¿Qué es un actor de amenazas?

Hoy en día, hay muchos tipos de actores de amenazas, todos con diferentes atributos, motivaciones, niveles de skills y tácticas. Algunos de los tipos más comunes de actores de amenazas incluyen hacktividad, actores de estados nación, delincuentes cibernéticos, actores de amenazas internas y ciberterroristas.

A medida que la frecuencia y la gravedad de los ciberdelitos continúan creciendo, comprender estos diferentes tipos de actores de amenazas es cada vez más crítico para mejorar la ciberseguridad individual y organizacional.

El término actor de amenazas es amplio y relativamente universal, extendiéndose a cualquier persona o grupo que represente una amenaza para la ciberseguridad. Los actores de amenazas suelen clasificarse en diferentes tipos en función de su motivación y su nivel de sofisticación.

Estas personas o grupos cometen un delito cibernético principalmente para obtener ganancias financieras. Los delitos comunes cometidos por un delincuente cibernético incluyen ataques de ransomware y estafas de phishing que engañan a las personas para que hagan transferencias de dinero o divulguen información de tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o confidencial.

Los estados nación y los gobiernos financian frecuentemente a los actores de amenazas con el objetivo de robar datos confidenciales, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades malignas suelen incluir espionaje o guerra cibernética y tienden a ser altamente financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar.

Estos actores de amenazas utilizan técnicas de piratería para promover agendas políticas o sociales, como difundir la libertad de expresión o destapar violaciones de derechos humanos. Los hacktivistas creen que están provocando un cambio social positivo y se sienten justificados para atacar a individuos, organizaciones o agencias gubernamentales con el fin de revelar secretos u otra información sensible. Un ejemplo bien conocido de un grupo hacktivista es Anonymous, un colectivo internacional de hackers que afirma abogar por la libertad de expresión en Internet.

Los buscadores de emociones son exactamente como suena su nombre: atacan la computadora y los sistemas de información principalmente por diversión. Algunos quieren ver cuánta información o datos confidenciales pueden robar. Otros quieren usar la piratería para comprender mejor cómo funcionan las redes y los sistemas informáticos. Una clase de amantes de la adrenalina, llamados script kiddies, carecen de habilidades técnicas avanzadas, pero utilizan herramientas y técnicas preexistentes para atacar sistemas vulnerables, principalmente para diversión o satisfacción personal. Aunque no siempre buscan causar daño, los amantes de la adrenalina pueden provocar daños involuntarios al interferir en la ciberseguridad de una red y abrir la puerta a futuros ciberataques.

A diferencia de la mayoría de otros tipos de actores, los actores de amenazas internas no siempre tienen intención maligna. Algunos perjudican a sus empresas por errores humanos, por ejemplo instalando malware sin darse cuenta o perdiendo un dispositivo proporcionado por la empresa que un delincuente cibernético encuentra y utiliza para acceder a la red. Pero existen usuarios internos maliciosos. Por ejemplo, el empleado descontento que abusa de los privilegios de acceso para robar datos para obtener ganancias monetarias o inflige daños a datos o aplicaciones en represalia porque no lo ascendieron.

Los ciberterroristas lanzan ciberataques por motivos políticos o ideológicos que amenazan o resultan en violencia. Algunos ciberterroristas son agentes de algún estado nación; otros actúan por su cuenta o en nombre de un grupo no gubernamental.

Los actores de amenazas suelen dirigirse a grandes organizaciones; debido a que tienen más dinero y datos más confidenciales, ofrecen el mayor beneficio potencial.

Sin embargo, en los últimos años, las pequeñas y medianas empresas (pymes) también se han convertido en objetivos frecuentes para los atacantes debido a sus sistemas de seguridad relativamente débiles De hecho, el FBI citó recientemente su preocupación por las crecientes tasas de delitos cibernéticos que se cometen contra las pequeñas empresas, y compartió que solo en 2021, las pequeñas empresas perdieron 6.9 mil millones de dólares debido a ciberataques, un aumento del 64 % con respecto al año anterior.

Del mismo modo, los actores de amenazas atacan cada vez más a personas y hogares por sumas más pequeñas. Por ejemplo, pueden irrumpir en redes domésticas y sistemas informáticos para robar información de identidad personal, contraseñas y otros datos potencialmente valiosos y confidenciales. De hecho, las estimaciones actuales sugieren que uno de cada tres hogares estadounidenses con computadoras está infectado con malware.

Los actores de amenazas no discriminan. Aunque tienden a buscar los objetivos más gratificantes o significativos, también aprovecharán cualquier debilidad de ciberseguridad, sin importar dónde lo encuentren, haciendo que el panorama de amenazas sea cada vez más costoso y complejo.

Los actores de amenazas despliegan una combinación de tácticas al ejecutar un ataque cibernético, recurriendo más a unas que a otras en función de su motivación principal, sus recursos y el objetivo previsto.

El malware es un software maligno que daña o deshabilita las computadoras. El malware suelen propagarse a través de documentos adjuntos por correo electrónico, sitios web infectados o software comprometido, y pueden ayudar a los actores de amenazas a robar datos, tomar el control de los sistemas informáticos y atacar otras computadoras. Los tipos de malware incluyen virus, gusanos y caballo de Troya, que se descargan en las computadoras disfrazados de programas legítimos.

El ransomware es un tipo de malware que bloquea los datos o el dispositivo de la víctima y amenaza con mantenerlos bloqueados, o peor, a menos que la víctima pague un rescate al atacante. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión que amenazan con robar los datos de la víctima y venderlos o filtrarlos en línea. Según el IBM® X-Force Threat Intelligence Index, los ataques de ransomware representan el 20 % de todos los ataques de malware.

Los ataques de caza de grandes juegos (BGH) son campañas de ransomware masivas y coordinadas que se dirigen a grandes organizaciones, incluidos gobiernos, y proveedores de infraestructura crítica que tienen mucho que perder de una interrupción y serán más propensos a pagar un gran rescate.

Los ataques de phishing utilizan correo electrónico, mensajes de texto, mensajes de voz o sitios web falsos para engañar a los usuarios para que compartan datos confidenciales, descarguen malware o se expongan a delitos cibernéticos. Los tipos de phishing incluyen:

• Phishing focalizado, un ataque de phishing dirigido a un individuo o grupo de individuos específico con mensajes que parecen provenir de emisores legítimos que tienen una relación con el objetivo.
  
  

• Compromiso de correo electrónico del negocio, un ataque de phishing focalizado que envía a la víctima un correo electrónico fraudulento desde la cuenta de correo electrónico suplantada o secuestrada de un compañero de trabajo o colega
  
  
• Whale phishing, un ataque de phishing focalizado dirigido específicamente a ejecutivos de alto nivel o funcionarios corporativos.

El phishing es una forma de ingeniería social, una clase de ataques y tácticas que explotan los sentimientos de miedo o urgencia para manipular a las personas a que cometan otros errores que comprometen sus activos o su seguridad personal u organizacional. La ingeniería social puede ser tan simple como dejar una unidad USB infectada con un malware donde alguien la encuentre (porque "hey, ¡unidad USB gratis!"), o tan complejo como pasar meses para cultivar una relación romántica a larga distancia con la víctima con el fin de estafarle el boleto de avión para "finalmente reunirse".

Debido a que la ingeniería social explota la debilidad humana en lugar de las vulnerabilidades técnicas, a veces se le llama "piratería humana".

Este tipo de ciberataque funciona inundando una red o servidor con tráfico, lo que hace que no esté disponible para los usuarios. Un ataque de denegación distribuida del servicio (DDoS) marca una red distribuida de equipos para enviar el tráfico maligno, creando un ataque que puede abrumar al objetivo más rápido y ser más difícil de detectar, prevenir o mitigar.

Las amenazas persistentes avanzadas (APT) son ciberataques sofisticados que abarcan meses o años en lugar de horas o días. Las APCT permiten a los actores de amenazas operar sin ser detectados en la red de la víctima: infiltrarse en los sistemas informáticos, realizar espionaje y reconocimiento, aumentar privilegios y permisos (llamado movimiento lateral) y robar datos confidenciales. Debido a que pueden ser increíblemente difíciles de detectar y relativamente costosos de ejecutar, las APCT suelen ser iniciadas por actores del estado de la nación u otros actores de amenazas bien financiados.

Un ataque de puerta trasera explota una apertura en un sistema operativo, aplicación o sistema informático que no está protegido por las medidas de ciberseguridad de una organización. A veces, la puerta trasera la crea el desarrollador del software o el fabricante del hardware para permitir actualizaciones, arreglos de errores o (irónicamente) parches de seguridad; otras veces, los actores de la amenaza crean puertas traseras por su cuenta utilizando malware o pirateando el sistema. Las puertas traseras permiten a los atacantes entrar y salir de los sistemas informáticos sin que los detecten.

Los términos actor de amenaza, hacker y delincuente cibernético suelen utilizarse indistintamente, especialmente en Hollywood y en la cultura popular. Pero hay diferencias sutiles en los significados de cada una y su relación entre sí.

• No todos los actores de amenazas o delincuentes cibernéticos son hackers. Por definición, un hacker es alguien con habilidades técnicas para comprometer una red o sistema informático. Pero algunos actores de amenazas o delincuentes cibernéticos no hacen nada más técnico que dejar una unidad USB infectada para que alguien la encuentre y la utilice, o enviar un correo electrónico con malware adjunto.

• No todos los hackers son actores de amenazas o delincuentes cibernéticos. Por ejemplo, algunos hackers denominados hackers éticos se hacen pasar por delincuentes cibernéticos para ayudar a organizaciones y organismos públicos a comprobar la vulnerabilidad de sus sistemas informáticos frente a las ciberamenazas.

• Ciertos tipos de actores de amenazas no son delincuentes cibernéticos por definición o intención, pero sí en la práctica. Por ejemplo, un amante de la adrenalina que "simplemente se está divirtiendo" podría apagar la red eléctrica de una ciudad durante unos minutos. Del mismo modo, un hacktivista que extrae y publica información confidencial del gobierno en nombre de una causa noble puede estar cometiendo un delito cibernético, independientemente de sus intenciones o creencias.

A medida que la tecnología se vuelve más sofisticada, también lo hace el panorama de amenazas cibernéticas. Para adelantarse a los actores de amenazas, las organizaciones están evolucionando continuamente sus medidas de ciberseguridad y se vuelven más inteligentes con respecto a la inteligencia de amenazas. Algunos pasos que toman las organizaciones para mitigar el impacto de los actores de amenazas, o incluso prevenirlos por completo, incluyen:

• Capacitación en concientización sobre seguridad. Debido a que los actores de amenazas suelen explorar los errores humanos, la capacitación de los empleados es una línea defensiva importante. La capacitación de concientización sobre seguridad puede abarcar cualquier cosa, desde no usar dispositivos autorizados por la empresa y almacenar correctamente las contraseñas, hasta técnicas para reconocer y tratar los correos electrónicos de phishing.
   

• Autenticación multifactor y adaptativa. La implementación de la autenticación multifactor requiere que los usuarios proporcionen una o más credenciales además de un nombre de usuario y una contraseña. Del mismo modo, la autenticación adaptativa solicita a los usuarios credenciales adicionales cuando inician sesión desde diferentes dispositivos o ubicaciones, lo que evita que los hackers accedan a una cuenta de correo electrónico, incluso si logran robar la contraseña del usuario.

• Soluciones de seguridad endpoint. Estas van desde el software antivirus, que detecta y detiene el malware y los virus conocidos, hasta herramientas, como las soluciones de detección y respuesta de endpoints (EDR), que utilizan inteligencia artificial (IA) y analytics para ayudar a los equipos de de seguridad a detectar y responder a las amenazas que traspasan el tradicional software de seguridad endpoint.
  
  
• Tecnologías de seguridad de red. La tecnología de seguridad de red básica es el cortafuegos, que impide que el tráfico sospechoso entre o salga de una red mientras deja pasar el tráfico legítimo. Otras tecnologías incluyen sistemas de prevención de intrusiones (IPS), que monitorean la red para detectar amenazas potenciales e intervienen para detenerlas, y detección y respuesta de redes (NDR), que utilizan IA, aprendizaje automático y analytics de comportamiento para ayudar a los profesionales de seguridad a detectar y automatizar las respuestas.

• Software de seguridad empresarial. Estas soluciones pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) a detectar e interceptar la actividad sospechosa o maligna en todos los dominios de la infraestructura de TI: endpoints, correo electrónico, aplicaciones, red y cargas de trabajo en la nube. Incluyen (pero no se limitan a) orquestación, automatización y respuesta en materia de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM) y detección y respuesta extendidas (XDR).

Las organizaciones también pueden realizar evaluaciones de seguridad periódicas para identificar las vulnerabilidades del sistema. El personal interno de TI es capaz de realizar estas auditorías, pero algunas empresas las subcontratan a expertos o proveedores de servicios externos. La actualización periódica del software también ayuda a empresas y particulares a detectar y corregir posibles puntos vulnerables de sus sistemas informáticos.