemas modernos de la cadena de suministro son cada vez más vulnerables debido a sus sistemas digitales y tecnologías de comunicación, que crean una amplia superficie de ataque.

Los ciberataques a la cadena de suministro pueden detener la producción, interrumpir el transporte y la logística, dañar la infraestructura crítica, robar propiedad intelectual, entre otras cosas. Según el Informe del costo de una filtración de datos 2025 de IBM, el compromiso de la cadena de suministro es el segundo vector más frecuente de filtraciones de datos, así como el segundo más costoso en promedio, con 4.91 millones de dólares por ataque.

Los ataques contra las cadenas de suministro de software, en particular, han suscitado una preocupación en aumento a medida que más empresas dependen del software de código abierto para sus sistemas informáticos. Según un estudio, las amenazas a la cadena de suministro de software procedentes de repositorios de paquetes de código abierto aumentaron en un 1300 % en tres años.2

Denegación del servicio

Los ataques de denegación del servicio (DoS) son ataques cibernéticos que ralentizan o detienen las aplicaciones o servicios. La mayoría de las veces, los incidentes de DoS se manifiestan como atacantes que inundan un servidor de red con tráfico, lo que en última instancia sobrecarga el servidor y evita que procese solicitudes legítimas. Según el Informe del costo de una filtración de datos 2025 de IBM, los ataques de denegación del servicio representaron más del 12 % de las filtraciones de datos.

Un tipo poderoso de ataque de denegación del servicio (DoS) es un ataque de denegación distribuida del servicio (DDoS). En un ataque de DDoS, el tráfico de ataque proviene de múltiples fuentes a la vez, lo que puede dificultar su reconocimiento y defensa. Los ataques de DDoS a menudo se llevan a cabo a través de botnets, que son grupos de dispositivos conectados que los hackers han secuestrado para sus actividades delictivas.

Credenciales comprometidas

Los ataques con credenciales comprometidas se producen cuando los hackers obtienen acceso no autorizado a un sistema mediante las credenciales de inicio de sesión de usuarios legítimos, como nombres de usuario y contraseñas. Según el IBM X-Force Threat Intelligence Index, el 30 % de los ciberataques implican el robo y el abuso de cuentas válidas.

Los hackers tienen diferentes opciones para lanzar ataques con credenciales comprometidas. Por ejemplo, pueden usar credenciales de usuario robadas reveladas durante filtraciones de datos anteriores o desplegar phishing para persuadir a las víctimas de que compartan las credenciales. También pueden usar ataques de fuerza bruta, que aprovechan la potencia de cálculo y la automatización para deducir contraseñas mediante prueba y error, siendo generalmente más fácil identificar las contraseñas débiles.

Amenazas internas

Las amenazas de usuarios internos son amenazas de ciberseguridad que se originan de usuarios autorizados, como empleados, contratistas y asociados de negocios que intencional o accidentalmente hacen mal uso del acceso legítimo, o cuyas cuentas son secuestradas por delincuentes cibernéticos.

Existen varios tipos de amenazas de usuarios internos, incluyendo usuarios internos maliciosos (empleados descontentos con intención de venganza), usuarios internos negligentes (empleados que crean amenazas a la seguridad por ignorancia o negligencia) y usuarios internos comprometidos (empleados a los que les roban las credenciales).

Según el Informe del costo de una filtración de datos 2025 de IBM, los ataques de usuarios internos maliciosos se destacan como la causa más costosa de filtraciones de datos entre todos los vectores de ataque, con 4.92 millones de dólares por incidente.

Explotación de vulnerabilidades

La explotación de vulnerabilidades ocurre cuando los actores de amenazas internos o externos explotan las debilidades de seguridad en el entorno digital de una organización. Según el X-Force Threat Intelligence Index, la explotación de vulnerabilidades en aplicaciones públicas es uno de los principales vectores de ciberataques.

Algunos ejemplos de vulnerabilidades son:

  • Software sin parches: debilidades de seguridad que ocurren cuando no se aplicaron parches (la aplicación de actualizaciones de software).

  • Configuración incorrecta: los puertos de red, canales, puntos de acceso inalámbricos, cortafuegos o protocolos configurados incorrectamente sirven como puntos de entrada para los hackers.

  • Vulnerabilidades de puertos abiertos: los atacantes explotan las debilidades de los endpoints de comunicación de la red.

  • Vulnerabilidades de inyección SQL: los atacantes utilizan consultas especialmente diseñadas para acceder a los datos.

  • Cross-site scripting (XSS): una aplicación web maneja incorrectamente la entrada del usuario, lo que permite a los atacantes inyectar scripts maliciosos en las páginas web.

A pesar de la existencia de catálogos de vulnerabilidades de seguridad, como la lista de Vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés), muchas vulnerabilidades siguen siendo desconocidas y no se abordan. Estas debilidades de seguridad se denominan vulnerabilidades de día cero porque un proveedor de software o de dispositivos tiene cero días para arreglar la falla antes de que los actores maliciosos puedan usarla. Los ataques resultantes se conocen como ataques de día cero.

Malware

Aunque el malware, o software malicioso, suele ser un componente de otros vectores de ataque (como compromisos de ingeniería social o cadena de suministro) también puede considerarse como una categoría de vector independiente. En 2024, el ransomware representaba la mayor parte de casos de malware (28 %), según el IBM X-Force Threat Intelligence Index.

Otros ejemplos de malware incluyen el malware de acceso remoto (que proporciona acceso remoto a los hackers), los caballos de Troya (programas maliciosos disfrazados de útiles) y el spyware (programas que recopilan información confidencial y la envían a los hackers).

El malware infostealer, que está diseñado para robar información valiosa, es una amenaza en aumento en el espacio. Según el X-Force Threat Intelligence Index, el número de infostealers entregados semanalmente a través de correos electrónicos de phishing ha aumentado en un 84 %.

Ataques físicos

Si bien los hackers tienen una gran cantidad de herramientas digitales a su disposición, las intrusiones físicas siguen siendo una preocupación real en la ciberseguridad. Por ejemplo, los atacantes pueden falsificar insignias, hacerse pasar por proveedores o seguir a una persona autorizada al área segura de una empresa (una práctica conocida como tailgating). A partir de ahí, pueden robar computadoras portátiles y otros dispositivos, descargar malware o dejar unidades USB cargadas con malware en la oficina (para que los empleados curiosos conecten las unidades y carguen malware sin darse cuenta).

Según el Informe del costo de una filtración de datos 2025 de IBM, el robo físico o los problemas de seguridad cuestan a las organizaciones más de 4 millones de dólares en promedio por incidente.

Los ciberataques suelen abarcar dos o más vectores de ataque. Por ejemplo, los atacantes podrían usar phishing para engañar a un usuario y permitir que el ransomware se descargue en su computadora. Luego, podrían amenazar con un ataque de DDoS si la víctima no paga el rescate exigido. O bien, pueden explotar una vulnerabilidad en el sistema de un proveedor para acceder a los sistemas de sus clientes (un ataque de compromiso de la cadena de suministro) e inyectar código malicioso en esos sistemas para escanear credenciales que los hackers puedan usar para exfiltrar datos.

Vectores de ataque pasivos frente a vectores de ataque activos

Otra forma de organizar los vectores es dividirlos en dos grupos: pasivos o activos.

Los delincuentes cibernéticos utilizan vectores de ataque pasivos para obtener acceso a la información sin alterar el sistema. Un ejemplo de un vector de ataque pasivo sería una red wifi que carece de cifrado, lo que la hace vulnerable a la escucha clandestina por parte de hackers.

Por el contrario, los hackers utilizan vectores de ataque activos para obtener control sobre los sistemas, interrumpirlos o afectarlos de otro modo. Los vectores de ataque activos incluyen ataques de denegación del servicio y ataques de ransomware.

A veces, la delimitación entre lo que constituye un vector de ataque activo y lo que constituye uno pasivo no es clara. Por ejemplo, el phishing podría considerarse un vector de ataque pasivo cuando se utiliza únicamente para obtener información de un objetivo sin alterar el sistema del objetivo. Sin embargo, el phishing que engaña a una víctima para que descargue ransomware en un sistema podría considerarse un vector de ataque activo.

¿Qué es la gestión de la superficie de ataque (ASM)?

Si bien los profesionales de la ciberseguridad tienen a su disposición una variedad de herramientas y estrategias, la gestión de la superficie de ataque (ASM) es especialmente importante para abordar los posibles vectores de ataque. A diferencia de otras disciplinas de ciberseguridad, la ASM se realiza desde la perspectiva de un hacker, evaluando un sistema para detectar oportunidades que puedan resultar atractivas para un delincuente cibernético.

La ASM consta de cuatro procesos centrales:

Descubrimiento de activos

El descubrimiento de activos busca e identifica de manera automática y continua hardware, software y activos en la nube que podrían actuar como puntos de entrada para los atacantes.
Clasificación y priorización

Una vez identificados los activos, se clasifican, analizan en busca de vulnerabilidades y se priorizan según la capacidad de ataque.
Corrección

Las medidas de corrección, como la aplicación de parches, la depuración, el cifrado de datos más sólido y la implementación de la autenticación multifactor (MFA),se aplican en orden de prioridad.
Supervisión

Los activos de red inventariados y la propia red se monitorean continuamente, cuyas nuevas vulnerabilidades y vectores de ataque se detectan y evalúan en tiempo real.

Autores

Alice Gomstyn

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think
Soluciones relacionadas
Servicios de respuesta a incidentes

Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad

 Explore los servicios de respuesta a incidentes
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

 Explorar las soluciones de detección de amenazas
IBM QRadar SOAR Solutions

Optimice los procesos de toma de decisiones, mejore la eficiencia de los SOC y acelere la respuesta ante incidentes con una solución de orquestación y automatización inteligente.

 Explore QRadar SOAR
Dé el siguiente paso

Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad

 Explore los servicios de respuesta a incidentes Más información sobre IBM X-Force
Notas de pie de página

1What is a vector?” Philosophical transactions of the Royal Society of London. Series B, Biological Sciences. 13 de marzo de 2017.

2 The State of Software Supply Chain Security 2024.” ReversingLabs. 2024.