¿Qué es un actor de amenazas?
Los actores de amenazas son individuos o grupos que atacan dispositivos digitales, redes o sistemas informáticos
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dibujo isométrico que muestra a personal de oficina diferente utilizando IBM Security
¿Qué es un actor de amenazas?

Los actores de amenazas, también conocidos como actores de ciberamenazas o actores malignos, son individuos o grupos que causan daño intencionalmente a dispositivos o sistemas digitales. Los actores de amenazas aprovechan las vulnerabilidades de los sistemas informáticos, las redes y el software para perpetuar una variedad de ciberataques, incluidos ataques de phishing, ransomware y malware

Hoy en día, hay muchos tipos de actores de amenazas, todos con diferentes atributos, motivaciones, niveles de habilidad y tácticas. Algunos de los tipos más comunes de actores de amenazas incluyen hacktivistas, actores de estados-nación, delincuente cibernético, buscadores de emociones, actores de amenazas internas y ciberterroristas.

A medida que la frecuencia y la gravedad de los ciberdelitos continúan creciendo, comprender estos diferentes tipos de actores de amenazas es cada vez más crítico para mejorar la ciberseguridad individual y organizacional.

Tipos de actores de amenazas

El término actor de amenazas es amplio y relativamente universal, extendiéndose a cualquier persona o grupo que represente una amenaza para la ciberseguridad. Los actores de las amenazas suelen clasificarse en diferentes tipos en función de su motivación y, en menor medida, de su nivel de sofisticación. 

Delincuente cibernético

Estas personas o grupos cometen un delito cibernético, principalmente para obtener ganancias financieras. Los delitos comunes comprometidos por un delincuente cibernético incluyen ataques de ransomware y estafas de phishing que engañan a las personas para que hagan transferencias de dinero o divulguen información de tarjetas de crédito, credenciales de inicio de sesión, propiedad intelectual u otra información privada o confidencial. 

Actores del estado-nación

Los estados de nación y los gobiernos financian frecuentemente a los actores de amenazas con el objetivo de robar datos confidenciales, recopilar información confidencial o interrumpir la infraestructura crítica de otro gobierno. Estas actividades malignas suelen incluir espionaje o guerra cibernética y tienden a ser altamente financiadas, lo que hace que las amenazas sean complejas y difíciles de detectar. 

Hacktivistas

Estos actores de amenazas utilizan técnicas de piratería para promover agendas políticas o sociales, como difundir la libertad de expresión o destapar violaciones de derechos humanos. Los hacktivistas creen que están provocando un cambio social positivo y se sienten justificados para atacar a individuos, organizaciones o agencias gubernamentales con el fin de revelar secretos u otra información sensible. Un ejemplo bien conocido de un grupo hacktivista es Anonymous, un colectivo internacional de hackers que afirma abogar por la libertad de expresión en Internet.

Buscadores de emociones

Los buscadores de emociones son exactamente lo que suenan: atacan la computadora y los sistemas de información principalmente por diversión. Algunos quieren ver cuánta información o datos confidenciales pueden robar; Otros quieren utilizar la piratería para comprender mejor cómo funcionan las redes y los sistemas informáticos. Una clase de buscadores de emociones, llamados script kiddies, carecen de habilidades técnicas avanzadas, pero utilizan herramientas y técnicas preexistentes para atacar sistemas vulnerables, principalmente para diversión o satisfacción personal. Aunque no siempre buscan causar daño, los buscadores de emociones pueden provocar daños involuntarios al interferir en la ciberseguridad de una red y abrir la puerta a futuros ciberataques. 

Amenazas internas

A diferencia de la mayoría de otros tipos de actores, los actores de amenazas internas no siempre tienen intención maligna. Algunos perjudican a sus empresas por errores humanos, por ejemplo instalando malware sin darse cuenta o perdiendo un dispositivo proporcionado por la empresa que un delincuente cibernético encuentra y utiliza para acceder a la red. Pero si existen usuarios internos maliciosos, como el empleado descontento que abusa de sus privilegios de acceso para robar datos con fines lucrativos o que daña datos o aplicaciones como represalia por no haber sido ascendido.

Ciberterroristas

Los ciberterroristas lanzan ciberataques por motivos políticos o ideológicos que amenazan o resultan en violencia. Algunos ciberterroristas son agentes del Estado-nación; otros actúan por su cuenta o en nombre de un grupo no gubernamental. 

Objetivos del actor de amenazas

Los actores de amenazas suelen dirigirse a grandes organizaciones; debido a que tienen más dinero y datos más confidenciales, ofrecen el mayor beneficio potencial. 

Sin embargo, en los últimos años, las pequeñas y medianas empresas (PYMES) también se han convertido en objetivos frecuentes para los atacantes debido a sus sistemas de seguridad relativamente débiles. De hecho, el FBI citó recientemente su preocupación por las crecientes tasas de delitos cibernéticos cometidos contra las pequeñas empresas, compartiendo que solo en 2021, las pequeñas empresas perdieron USD 6.9 mil millones a causa de ciberataques, un aumento del 64 % con respecto al año anterior (el enlace reside fuera de ibm.com).

Del mismo modo, los actores de amenazas atacan cada vez más a personas y hogares por sumas más pequeñas. Por ejemplo, pueden irrumpir en redes domésticas y sistemas informáticos para robar información de identidad personal, contraseñas y otros datos potencialmente valiosos y confidenciales. De hecho, las estimaciones actuales sugieren que uno de cada tres hogares estadounidenses con computadoras están infectados con algún tipo de malware (enlace externo a ibm.com). 

Los actores de amenazas no discriminan. Aunque tienden a buscar los objetivos más gratificantes o significativos, también aprovecharán cualquier debilidad de ciberseguridad, sin importar dónde lo encuentren, haciendo que el panorama de amenazas sea cada vez más costoso y complejo.

Tácticas del actor de amenazas

Los actores de amenazas despliegan una combinación de tácticas al ejecutar un ataque cibernético, recurriendo más a unas que a otras en función de su motivación principal, sus recursos y el objetivo previsto. 

Malware

El malware es un software maligno que daña o deshabilita las computadoras. El malware suelen propagarse a través de documentos adjuntos por correo electrónico, sitios web infectados o software comprometido, y pueden ayudar a los autores de las amenazas a robar datos, hacerse con el control de los sistemas informáticos y atacar otros ordenadores Los tipos de malware incluyen virus, gusanos y caballo de Troya, que se descargan en los ordenadores disfrazados de programas legítimos. 

Más información sobre malware
Ransomware

El ransomware es un tipo de malware que bloquea los datos o el dispositivo de la víctima y amenaza con mantenerlos bloqueados, o peor, a menos que la víctima pague un rescate al atacante. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión que amenazan con robar los datos de la víctima y venderlos o filtrarlos en línea. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en el 2022.

Los ataques de caza de grandes juegos (BGH) son campañas de ransomware masivas y coordinadas que se dirigen a grandes organizaciones y empresas, gobiernos y proveedores de infraestructura crítica que tienen mucho que perder de una interrupción y serán más propensos a pagar un gran rescate.

Obtenga más información sobre el ransomware
Phishing

Los ataques de phishing utilizan correo electrónico, mensajes de texto, mensajes de voz o sitios web falsos para engañar a los usuarios para que compartan datos confidenciales, descarguen malware o se expongan a delitos cibernéticos. Los tipos de phishing incluyen

  • Spear phishing, un ataque de phishing dirigido a un individuo o grupo de individuos específico con mensajes que parecen provenir de emisores legítimos que tienen una relación con el objetivo.

  • Compromiso de correo electrónico del negocio, un ataque de phishing que envía a la víctima un correo electrónico fraudulento desde la cuenta de correo electrónico suplantada o secuestrada de un compañero de trabajo o colega

  • Whale phishing, un ataque de phishing dirigido específicamente a ejecutivos de alto nivel o funcionarios corporativos.
Más información sobre phishing
Ingeniería social

El phishing es una forma de ingeniería social, una clase de ataques y tácticas que aprovechan los sentimientos de miedo o urgencia para manipular a las personas a que cometan otros errores que comprometen sus activos o su seguridad personal u organizacional. La ingeniería social puede ser tan simple como dejar una unidad USB infectada con un malware donde alguien la encuentre (porque "hey, ¡unidad USB gratis!") , o tan complejo como pasar meses para cultivar una relación romántica a larga distancia con la víctima con el fin de estafarle el boleto de avión para "finalmente reunirse".

Debido a que la ingeniería social aprovecha la debilidad humana en lugar de las vulnerabilidades técnicas, a veces se le llama 'piratería humana'.

Más información sobre ingeniería social
Ataques de denegación del servicio

Este tipo de ciberataque funciona inundando una red o servidor con tráfico, lo que hace que no esté disponible para los usuarios. Un ataque de denegación distribuida del servicio (DDoS) marca una red distribuida de equipos para enviar el tráfico maligno, creando un ataque que puede abrumar al objetivo más rápido y ser más difícil de detectar, prevenir o mitigar.

Más información sobre los ataques DDoS
Amenazas persistentes avanzadas

Las amenazas persistentes avanzadas (APT) son ciberataques sofisticados que abarcan meses o años en lugar de horas o días. Las APTs permiten a los actores de amenazas operar sin ser detectados en la red de la víctima: infiltrarse en los sistemas informáticos, realizar espionaje y reconocimiento, aumentar privilegios y permisos (llamado movimiento lateral) y robar datos confidenciales. Debido a que pueden ser increíblemente difíciles de detectar y relativamente costosos de ejecutar, las APTs suelen ser lanzadas por actores del estado de la nación u otros actores de amenazas bien financiados.

Ataques de puerta trasera

Un ataque de puerta trasera aprovecha una apertura en un sistema operativo, aplicación o sistema informático que no está protegido por las medidas de ciberseguridad de una organización. A veces, la puerta trasera la crea el desarrollador del software o el fabricante del hardware para permitir actualizaciones, correcciones de errores o (irónicamente) parches de seguridad; otras veces, los actores de la amenaza crean puertas traseras por su cuenta utilizando malware o pirateando el sistema. Las puertas traseras permiten a los atacantes entrar y salir de los sistemas informáticos sin ser detectados.

Actores de amenazas frente a delincuentes cibernéticos frente a Hackers

Los términos actor de amenaza, hacker y delincuente cibernético suelen utilizarse indistintamente, especialmente en Hollywood y en la cultura popular. Pero hay diferencias sutiles en los significados de cada una y su relación entre sí.

  • No todos los actores de amenazas o delincuentes cibernéticos son hackers. Por definición, un hacker es alguien con las habilidades técnicas para comprometer una red o sistema informático. Pero algunos actores de amenazas o delincuentes cibernéticos no hacen nada más técnico que dejar una unidad USB infectada para que alguien la encuentre y la utilice, o enviar un correo electrónico con malware adjunto.
     

  • No todos los hackers son actores de amenazas o delincuentes cibernéticos. Por ejemplo, algunos hackers denominados hackers éticos se hacen pasar por delincuentes cibernéticos para ayudar a organizaciones y organismos públicos a comprobar la vulnerabilidad de sus sistemas informáticos frente a las ciberamenazas.

  • Ciertos tipos de actores de amenazas no son delincuentes cibernéticos por definición o intención, pero están en práctica. Por ejemplo, un buscador de emociones que "solo se divierte" apagando la red eléctrica de una ciudad durante unos minutos, o un hacktivista que filtra y publica información del gobierno confidencial en nombre de una causa noble, también pueden estar cometiendo un delito cibernético, tengan o no la intención de hacerlo o crean que lo hacen.

 

Mantenerse por delante de los actores de amenazas

A medida que la tecnología se vuelve más sofisticada, también lo hace el panorama de amenazas cibernéticas. Para adelantarse a los actores de amenazas, las organizaciones están evolucionando continuamente sus medidas de ciberseguridad y se vuelven más inteligentes con respecto a la inteligencia de amenazas. Algunas de las medidas que toman las organizaciones para mitigar el impacto de los actores de amenazas, si no detenerlos por completo, incluyen

  • Capacitación en concientización sobre seguridad. Debido a que los actores de amenazas suelen explorar los errores humanos, la capacitación de los empleados es una línea defensiva importante. La capacitación de concientización sobre seguridad puede abarcar cualquier cosa, desde no usar dispositivos autorizados por la empresa, almacenar correctamente la contraseña, hasta técnicas para reconocer y tratar los correos electrónicos de phishing.
     

  • Autenticación adaptable y multifactor. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y contraseña) y/o la autenticación adaptable (que requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) pueden evitar que los piratas informáticos accedan a la cuenta de correo electrónico de un usuario, incluso si es que pueden robar la contraseña de correo electrónico del usuario.

Las organizaciones también pueden realizar evaluaciones de seguridad periódicas para identificar las vulnerabilidades del sistema. El personal interno de TI suele ser capaz de realizar estas auditorías, pero algunas empresas subcontratan a expertos o proveedores de servicios externos. La actualización periódica del software también ayuda a empresas y particulares a detectar y corregir posibles puntos vulnerables de sus sistemas informáticos.

Soluciones relacionadas
IBM® Security QRadar SIEM

Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha el análisis y la IA para monitorear las anomalías en la información sobre amenazas, la red y el comportamiento de los usuarios, y para priorizar dónde se necesitan atención y corrección inmediatas.

Conozca las soluciones de QRadar SIEM

Equipo de respuesta a incidentes X-Force

La búsqueda proactiva de caza de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudar a recuperarse más rápido.

Explore la respuesta ante incidentes de X-Force
Soluciones de protección contra el ransomware

Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza insights de 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing, y datos de reputación de direcciones IP malignos de una red de 270 millones de endpoints.

Conozca las soluciones de protección contra ransomware
Recursos ¿Qué es un ciberataque?

Los ataques cibernéticos son intentos de robar, exponer, alterar, deshabilitar o destruir los activos de otra persona a través del acceso no autorizado a los sistemas informáticos.

Costo de una filtración de datos

En su 17ª edición, este informe comparte los últimos insights sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.

¿Qué es el ransomware?

El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas, hasta que se paga un rescate.

Dé el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para examinar innumerables alertas e incidentes. IBM Security QRadar SIEM facilita la solución de amenazas con mayor rapidez y al mismo tiempo mantiene sus resultados finales. QRadar SIEM prioriza las alertas de alta fidelidad para ayudarlo a detectar amenazas que otros simplemente pierden.

Más información sobre el SIEM QRadar Solicite una demostración de QRadar SIEM