El hacking es el uso de medios no convencionales o ilícitos para obtener acceso no autorizado a un dispositivo digital, sistema o red informática. El ejemplo tradicional es un delincuente cibernético que aprovecha las vulnerabilidades de seguridad para irrumpir en una red y robar datos.
Pero el hacking no siempre tiene propósitos maliciosos. Un consumidor que manipula su teléfono inteligente personal para ejecutar programas personalizados también es, técnicamente hablando, un hacker.
Los hackers maliciosos crearon una enorme economía de la ciberdelincuencia, en la que obtienen beneficios iniciando ataques cibernéticos, extorsionando a las víctimas o vendiendo programas maliciosos y datos robados. Se prevé que el costo mundial de toda la ciberdelincuencia alcance casi los 24 billones de dólares en 2027.1
Los ataques maliciosos pueden tener consecuencias devastadoras. Las personas enfrentan robo de identidad, robo monetario y más. Las organizaciones pueden sufrir tiempo de inactividad del sistema, fugas de datos y otros daños que conducen a la pérdida de clientes, menores ingresos, reputación dañada y multas u otras sanciones legales. En total, según el Informe del costo de una filtración de datos de IBM , la filtración de datos promedio le cuesta a una organización USD 4.88 millones.
En el otro extremo del espectro del hacking, la comunidad de la ciberseguridad depende de hackers éticos (hackers con intenciones provechosas y no delictivas) para probar medidas de protección, abordar fallas de seguridad y prevenir ciberamenazas. Estos hackers éticos reciben un buen ingreso ayudando a las empresas a reforzar sus sistemas de seguridad o trabajando con las autoridades para derribar a sus contrapartes maliciosas.
Un ataque cibernético es un esfuerzo intencional para dañar un sistema informático o sus usuarios, mientras que el hacking es el acto de obtener acceso o control sobre un sistema a través de medios no autorizados. La diferencia clave es que los ataques cibernéticos siempre dañan a sus objetivos, pero el hacking puede ser bueno, malo o neutral.
Los actores maliciosos pueden, y a menudo lo hacen, emplear técnicas para iniciar ataques cibernéticos, por ejemplo, alguien que explota una vulnerabilidad del sistema para entrar en una red y plantar ransomware.
Alternativamente, los hackers éticos emplean técnicas de hacking para ayudar a las organizaciones a fortalecer sus defensas. Esto es esencialmente lo contrario de un ataque cibernético.
Otra distinción importante es que el hacking no siempre es ilegal. Si un hacker tiene permiso del propietario de un sistema, o es el propietario del sistema, su actividad es legal.
Por el contrario, los ataques cibernéticos casi siempre son ilegales, ya que no cuentan con el consentimiento del objetivo y tienen como objetivo causar daño.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Los hackers se dividen en tres categories principales en función de sus motivos y tácticas:
Los hackers maliciosos (a veces llamados “hackers de sombrero negro”) son delincuentes cibernéticos que hackean por razones ilegales, dañando a sus víctimas para obtener ganancias personales o financieras.
Algunos hackers maliciosos realizan ataques cibernéticos directamente, mientras que otros desarrollan códigos maliciosos o exploits para venderlos a otros hackers en la dark web. Pueden trabajar solos o como parte de una banda de ransomware, una banda de estafadores u otros grupos organizados.
El dinero es el motivador más común para los hackers maliciosos. Por lo general, “ganan” su salario al:
Robar datos confidenciales o personales, como credenciales de inicio de sesión, números de tarjetas de crédito, números de cuentas bancarias, números de seguro social, que pueden usar para entrar en otros sistemas, cometer robo de identidad o vender. Según el IBM X-Force Threat Intelligence Index, la exfiltración de datos es el impacto más común de los ataques cibernéticos, ya que ocurre en el 32 % de los ataques.
Extorsionar a las víctimas, como el uso de ataques de ransomware o ataques distribuidos de denegación de servicio (DDoS) para mantener como rehenes datos, dispositivos u operaciones comerciales hasta que la víctima pague un rescate. La extorsión, que ocurre en el 24 % de los incidentes, es el segundo impacto de ataque más común según el Threat Intelligence Index.
Realizando espionaje corporativo por encargo, robando propiedad intelectual u otra información confidencial de los competidores de la empresa cliente.
Los hackers éticos (a veces llamados “hackers de sombrero blanco”) emplean sus habilidades de para ayudar a las compañías a encontrar y corregir vulnerabilidades de seguridad para que los cibercriminales no puedan explotarlas.
El hacking ético es una profesión legítima. Los hackers éticos trabajan como consultores de seguridad o empleados de las compañías que están hackeando. Para generar confianza y demostrar sus habilidades, los hackers éticos obtienen certificaciones de organismos como CompTIA y EC-Council. Siguen un estricto código de conducta. Siempre obtienen permiso antes de hackear, no causan daños y mantienen sus hallazgos confidenciales.
Uno de los servicios de hacking ético más comunes es el pentesting, en el que los hackers inician ataques cibernéticos simulados contra aplicaciones sitio web, redes u otros activos para encontrar sus debilidades. Luego trabajan con los propietarios de los activos para corregir esas debilidades.
Los hackers éticos también pueden realizar evaluaciones de vulnerabilidad, analizar malware para recopilar inteligencia de amenazas o participar en ciclos de vida de desarrollo de software seguros.
Los hackers de sombrero gris o grey hat no encajan perfectamente en los campos éticos o maliciosos. Estos vigilantes irrumpen en los sistemas sin permiso, pero lo hacen para ayudar a las organizaciones que hackean y tal vez obtener algo a cambio.
El nombre de “sombrero gris” hace referencia al hecho de que estos hackers operan en una zona moral gris. Informan a las compañías de los fallos que encuentran en sus sistemas, y pueden ofrecer a solucionar estas vulnerabilidades a cambio de una comisión o incluso de un puesto de trabajo. Aunque tengan buenas intenciones, pueden dar accidentalmente pistas a hackers maliciosos sobre nuevos vectores de ataque.
Algunos programadores aficionados simplemente hackean por diversión o para aprender o ganar notoriedad por romper objetivos difíciles. Por ejemplo, el auge de la IA generativa ha alimentado una oleada de hackers aficionados a la IA que experimentan con modelos de IA jailbreaking para hacerlos hacer cosas nuevas.
“Hacktivistas” son activistas que hackean sistemas para llamar la atención sobre cuestiones sociales y políticas. El colectivo informal Anonymous es probablemente el grupo hacktivista más conocido, ya que organizó ataques contra objetivos de alto perfil, como el gobierno ruso y las Naciones Unidas.
Los hackers patrocinados por el estado tienen el respaldo oficial de un estado nación. Trabajan con un gobierno para espiar a los adversarios, interrumpir la infraestructura crítica o difundir información errónea, a menudo en nombre de la seguridad nacional. Qué estos hackers se consideren éticos o maliciosos depende del espectador.
En última instancia, lo que hace un hacker es obtener acceso a un sistema de una forma que los diseñadores del sistema no pretendían. La forma en que lo hagan dependerá de sus objetivos y de los sistemas a los que se dirijan.
Un ataque puede ser tan simple como enviar emails de phishing para robar contraseñas de cualquiera que participe o tan elaborado como una amenaza persistente avanzada (APT) que acecha en una red durante meses.
Algunos de los métodos más comunes incluyen:
Aunque se pueden emplear sistemas operativos estándar de Mac o Microsoft para hackear, muchos piratas informáticos emplean sistemas operativos (SO) personalizados cargados con herramientas de hacking hechas a medida, como descifradores de credenciales y escáneres de red.
Por ejemplo, Kali Linux, una distribución Linux de código abierto diseñada para pentesting, es popular entre los hackers éticos.
Los hackers emplean varias herramientas para conocer sus objetivos e identificar debilidades que pueden explotar.
Por ejemplo, los rastreadores de paquetes analizan el tráfico de red para determinar de dónde proviene, a dónde va y qué datos contiene. Los escáneres de puertos prueban de forma remota los dispositivos en busca de puertos abiertos y disponibles a los que los hackers puedan conectarse. Los escáneres de vulnerabilidades buscan vulnerabilidades conocidas, lo que les permite encontrar rápidamente entradas a un objetivo.
El software malicioso, o malware, es un arma clave en los arsenales de los hackers maliciosos. Según el X-Force Threat Intelligence Index, el 43 % de los ataques cibernéticos implican malware.
Entre los tipos de malware más comunes se encuentran:
Bloquea los dispositivos o datos de una víctima y exige un pago de rescate para desbloquearlos.
Son redes de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. El malware de las redes de bots suele dirigirse a los dispositivos del Internet de las Cosas (IoT) debido a la debilidad de sus protecciones. Los hackers utilizan botnets para iniciar ataques de denegación distribuida del servicio (DDoS).
Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Los hackers emplean troyanos para obtener acceso remoto a dispositivos en secreto o descargar otro malware sin que los usuarios lo sepan.
El spyware recopila en secreto información confidencial (como contraseñas o detalles de cuentas bancarias) y la transmite al atacante.
El malware que roba información se volvió especialmente popular entre los ciberdelincuentes a medida que los equipos de ciberseguridad aprendieron a frustrar otras cepas de malware comunes. El Threat Intelligence Index descubrió que la actividad de los ladrones de información aumentó un 266 % entre 2022 y 2023.
Los ataques de ingeniería social engañan a las personas para que envíen dinero o datos a los hackers o les concedan acceso a sistemas confidenciales. Las tácticas comunes de ingeniería social incluyen:
Ataques de phishing, como estafas de correo electrónico empresarial, que utilizan correos electrónicos u otros mensajes fraudulentos.
Ataques de phishing focalizado dirigidos a personas específicas, a menudo empleando detalles de sus páginas públicas de redes sociales para ganar su confianza.
Ataques de cebo, en los que los hackers colocan unidades USB infectadas con malware en lugares públicos.
Ataques de scareware , que emplean el miedo para obligar a las víctimas a hacer lo que el hacker quiere.
Los hackers siempre buscan el camino de menor resistencia y, en muchas redes empresariales, eso significa robar las credenciales de los empleados. Según el IBM X-Force Threat Intelligence Index, el abuso de cuentas válidas es el vector de ataque cibernético más común, ya que representa el 30% de todos los incidentes.
Armados con las contraseñas de los empleados, los hackers pueden hacerse pasar por usuarios autorizados y pasar por alto los controles de seguridad, o también pueden obtener credenciales de cuenta a través de varios medios.
Pueden usar spyware e infostealers para recopilar contraseñas o engañar a los usuarios para que compartan información de inicio de sesión a través de la ingeniería social. Pueden usar herramientas de descifrado de credenciales para lanzar ataques de fuerza bruta (probando automáticamente posibles contraseñas hasta que una funcione) o incluso comprar credenciales previamente robadas de la dark web.
Al igual que los defensores ahora usan inteligencia artificial (IA) para combatir las ciberamenazas, los hackers están usando IA para explotar sus objetivos. Esta tendencia se manifiesta de dos maneras: hackers que emplean herramientas de IA en sus objetivos y hackers que apuntan a vulnerabilidades en aplicaciones de IA.
Estos cibercriminales pueden emplear la IA generativa para desarrollar código malicioso, detectar vulnerabilidades y crear exploits. En un estudio, los investigadores descubrieron que un modelo de lenguaje grande ampliamente disponible, como ChatGPT, puede explotar vulnerabilidades de un día en el 87 % de los casos.
Los hackers también pueden usar LLM para escribir correos electrónicos de phishing en una fracción del tiempo, cinco minutos en comparación con las 16 horas que llevaría redactar el mismo correo electrónico manualmente, según X-Force Threat Intelligence.
Al automatizar partes significativas del proceso de piratería, estas herramientas de IA pueden reducir la barrera de entrada en el campo de la ciberdelincuencia, lo que tiene consecuencias tanto positivas como negativas.
En cuanto a la expansión de la superficie de ataque de la IA, la creciente adopción de aplicaciones de IA ofrece a los piratas informáticos más formas de dañar a las compañías y a las personas. Por ejemplo, los ataques de envenenamiento de datos pueden degradar el rendimiento del modelo de IA al introducir datos de baja calidad o intencionalmente sesgados en sus conjuntos de entrenamiento. Las inyecciones rápidas utilizan indicaciones maliciosas para engañar a los LLM para que divulguen datos confidenciales, destruyan documentos importantes o algo peor.
También conocidos como adversario en el medio (AITM), implican que los hackers espíen comunicaciones confidenciales entre dos partes, como emails entre usuarios o conexiones entre navegadores sitio web y servidores sitio web.
Por ejemplo, un ataque de suplantación de DNS redirige a los usuarios de un sitio web legítimo a una que controla el hacker. El usuario cree que está en el sitio real y el hacker puede robar en secreto la información que comparte.
Como el cross-site scripting (XSS), utilizan scripts maliciosos para manipular aplicaciones y sitios web legítimos. Por ejemplo, en un ataque de inyección SQL, los piratas informáticos hacen que los sitios web divulguen datos confidenciales ingresando comandos SQL en campos de entrada de usuario públicos.
También llamados “vivir de la tierra”, son una técnica en la que los hackers utilizan activos que ya han comprometido para moverse lateralmente a través de una red o causar más daños. Por ejemplo, si un hacker obtiene acceso a la interfaz de línea de comandos de una máquina, puede ejecutar scripts maliciosos directamente en la memoria del dispositivo sin dejar mucho rastro.
A principios de la década de 1980, un grupo de hackers conocidos como los 414 vulneraron objetivos, como Los Alamos National Laboratory y Sloan-Kettering Cancer Center. Si bien los 414 causaron poco daño real, sus hackeos motivaron al Congreso de Estados Unidos a aprobar la Ley de Fraude y Abuso Informático, que oficialmente convirtió el hackeo malicioso en un delito.
Uno de los primeros gusanos informáticos, el gusano Morris, fue lanzado en Internet en 1988 como un experimento. Causó más daños de los previstos, desconectando miles de computadoras y acumulando unos 10 millones de dólares en costos relacionados con el tiempo de inactividad y la reparación.
Robert Tappan Morris, el programador del gusano, fue la primera persona en ser condenada por delito grave bajo la Ley de fraude y abuso informático.
En 2021, unos hackers infectaron los sistemas de Colonial Pipeline con ransomware, lo que obligó a la empresa a cerrar temporalmente el oleoducto que suministraba el 45 % del combustible de la costa este de los Estados Unidos. Los hackers utilizaron la contraseña de un empleado, encontrada en la dark web, para acceder a la red. Colonial Pipeline Company pagó un rescate de 5 000 000 USD para recuperar el acceso a sus datos.
En 2024, la empresa de sistemas de pago Change Healthcare sufrió una filtración masiva de datos que interrumpió los sistemas de facturación en toda la industria de la salud de EE. UU. Los hackers obtuvieron datos personales, detalles de pago, registros de seguros y otra información confidencial de millones de personas.
Debido al gran número de transacciones que Change Healthcare ayuda a procesar, se calcula que la filtración afectó hasta a un tercio de todos los estadounidenses. Los costos totales asociados a la brecha podrían alcanzar los USD 1,000 millones.
Cualquier organización que dependa de sistemas informáticos para funciones críticas (lo que incluye a la mayoría de las empresas) corre el riesgo de un hackeo. No hay forma de mantenerse fuera del radar de los hackers, pero las compañías pueden dificultarles la intrusión, reduciendo tanto la probabilidad como los costos de los ataques con éxito.
Las defensas comunes contra los hackers incluyen:
Según el Informe del costo de una filtración de datos, las credenciales robadas y comprometidas son el vector de ataque más común para las filtraciones de datos.
Las contraseñas seguras pueden dificultar que los hackers roben credenciales. Las estrictas medidas de autenticación , como la autenticación multifactor (MFA) y los sistemas de gestión de acceso privilegiado (PAM), hacen que los hackers necesiten más que una contraseña robada para secuestrar la cuenta de un usuario.
Capacitar a los empleados en las mejores prácticas de ciberseguridad, como reconocer ataques de ingeniería social, seguir las políticas de la compañía e instalar controles de seguridad adecuados, puede ayudar a las organizaciones a prevenir más ataques. Según el Informe del costo de una filtración de datos, la capacitación puede reducir el costo de una filtración de datos hasta en USD 258,629.
A menudo, los hackers buscan objetivos fáciles y eligen infringir redes con vulnerabilidades conocidas. Un programa formal de administración de parches puede ayudar a las empresas a mantenerse actualizadas sobre los parches de seguridad de los proveedores de software, lo que dificulta el ingreso de hackers.
El Informe del costo de una filtración de datos encontró que las organizaciones que invierten mucho en IA y automatización para la ciberseguridad pueden reducir el costo promedio de una filtración en 1.88 millones de dólares. También identifican y contienen las filtraciones 100 días más rápido que las organizaciones que no invierten en IA y automatización.
El reporte señala que la IA y la automatización pueden ser especialmente beneficiosas cuando se implementan en flujos de trabajo de prevención de amenazas, como la gestión de la superficie de ataque, el equipo rojo y la gestión de la postura.
Los cortafuegos y los sistemas de prevención de intrusiones (IPS) pueden ayudar a detectar y bloquear a los hackers para que no ingresen a una red. El software de gestión de eventos e información de seguridad (SIEM) puede ayudar a detectar hacks en curso. Los programas antivirus pueden encontrar y eliminar malware, y las plataformas de detección y respuesta de endpoints (EDR) pueden automatizar las respuestas a los hacks, incluso a los más complejos. Los empleados remotos pueden usar redes privadas virtuales (VPN) para fortalecer la seguridad de la red y proteger el tráfico de los espías.
Las organizaciones con control centralizado sobre los datos, independientemente de dónde residan, pueden identificar y contener las filtraciones más rápido que las organizaciones sin dicho control, según el Informe del costo de una filtración de datos.
Herramientas como las soluciones de gestión de la postura de seguridad de los datos, las soluciones de prevención de pérdida de datos (DLP), las soluciones de cifrado y las copias de seguridad seguras pueden ayudar a proteger los datos en tránsito, en reposo y en uso.
Los hackers éticos son una de las mejores defensas contra los hackers maliciosos. Los hackers éticos pueden utilizar evaluaciones de vulnerabilidad, pruebas de penetración, equipos rojos y otros servicios para encontrar y corregir vulnerabilidades y problemas de seguridad de los sistemas y seguridad de la información antes de que los hackers y las amenazas cibernéticas puedan explotarlos.
12023 was a big year for cybercrime—here’s how we can make our systems safer. Foro Económico Mundial. 10 de enero de 2024. (Enlace externo a ibm.com).