Las ciberamenazas afectan a todo tipo de organizaciones. Desde las empresas más pequeñas hasta las organizaciones empresariales y los gobiernos con enormes equipos de ciberseguridad, nadie está a salvo. Las consecuencias de estos ataques varían, desde filtraciones de datos (https://spintspstaging.wpenginepowered.com/es/identity-library/data-breach/) que exponen información confidencial hasta la paralización de sistemas críticos por ataques de ransomware que cifran los datos y los dejan inaccesibles.
¿Qué es una ciberamenaza?
Una ciberamenaza o amenaza de ciberseguridad es un ataque dirigido a sistemas digitales. Caracterizadas por el uso de software malicioso y el aprovechamiento de vulnerabilidades tecnológicas, las ciberamenazas tienen diversos objetivos. En algunos casos, es financiero, en otro es ideológico.
Sea cual sea la motivación, estos ataques ponen en riesgo los sistemas digitales y comprometen la confidencialidad, la integridad y la disponibilidad de la información (la tríada CIA). Tras una campaña exitosa, las organizaciones deben afrontar las consecuencias de una violación de seguridad y de privacidad de los datos.
¿Qué es la Cybersecurity & Infrastructure Security Agency?
La Cybersecurity & Infrastructure Security Agency (CISA) es un organismo del Department of Homeland Security (DHS) de Estados Unidos encargado de comprender, gestionar y mitigar los riesgos relacionados con la ciberseguridad y las infraestructuras críticas, así como de garantizar su resiliencia frente a incidentes.
Para ayudar tanto a entidades públicas como privadas, la CISA publica periódicamente información actualizada sobre riesgos de alto impacto y análisis de amenazas emergentes. Entre los recursos que pone a disposición del público se incluyen:
- Alertas y avisos
- Mejores prácticas y directrices para proteger las redes
- Detección, respuesta y prevención de incidentes
- Intercambio de información entre partners de todo el mundo
- Información sobre malware, phishing y ransomware
- Actualizaciones sobre amenazas persistentes avanzadas y actores de ciberamenazas de estados-nación
Tipos de ciberamenazas
Amenazas persistentes avanzadas (APT)
Las amenazas persistentes avanzadas aprovechan técnicas avanzadas para ejecutar ciberataques complejos durante largos períodos. Las amenazas persistentes avanzadas suelen estar orquestadas por estados-nación y organizaciones criminales cibernéticas.
Adquisición de cuentas corporativas (CATO)
En este tipo de ataque, los delincuentes se hacen pasar por representantes legítimos de una empresa y engañan a instituciones financieras para que ejecuten transferencias bancarias o transacciones ACH no autorizadas. El objetivo es tomar el control de cuentas corporativas y desviar fondos sin levantar sospechas inmediatas.
Ataques de denegación de servicio distribuidos (DDoS)
Los ataques DDoS buscan interrumpir o incluso paralizar completamente una red saturando sus recursos con tráfico basura proveniente, por lo general, de botnets. Esto provoca una degradación severa del servicio o la imposibilidad de atender solicitudes legítimas. Algunos tipos habituales son:
- DDoS por inundación de HTTP: se utilizan solicitudes de protocolo de transferencia de hipertexto basura para abrumar los sistemas
- Inundación de ICMP: se envía una avalancha de paquetes de solicitud de eco del protocolo de mensajes de control de Internet, lo que consume un ancho de banda entrante y saliente excesivo
- Amplificación NTP: se envían grandes volúmenes de tráfico del Protocolo de Datagramas de Usuario (UDP) a los servidores de Protocolo de Tiempo de Red (NTP) para abrumarlos
- DDoS por inundación de SYN: aprovecha la solicitud de sincronización (SYN) y la secuencia SYN-ACK enviando una avalancha de solicitudes SYN y no respondiendo a SYN-ACK
- DDoS por inundación de UDP: se inunda un host remoto con paquetes UDP dirigidos a puertos aleatorios para consumir sus recursos.
Ataques de inyección
Los ataques de inyección insertan código malicioso en aplicaciones, servicios o sistemas con el fin de manipularlos, comprometerlos o acceder a datos. Entre los vectores más habituales se encuentran:
- Inyección de código
- Secuencias de comandos entre sitios (XSS)
- Inyección de protocolo ligero de acceso a directorios (LDAP)
- Inyección de comandos del sistema operativo (SO)
- Inyección de lenguaje de consulta estructurado (SQL)
- Inyección de entidades externas (XXE) de lenguaje de marcas extensible (XML)
Vulnerabilidades del Internet de las cosas (IoT)
Los dispositivos IoT son especialmente expuestos y constituyen un objetivo frecuente. Su enorme número, su dispersión geográfica y la falta de visibilidad sobre todos ellos hacen difícil gestionarlos y aplicar parches a tiempo. Esto permite a los atacantes comprometerlos y utilizarlos como punto de entrada o como parte de botnets.
Ataques de malware (software malicioso)
El malware es software diseñado para ejecutar acciones dañinas en dispositivos y redes, como extraer información, corromper archivos, tomar el control de sistemas, desplegar ransomware o propagar gusanos y virus. Es uno de los vectores más comunes.
Los atacantes emplean distintas técnicas de distribución según el tipo de malware. Algunos ejemplos son:
- Adware: rastrea la actividad de navegación del usuario para recopilar datos sobre sus intereses y patrones de comportamiento. Aunque no siempre es malicioso, puede impactar en la privacidad si se utiliza sin el consentimiento adecuado.
- Malware sin archivos: en lugar de instalar nuevos programas, modifica archivos y herramientas nativas del sistema (p. ej., WMI, PowerShell) para ejecutar tareas maliciosas. Es difícil de detectar porque se integra en software legítimo.
- Keylogger: tipo de spyware que registra todas las pulsaciones de teclado, capturando credenciales, datos personales y otra información confidencial.
- Ransomware: se propaga mediante archivos adjuntos o enlaces que simulan ser legítimos. Una vez activado, cifra sistemas y datos, dejándolos inutilizables, y exige un pago a cambio de la clave de descifrado. El modelo de “ransomware como servicio” ha facilitado que actores menos sofisticados puedan lanzar ataques muy dañinos.
- Rootkits: colecciones de componentes maliciosos que se instalan a bajo nivel para tomar el control del dispositivo y desplegar más malware, permaneciendo ocultos durante largos periodos.
- Spyware: se oculta en navegadores, aplicaciones, dispositivos móviles o estaciones de trabajo y recopila de forma silenciosa información como contraseñas, números de cuenta y otros datos sensibles para luego enviarlos al atacante.
- Troyanos: se presentan como programas o archivos aparentemente legítimos. Al ejecutarlos, permiten tomar el control del sistema, abrir puertas traseras o facilitar otros ataques. A diferencia de gusanos y virus, no se replican por sí mismos.
- Virus: fragmentos de código que se insertan en aplicaciones o archivos y realizan acciones maliciosas cuando se ejecutan. Se propagan adjuntándose a otros archivos y extendiéndose a través de redes.
- Wipers: diseñados para borrar o inutilizar datos, con el objetivo de causar el máximo daño posible. Suelen asociarse a actores vinculados a estados nación, personas internas maliciosas o grupos que buscan causar destrucción.
- Gusanos: explotan vulnerabilidades y puertas traseras en sistemas operativos para propagarse de forma autónoma. Pueden infectar redes enteras y utilizarlas como plataforma para otros ataques, como campañas DDoS.
Ataques de intermediario (MitM)
En un ataque de hombre en el medio, el atacante intercepta las comunicaciones entre dos puntos (por ejemplo, un usuario y una aplicación). Desde esa posición puede escuchar, modificar el contenido, robar credenciales o introducir código malicioso.
Algunos ejemplos de ataques MitM son:
- Suplantación de DNS: los atacantes utilizan servidores de nombres de dominio falsificados para dirigir a los usuarios a sitios maliciosos encubiertos.
- Secuestro de correo electrónico:falsificación de direcciones o compromisos de cuentas de correo para enviar mensajes que parecen legítimos.
- Suplantación de HTTPS:uso de URLs con aspecto “seguro” para engañar a los usuarios y hacerles confiar en sitios falsos.
- Suplantación de IP: uso de direcciones IP falsificadas para hacerse pasar por un origen de confianza.
- Escuchas de Wi-Fi: creación de puntos de acceso inalámbricos fraudulentos para interceptar el tráfico de los usuarios conectados.
Ataques de ingeniería social
La ingeniería social es especialmente efectiva porque se dirige a las personas, no a las identidades de máquinas. Aprovecha la confianza, la curiosidad o el miedo de los usuarios para eludir controles técnicos y obtener acceso o información.
Ejemplos de ataques de ingeniería social:
- Baiting: atraer a la víctima con una promesa atractiva (regalos, premios, descargas exclusivas) que esconde un engaño.
- Pretexting: el atacante se hace pasar por una figura de autoridad (por ejemplo, personal de la agencia tributaria o de seguridad) para convencer a la víctima de que comparta información sensible.
- Phishing: uso de correos electrónicos con enlaces o adjuntos maliciosos para robar credenciales o instalar malware. Puede ser masivo, selectivo (spear phishing) o dirigido a altos cargos (whaling).
- Piggybacking o tailgating: acceso físico no autorizado a instalaciones siguiendo a una persona con permiso de entrada, aprovechando situaciones como llevar las manos ocupadas o alegar ser nuevo empleado sin tarjeta de acceso.
- Smishing: versión del phishing basada en mensajes de texto (SMS).
- Vishing: variantes basadas en llamadas de voz o mensajes de voz automatizados.
Ataques a la cadena de suministro
En estos ataques, los delincuentes apuntan a proveedores externos vinculados con la organización objetivo. Suelen elegir entidades con controles de seguridad más débiles para comprometerlas primero y, desde ahí, pivotar hacia el objetivo principal.
Los proveedores tecnológicos son especialmente atractivos: comprometer su software o firmware permite introducir código malicioso (como puertas traseras o virus) que se despliega automáticamente cuando los clientes instalan o actualizan el producto.
Principales fuentes de las ciberamenazas
Los actores que lanzan estos ataques pueden ser individuos o grupos, con distintos niveles de sofisticación. Todos aprovechan debilidades para obtener acceso no autorizado a sistemas, datos, aplicaciones y redes, con objetivos que pLos actores que lanzan estos ataques pueden ser individuos o grupos, con distintos niveles de sofisticación. Todos aprovechan debilidades para obtener acceso no autorizado a sistemas, datos, aplicaciones y redes, con objetivos que pueden ir desde algo relativamente “benigno” (como desviar capacidad de cómputo) hasta la extorsión o la destrucción deliberada.
Entre los actores más habituales se incluyen:
Espías corporativos y grupos organizados de cibercrimen
Si bien sus motivaciones específicas son diferentes, los espías corporativos y los grupos organizados de delitos cibernéticos son actores de ciberamenazas muy sofisticados y un riesgo grave para las organizaciones a las que atacan. Ambos tienen acceso a la tecnología y los recursos necesarios para llevar a cabo ataques coordinados a gran escala que pueden comprometer incluso los sistemas de seguridad más sólidos.
- Espías corporativos: se centran en robar secretos comerciales u otra información estratégica (datos de ventas, clientes, planes de producto, innovaciones tecnológicas) de una o pocas organizaciones concretas.
- Grupos de ciberdelincuencia organizada: buscan principalmente el lucro económico, ya sea robando información que puedan revender, ejecutando fraudes financieros o lanzando ataques de ransomware para extorsionar a múltiples víctimas.
Estados-nación
Los actores de ciberamenazas de estados-nación provienen de países hostiles que lanzan ciberataques contra instituciones y organizaciones de otros gobiernos por una variedad de razones relacionadas con el avance de sus intereses geopolíticos. Estos ataques tienen varios objetivos, incluido robar dinero o información confidencial, crear interrupciones y caos, interrumpir las comunicaciones e infligir daños.
Al igual que los espías corporativos y los grupos organizados de cibercrimen, los actores de amenazas de los estados-nación son muy sofisticados y capaces de llevar a cabo ataques a gran escala. Se considera que plantean los riesgos más importantes porque suelen llevar a cabo los ciberataques más sofisticados y cuentan con los recursos para planificar y ejecutar ataques que pueden durar años.
Estos grupos cuentan con recursos y personal específicos para ejecutar sus programas y, a menudo, recurren a actores de ciberamenazas patrocinados por el estado para llevarlos a cabo o apoyarlos. A los actores de amenazas de estados-nación se les atribuyen muchas amenazas persistentes avanzadas y la creación de legiones de botnets (es decir, grupos de ordenadores infectados con malware que se utilizan para respaldar ataques).
Organizaciones terroristas
Los terroristas son actores de ciberamenazas particularmente aterradores porque sus objetivos pueden ser muy devastadores. A veces, los actores de amenazas terroristas simplemente quieren robar dinero o información confidencial para vender.
Sin embargo, también ejecutan ciberataques con la intención explícita de provocar daños catastróficos, como causar daños físicos a sus objetivos, crear perturbaciones económicas, destruir infraestructuras críticas, difundir desinformación o amenazar la seguridad nacional. La sofisticación de los actores de ciberamenazas terroristas varía mucho, pero su intención es siempre maliciosa.
Hackers
Bajo esta etiqueta se agrupan individuos que lanzan ataques contra organizaciones utilizando técnicas diversas, a menudo ya conocidas pero aún efectivas. Sus motivaciones abarcan desde mejorar su estatus personal hasta obtener venganza o conseguir beneficios económicos.
Personas internas maliciosas
Los insiders maliciosos suponen un riesgo especialmente alto, porque conocen el entorno de la organización y, en muchos casos, tienen acceso legítimo a sistemas y datos sensibles. Un administrador con privilegios elevados, por ejemplo, puede causar un daño significativo si decide actuar en contra de la empresa, ya sea por descontento o por haber sido reclutado por grupos externos.
Hacktivistas
Actúan de forma individual o en colectivos, utilizando herramientas digitales para promover objetivos ideológicos o políticos. Sus campañas suelen centrarse en mandar un mensaje, dañar la reputación de una organización o interrumpir servicios, utilizando en muchos casos vectores conocidos pero todavía efectivos.
Desastres naturales
Fenómenos como tormentas, incendios o terremotos pueden provocar interrupciones severas en las infraestructuras de TI, dañar centros de datos y afectar a la disponibilidad de servicios. Aunque no son ataques intencionados, deben considerarse en la planificación de la resiliencia.
Insiders accidentales
Son usuarios autorizados que causan daños sin intención maliciosa: compartir datos con destinatarios equivocados, hacer clic en enlaces de phishing, usar dispositivos personales sin protección o almacenar información sensible en ubicaciones no seguras.
Errores
Configuraciones incorrectas, puertos abiertos, permisos excesivos o fallos en la gestión de parches también se consideran fuentes de riesgo. Estos errores pueden facilitar que otros actores exploten las debilidades y materialicen un ataque.
Mitigar las ciberamenazas con un enfoque holístico
Los ataques modernos suelen combinar varios vectores a la vez, buscando siempre la ruta de menor resistencia. Por ello, la protección eficaz requiere un enfoque integral que abarque tecnología, procesos y personas.
Los sistemas de seguridad robustos y los marcos de prevención de amenazas deben complementarse con una formación continua y transversal para todos los usuarios. La ciberseguridad debe entenderse como una responsabilidad compartida: cada persona de la organización debe saber cómo puede ser objetivo de un ataque y qué debe hacer para reducir el riesgo, desde identificar correos de ingeniería social hasta evitar accesos físicos no autorizados a instalaciones y equipos.
