Ataques cibernéticos

Los actores de amenazas actuales van desde hackers solitarios y delincuentes cibernéticos organizados hasta grupos patrocinados por el estado que participan en la guerra cibernética a largo plazo. Sus tácticas abarcan un arsenal en constante crecimiento: ataques de malware, estafas de ingeniería social, explotaciones de día cero y gusanos autorreplicantes incluidos. 

Los atacantes explotarán todo tipo de vulnerabilidad, desde aplicaciones web sin parches hasta servicios en la nube mal configurados, para comprometer un sistema objetivo e interrumpir su funcionalidad. Para mitigar estas amenazas, las organizaciones necesitan defensas en capas para ayudar a prevenir, detectar y responder a los ciberataques antes de que causen estragos.   

Los ciberataques no ocurren en el vacío. Llegan donde se cruzan la tecnología, las personas y los motivos. Las consecuencias van mucho más allá de una interrupción temporal o un archivo robado. El Informe del costo de una filtración de datos 2025 de IBM sitúa la filtración promedio mundial en 4.44 millones de dólares, una cifra que abarca la detección, la respuesta a incidentes, el tiempo de inactividad, la pérdida de ingresos y el daño duradero a la marca.¹

Algunos incidentes son mucho más costosos: en marzo de 2024, una víctima pagó 75 millones de dólares en un solo ataque de ransomware, mientras que las estafas de business email compromise (BEC) drenaron 2770 millones de dólares de las organizaciones solo en 2024 en 21 442 incidentes denunciados.² Los analistas proyectan que el costo anual global del delito cibernético aumentará de aproximadamente 9.2 billones de dólares en 2024 a alrededor de 13.8 billones de dólares para 2028.

Para comprender completamente la importancia de los ciberataques, es importante examinarlos desde tres dimensiones:

• Quién lanza un ataque 
• A qué se dirigen los atacantes
• Por qué atacan los atacantes

Los ciberataques se originan en un amplio espectro de actores maliciosos, tanto externos como internos.

Los atacantes externos varían mucho. Los grupos de delincuentes cibernéticos organizados pueden buscar obtener beneficios mediante campañas de ransomware o vendiendo datos robados en la dark web. Algunos son hackers profesionales que se especializan en obtener acceso a sistemas comprometidos.  

A nivel de estado-nación, los actores patrocinados por el estado llevan a cabo campañas a largo plazo de guerra cibernética y espionaje contra gobiernos y corporaciones rivales. Y luego están los hacktivistas, que irrumpen en los sistemas para llamar la atención sobre una causa política o social en lugar de obtener un beneficio financiero directo.

Las amenazas de usuario interno presentan un riesgo diferente, pero igualmente grave. Los empleados descontentos pueden exfiltrar deliberadamente datos confidenciales o sabotear sistemas para vengarse. Otros son simplemente descuidados: un usuario que almacena datos de clientes en una unidad no segura puede crear sin darse cuenta la misma apertura que explotaría un actor hostil. Solo cuando un usuario interno hace un uso indebido intencional del acceso autorizado se considera un verdadero ciberataque, pero incluso la negligencia puede proporcionar el primer punto de apoyo para un adversario externo. 

Los atacantes irrumpen en los sistemas porque cada activo, ya sea propiedad intelectual o datos personales, tiene un valor claro. Los objetivos comunes incluyen:

• Activos financieros: incluye cuentas bancarias, sistemas de pago, monederos de criptomonedas, números de tarjetas de crédito y credenciales de inicio de sesión que permiten el robo directo o la reventa.

• Datos y propiedad intelectual: abarca datos de clientes, diseños de productos, investigación patentada e información de identificación personal (PII) para el robo de identidad o la reventa en la dark web. 

• Infraestructura crítica y sistemas de gobierno: abarca redes de energía, sistemas de atención médica y agencias de gobierno, lo que interrumpe los sistemas de información esenciales y los servicios públicos. 

Algunas campañas tienen como objetivo paralizar la funcionalidad en lugar de robar datos. Por ejemplo, un reciente ataque de denegación distribuida del servicio (DDoS) desbordó a su objetivo con 11.5 terabits por segundo (Tbps) de tráfico durante unos 35 segundos. Como dijo un investigador: "Es el equivalente a inundar su red con más de 9350 películas HD de larga duración en solo 45 segundos".

Quizás la pregunta más difícil de responder es por qué atacan los atacantes. Los motivos pueden variar desde las ganancias hasta la política y las quejas personales, y cualquier violación puede involucrar a más de una de estas fuerzas. Sin embargo, la mayoría de las actividades se agrupan en torno a tres grandes factores: delictivos, políticos o personales. 

• Criminal: La motivación criminal sigue siendo la más común. Algunos actores buscan ganancias financieras directas, irrumpiendo en los sistemas para lanzar ataques de ransomware o ejecutar campañas de phishing a gran escala. Otros se centran en la extorsión, utilizando ataques de DDoS para mantener las redes como rehenes hasta que se pague un rescate. 
  
  
• Política: la política también alimenta una parte significativa de la actividad cibernética. Las campañas patrocinadas por el estado y las operaciones de ciberespionaje a largo plazo investigan rutinariamente la infraestructura crítica, las redes del gobierno e incluso los sistemas electorales. Junto a estos esfuerzos del estado-nación están los hacktivistas: particulares o colectivos sueltos que se infiltran en las redes para destacar una causa o avergonzar a un adversario. 
  
  
• Personal: los motivos personales, aunque más difíciles de predecir, pueden ser igual de destructivos. Un contratista o asociado de negocios consternado puede divulgar deliberadamente datos confidenciales o sabotear sistemas para ajustar cuentas. Y a veces el ímpetu es poco más que curiosidad o ego: los llamados “hackers deportivos” irrumpen simplemente por el desafío de demostrar que pueden hacerlo.

Los delincuentes cibernéticos utilizan muchas herramientas y técnicas sofisticadas para comprometer los sistemas. Las tácticas evolucionan constantemente, pero se pueden agrupar en tres grandes niveles: amenazas cibernéticas generalizadas, avanzadas y emergentes.

Estas técnicas son los caballos de batalla del delito cibernético. Escalan en todas las industrias, explotan las debilidades humanas y rara vez requieren recursos del estado nación. Debido a que son tan comunes y tan efectivos, forman la columna vertebral de la mayoría de los incidentes de ciberseguridad.

El malware es un software malicioso que puede volver inutilizables a los sistemas infectados. Puede destruir datos, robar información o borrar archivos críticos para la capacidad de ejecución del sistema operativo. Los tipos comunes de malware incluyen:

• Caballos de Troya: los ataques se hacen pasar por programas legítimos para engañar a los usuarios para que los instalen. Un troyano de acceso remoto (RAT) abre una puerta trasera secreta en el dispositivo de la víctima, mientras que un troyano dropper instala malware adicional después de afianzarse.

• Ransomware: utiliza un cifrado sólido para mantener los datos o sistemas como rehenes hasta que se pague un rescate.

• Scareware: bombardea a las víctimas con advertencias falsas para inducir descargas o la entrega de información confidencial.

• Spyware: recopila en secreto nombres de usuario, contraseñas y números de tarjetas de crédito, y los envía de vuelta al atacante.

• Rootkits: otorga control a nivel de administrador de un sistema operativo mientras permanece oculto.

• Gusanos autorreplicantes: se propagan automáticamente entre aplicaciones y dispositivos.

Los ataques de ingeniería social explotan la confianza humana en lugar de fallas técnicas, persuadiendo a las personas para que revelen información o incluso instalen malware. El ejemplo más común es el phishing, donde los correos electrónicos, mensajes de texto o mensajes de redes sociales imitan solicitudes legítimas y atraen a las víctimas para que hagan clic en enlaces maliciosos o abran archivos adjuntos infectados.

Las variantes más específicas incluyen el phishing focalizado, que adapta el ataque a una persona específica utilizando detalles de perfiles sociales públicos. El whale phishing es una versión dirigida a altos ejecutivos, mientras que las estafas BEC se hacen pasar por personas de confianza como un director ejecutivo (CEO), engañando a los empleados para que transfieran fondos o compartan datos confidenciales.

Los ataques de denegación del servicio (DoS) y denegación distribuida del servicio (DDoS) inundan los recursos de un sistema con tráfico fraudulento hasta que no puede responder a solicitudes legítimas. Un ataque DoS se origina en una sola fuente, mientras que un ataque DDoS utiliza múltiples fuentes, a menudo un botnet de computadoras portátiles infectadas con malware, teléfonos inteligentes y dispositivos de Internet de las cosas (IoT). 

En un ataque de compromiso de cuenta, los delincuentes secuestran las credenciales de un usuario legítimo para realizar actividades maliciosas. Pueden suplantar contraseñas, comprar bases de datos robadas en la dark web o lanzar ataques automatizados de fuerza bruta para adivinar contraseñas repetidamente hasta que una funcione.

También llamados ataques de escucha, los ataques MITM ocurren cuando un hacker intercepta en secreto las comunicaciones entre dos partes, a menudo a través de Wi-Fi público no seguro. Los atacantes pueden leer o modificar los mensajes antes de que lleguen al destinatario. Por ejemplo, en una variante de secuestro de sesión, el intruso intercambia su dirección IP con la de la víctima, engañando al servidor para que otorgue acceso completo a los recursos protegidos.

Los adversarios más pacientes llevan a cabo campañas a través de la habilidad, el sigilo y la persistencia. Estas tácticas a menudo combinan múltiples vectores de ataque, desde operadores humanos encubiertos hasta ejércitos de bots automatizados, y pueden desarrollarse durante meses, lo que hace que la detección temprana sea esencial.

Los atacantes violan una empresa dirigiéndose a sus proveedores de software, proveedores de materiales u otros proveedores de servicios. Debido a que los proveedores están frecuentemente conectados a las redes de sus clientes, un solo compromiso puede proporcionar a un atacante una ruta indirecta hacia muchas organizaciones.

Los ataques XSS insertan código malicioso en una página web o aplicación web legítima. Cuando un usuario visita el sitio o la aplicación, el código se ejecuta automáticamente en el navegador del usuario, robando información confidencial o redirigiendo al visitante a un sitio web malicioso. Los atacantes utilizan con frecuencia JavaScript para lanzar estos exploits.

Los ataques de inyección SQL envían comandos maliciosos del lenguaje de consultas estructurado (SQL) a la base de datos backend de un sitio web o aplicación. Los atacantes ingresan los comandos a través de campos orientados al usuario, como barras de búsqueda y ventanas de inicio de sesión, lo que solicita a la base de datos que devuelva datos privados, como números de tarjetas de crédito u otros datos de clientes.

El túnel del sistema de nombres de dominio (DNS) oculta el tráfico malicioso dentro de los paquetes DNS, lo que le permite eludir las medidas de seguridad tradicionales como los cortafuegos y los sistemas de detección de intrusiones (IDS). Los actores de amenazas utilizan esta técnica para crear canales de comunicación encubiertos que pueden extraer datos de forma silenciosa o conectar malware a un servidor remoto de comando y control (C2).

Las explotaciones de día cero usan las fallas de software previamente desconocidas o sin parches conocidas como vulnerabilidades de día cero antes de que los desarrolladores puedan lanzar un arreglo. Estos ataques pueden seguir siendo efectivos durante días, meses o incluso años, lo que los convierte en los favoritos de los grupos de amenazas avanzadas.

Los ataques sin archivos utilizan vulnerabilidades en programas de software legítimos para inyectar código malicioso directamente en la memoria de una computadora. Debido a que operan solo en la memoria y dejan pocos artefactos en el disco, pueden evadir muchas soluciones de software antivirus, incluso algunas herramientas antivirus de próxima generación (NGAV). Los atacantes suelen aprovechar entornos de scripting como PowerShell para cambiar configuraciones o robar contraseñas.

También llamado envenenamiento de DNS, la suplantación de DNS altera de forma encubierta los registros DNS para reemplazar la dirección IP real de un sitio web por una fraudulenta. Cuando las víctimas intentan visitar el sitio legítimo, son redirigidas sin saberlo a una copia maliciosa que puede robar datos o distribuir malware.

Los actores maliciosos están ampliando la superficie de ataque manipulando sistemas inteligentes, explotando nuevas infraestructuras e incluso socavando el cifrado futuro. Si bien estas amenazas cibernéticas aún están evolucionando, ya exigen la atención de los centros de operaciones de seguridad (SOC) y los equipos de seguridad más amplios.

La inteligencia artificial (IA), en particular la IA generativa, está abriendo un nuevo frente para los adversarios. Los hackers pueden utilizar modelos de lenguaje grandes (LLM) para crear ataques de phishing hiperrealistas, así como audio y video falsos e incluso automatizar el reconocimiento a una escala sin precedentes. Las técnicas más sofisticadas, como la inyección de instrucciones o los jailbreaks de IA, pueden engañar a los sistemas de IA para que revelen datos confidenciales anulando los controles de seguridad y las barreras de seguridad incorporados.

Las empresas continúan trasladando cargas de trabajo a nubes públicas y nubes híbridas, ampliando la superficie de ataque. Los buckets de almacenamiento mal configurados, las interfaces de programación de aplicaciones (API) expuestas y las plataformas vulnerables de orquestación de contenedores como Kubernetes brindan a los atacantes la oportunidad de obtener acceso a entornos completos casi en tiempo real. Apuntar a una sola configuración errónea de la nube puede permitir que un actor de amenazas se mueva lateralmente a través de múltiples cargas de trabajo y exfiltre los datos de los clientes sin activar las defensas perimetrales tradicionales.

Los ataques a la integridad de los datos tienen como objetivo corromper o alterar sutilmente los conjuntos de datos, ya sea en tránsito, en almacenamiento o durante el procesamiento, para que los sistemas posteriores tomen decisiones erróneas. Esto puede incluir la manipulación de flujos de datos en tiempo real o la edición silenciosa de registros financieros o de atención médica. Una táctica particularmente grave es el envenenamiento de datos, en el que los atacantes modifican los conjuntos de entrenamiento de machine learning con registros maliciosos, lo que hace que los modelos desarrollen puertas traseras ocultas o resultados con sesgo. 

Los avances en la computación cuántica amenazan la criptografía de clave pública actual. Los atacantes ya están siguiendo estrategias de “cosechar ahora, descifrar después”, robando datos cifrados hoy con la expectativa de que las capacidades cuánticas futuras les permitan irrumpir en los algoritmos de cifrado actuales y desbloquear información confidencial. Prepararse para este cambio requiere que las organizaciones realicen un seguimiento de los desarrollos en criptografía postcuántica (PQC) y comiencen a planificar rutas de migración para sistemas críticos.

La defensa contra los ciberataques requiere más que un solo producto o política. La ciberseguridad eficaz combina personas, tecnología y procesos para anticipar amenazas, limitar la exposición y ofrecer una detección y respuesta integrales a las amenazas. 

Una prevención sólida comienza con la comprensión de los activos más valiosos de la organización y la superficie de ataque que los rodea, reduciendo las oportunidades de acceso no autorizado. Las medidas de seguridad comunes incluyen:

• Gestión de identidad y acceso (IAM): aplica políticas de acceso con privilegios mínimos , autenticación multifactor y contraseñas seguras para garantizar que solo las personas adecuadas puedan acceder a los sistemas críticos. Muchas organizaciones también requieren que los usuarios remotos se conecten a través de una red privada virtual (VPN) u otro canal seguro.

• Seguridad de datos y prevención de pérdida de datos (DLP): cifra los datos confidenciales, supervisa cómo se utilizan y almacenan, y mantiene copias de seguridad periódicas para limitar el impacto de una filtración.

• Controles de red: despliega cortafuegos en capas y sistemas de prevención de intrusiones (IPS) para bloquear el tráfico malicioso que ingresa o sale de la red. Esto incluye los intentos de malware de ponerse en contacto con un servidor C2.

• Gestión continua de vulnerabilidades: la aplicación regular de parches y las pruebas de inserción pueden ayudar a corregir las debilidades antes de que los atacantes las exploten.

• Gestión de la superficie de ataque (ASM): identifica, cataloga y corrige los activos expuestos en entornos on premises, de nube y de IoT antes de que los adversarios los descubran.

• Gestión unificada endpoint (UEM): aplica políticas de seguridad coherentes a cada endpoint, incluidas computadoras de escritorio, computadoras portátiles, dispositivos móviles y cargas de trabajo en la nube.

• Concientización sobre seguridad: equipa a los empleados con la capacidad de reconocer correos electrónicos de phishing, tácticas de ingeniería social y otros puntos de entrada comunes.

Debido a que ninguna defensa es perfecta, las organizaciones necesitan visibilidad en tiempo real de sus redes informáticas y sistemas de información:

• Gestión de eventos e información de seguridad (SIEM): agrega y analiza alertas de sistemas de detección de intrusiones, herramientas de detección y respuesta de endpoints (EDR) y otras tecnologías de monitoreo.

• Inteligencia de amenazas: enriquece las alertas con datos sobre actores de amenazas conocidos, tácticas e indicadores de compromiso (IOC) para acelerar la clasificación.

• Analytics avanzado e IA: las plataformas de detección modernas emplean cada vez más el machine learning para señalar anomalías e identificar patrones sutiles que pueden indicar un incidente cibernético en curso.

• Búsqueda proactiva de amenazas: los analistas expertos buscan intrusiones ocultas, como amenazas persistentes avanzadas (APT), que las herramientas automatizadas podrían pasar por alto.

Cuando la prevención y la detección revelan un ataque, una respuesta coordinada limita el daño y acelera la recuperación:

• Planificación de respuesta ante incidentes: un plan documentado y probado permite a los equipos contener y erradicar las amenazas de ciberseguridad, restaurar las operaciones y realizar análisis de causa principal para evitar la recurrencia.

• Orquestación, automatización y respuesta de seguridad (SOAR): integra herramientas dispares y automatiza las tareas rutinarias para que los equipos de seguridad puedan centrarse en investigaciones complejas.

• Detección y respuesta extendidas (XDR): correlaciona señales entre endpoints, redes, correo electrónico, aplicaciones y cargas de trabajo en la nube para proporcionar una vista unificada y una corrección más rápida.

• Revisión posterior al incidente: captura las lecciones aprendidas, actualiza los controles y aporta nueva inteligencia a las medidas preventivas y de detección.