Zpedia 

/ ¿Qué es un actor de amenazas?

¿Qué es un actor de amenazas?

Un actor de amenazas es cualquiera que intenta extorsionar o comprometer a un individuo u organización para obtener ganancias financieras, influencia política, venganza y más. Los actores de amenazas no están limitados a ningún grupo demográfico, geografía o motivo en particular y utilizarán una variedad de técnicas para lograr sus objetivos.

Tipos de actores de amenazas

Los actores de amenazas vienen en muchas formas, cada una con sus propias motivaciones, tácticas y objetivos. Comprender estas distinciones es fundamental para defenderse eficazmente de ellas.

Miembros de estados-nación

Los actores de los Estados-nación suelen ser grupos o individuos patrocinados por el gobierno que participan en operaciones cibernéticas maliciosas (como espionaje cibernético, robo de datos y amenazas persistentes avanzadas [APT]) para lograr objetivos políticos, militares o económicos. Estos actores suelen ser muy sofisticados y contar con buenos recursos, y a menudo atacan infraestructuras críticas, agencias gubernamentales y sectores clave. 

Ejemplo: En 2021, el grupo de hackers vinculado a Rusia NOBELIUM (también conocido como Midnight Blizzard) vulneró las seguridad de Microsoft y atacó datos de clientes a través de la cuenta de un revendedor comprometido como parte de una campaña de ciberespionaje más amplia. 

Ciberdelincuentes

Los ciberdelincuentes son personas o grupos que utilizan ciberataques principalmente para obtener beneficios económicos. A menudo emplean tácticas como ransomware, phishing y robo de identidad para extorsionar a las víctimas o robar datos valiosos. 

Ejemplo: El grupo de ransomware Dark Angels cifra los datos de las víctimas y exige un rescate para descifrarlos. Tienen como objetivo las redes corporativas y amenazan con filtrar datos robados si no se cumplen las demandas, a menudo mediante tácticas de doble extorsión.

Personas con información privilegiada

Las amenazas internas se originan dentro de una organización y pueden ser maliciosas o no intencionales. Estas amenazas a menudo involucran a empleados o contratistas que tienen acceso a información confidencial y la usan indebidamente para beneficio personal, venganza o por negligencia, como ser víctimas de ataques de phishing. 

Ejemplo: En 2023, los investigadores de IA de Microsoft expusieron accidentalmente 38 TB de datos confidenciales, incluidas claves privadas y contraseñas, al configurar incorrectamente una URL de almacenamiento compartido de Azure utilizada para el desarrollo de IA de código abierto.

Hacktivistas

Los hacktivistas son aquellos que utilizan técnicas de piratería informática para promover o impulsar sus agendas, ya sean sociales o políticas. Sus ataques a menudo tienen como objetivo interrumpir servicios, desfigurar sitios web o filtrar información para llamar la atención sobre sus causas. 

Ejemplo: Anonymous, un grupo hacktivista descentralizado, lanzó ataques contra sitios web del gobierno ruso en 2022 en respuesta a la invasión de Ucrania. Otro ejemplo es el grupo LulzSec, que atacó a corporaciones y agencias gubernamentales en 2011.

Script kiddies

Los script kiddies son hackers inexpertos que utilizan scripts previamente escritos o herramientas desarrolladas por otros para lanzar ataques. Si bien generalmente carecen de habilidades avanzadas, aún así pueden causar daños importantes, en particular al explotar vulnerabilidades conocidas y sistemas poco seguros. Estos actores de amenazas menos experimentados han tenido mayor éxito a través de servicios de ciberdelito como ransomware como servicio (RaaS) y avances en inteligencia artificial generativa. 

Ejemplo: En 2016, un grupo de script kiddies utilizó la botnet Mirai para lanzar un ataque masivo de denegación de servicio distribuido (DDoS) que derribó grandes porciones de Internet. Otro ejemplo es el hackeo de Twitter de 2019, donde adolescentes obtuvieron acceso a cuentas de alto perfil explotando técnicas de ingeniería social.

Motivaciones de los actores de amenazas 

Los actores de amenazas tienen una variedad de impulsores, cada uno de los cuales influye en la naturaleza y la gravedad de sus acciones en diferentes escalas. Los cibercriminales motivados por el lucro económico, por ejemplo, a menudo buscan robar información confidencial, como números de tarjetas de crédito o propiedad intelectual, que pueden vender en el mercado negro o usar para extorsionar mediante ataques de ransomware. 

Otros están motivados por la ideología política. En estos casos, los actores pueden atacar a organizaciones o gobiernos para promover sus creencias, perturbar sus operaciones o exponer lo que perciben como injusticias. Estos actores ven sus ciberataques como una forma de protesta, con el objetivo de influir en la opinión pública o presionar a los que están en el poder para que cambien políticas. 

Luego están aquellos impulsados por la venganza o simplemente la emoción del desafío. Los empleados descontentos o antiguos socios podrían lanzar ataques contra una organización por despecho y buscando ajustar cuentas personales. Otros, particularmente los hackers más jóvenes o menos experimentados, pueden estar motivados por la adrenalina de irrumpir en un sistema seguro y buscar el reconocimiento que conlleva realizar un atraco cibernético audaz. Para estas personas, el acto en sí es a menudo más importante que el resultado.

Técnicas y tácticas utilizadas por los actores de amenazas

A continuación se presentan algunos de los métodos más comunes que emplean los actores de amenazas para aprovecharse de una persona u organización:

  • Phishing: el phishing es una categoría de ciberataques que utiliza técnicas de ingeniería social para engañar a las personas a fin de que divulguen información confidencial, transfieran sumas de dinero, etc. Hay diversos tipos entre los que se incluyen correos electrónicos o mensajes de texto, sitios web falsos utilizados para robar credenciales, ataques de vishing y otros que atraen a las víctimas para que confíen en el atacante. Sigue siendo un método de ciberataque dominante, con un aumento de intentos del 58,2 % en 2023.
  • Malware: el malware es software malintencionado diseñado para invadir un sistema informático y realizar acciones hostiles, como robar o cifrar información confidencial, hacerse cargo de las funciones del sistema o propagarse a otros dispositivos, generalmente con fines de lucro. Existen muchos tipos de malware, incluidos ransomware, spyware, adware y troyanos. Obtenga más información sobre los desarrollos de malware más recientes aquí.
  • Amenazas persistentes avanzadas (APT): las APT son un sello distintivo de los actores de amenazas de estados nacionales y ciberdelincuentes sofisticados, en los que un atacante obtiene acceso sigiloso a la red de una organización y establece un punto de apoyo, lo que le permite permanecer allí sin ser detectado durante un período prolongado. Las APT a menudo se dirigen a una empresa específica y tienden a utilizar malware avanzado que puede omitir o evitar las medidas de seguridad comunes.
  • Técnicas de amenaza interna: alguien con acceso autorizado a los sistemas y datos de una organización hace mal uso de sus privilegios para afectar negativamente a la organización. Las amenazas internas pueden ser intencionales o no intencionales y pueden provenir de empleados, contratistas, proveedores externos o socios.

Ciberataques en el mundo real

Los métodos de ciberataque son numerosos y recientemente hemos visto muchos ejemplos dignos de mención. A continuación se presentan algunos ataques notables del mundo real que resaltan su impacto potencial:

Ataque de SolarWinds 

En diciembre de 2020, el ataque SolarWinds tuvo como objetivo la plataforma de software Orion, utilizada por miles de organizaciones en todo el mundo. Los actores de amenazas insertaron código malicioso en actualizaciones de software, que luego se distribuyeron a más de 18 000 clientes, incluidas agencias gubernamentales y grandes corporaciones. Esta infracción provocó un acceso no autorizado a datos y redes confidenciales, y los atacantes permanecieron sin ser detectados durante varios meses. Se considera una de las campañas de ciberespionaje más importantes de la historia.

Ransomware WannaCry

En mayo de 2017, el ataque del ransomware WannaCry se propagó rápidamente por todo el mundo, afectando a cientos de miles de ordenadores en más de 150 países. Esta cepa explotó una vulnerabilidad en los sistemas operativos Windows, cifrando archivos y exigiendo pagos de rescate en bitcoin. Como resultado, se vieron gravemente afectados servicios esenciales, incluidos sistemas de asistencia sanitaria como el Servicio Nacional de Salud (NHS) del Reino Unido. A pesar de su amplio impacto, el ataque fue mitigado en gran medida en cuestión de días gracias a un interruptor de seguridad descubierto.

Scattered Spider

Scattered Spider es un grupo de amenazas con motivaciones financieras que surgió alrededor de 2022, conocido por atacar a empresas de telecomunicaciones y tecnología. El grupo utiliza tácticas de ingeniería social, como phishing e intercambio de tarjetas SIM, para obtener acceso a redes corporativas y perpetrar fraudes o implementar ransomware. Las empresas en el punto de mira de Scattered Spider se han enfrentado a importantes interrupciones operativas y pérdidas financieras, y las sofisticadas tácticas del grupo lo convierten en una amenaza formidable.

Colonial Pipeline

El ataque a Colonial Pipeline en mayo de 2021 fue un ataque de ransomware llevado a cabo por el grupo DarkSide, dirigido al oleoducto de combustible más grande de EE. UU. Explotó medidas de ciberseguridad obsoletas, lo que provocó un cierre que interrumpió el suministro de combustible en toda la costa este. El ataque puso de relieve las vulnerabilidades de las infraestructuras esenciales, exponiendo la necesidad de una ciberseguridad más potente en los servicios esenciales. 

Dark Angels

Dark Angels es un grupo de ransomware que surgió en 2022, conocido por sus tácticas sofisticadas, dirigidas a una empresa de alto valor a la vez y por sus altas demandas de rescate. El grupo suele utilizar métodos de doble extorsión, donde no sólo cifran los datos de la víctima, sino que también amenazan con filtrar información confidencial si no se paga el rescate. Sin embargo, esta táctica no se empleó para orquestar un pago récord de 75 millones de dólares estadounidenses de rescate que ThreatLabz descubrió en 2024.

Cómo protegerse contra los actores amenazantes

Los actores de amenazas encontrarán todos los medios para infiltrarse en sus sistemas. Utilice estas técnicas para garantizar que se eliminen las vulnerabilidades de su organización.

  • Mantenga los sistemas operativos y navegadores actualizados: los proveedores de software abordan periódicamente las nuevas vulnerabilidades en sus productos y lanzan actualizaciones para mantener sus sistemas protegidos.
  • Proteja los datos con copias de seguridad automáticas: implemente un proceso regular de copia de seguridad de datos del sistema para que pueda recuperarse si sufre un ataque de ransomware o un evento de pérdida de datos.
  • Utilice la autenticación multifactor avanzada (MFA): las estrategias de control de acceso como MFA crean capas adicionales de defensa entre los atacantes y sus sistemas internos.
  • Capacite a sus usuarios: los ciberdelincuentes inventan constantemente nuevas estrategias para llevar a cabo sus ataques y el factor humano sigue siendo la mayor vulnerabilidad de cualquier organización. Su organización estará más segura si todos los usuarios comprenden cómo identificar y denunciar el phishing, evitar dominios maliciosos, etc.
  • Invierta en una seguridad de zero trust integral e integrada: las ciberamenazas han avanzado mucho; para proteger mejor a su personal y reducir el riesgo organizacional, busque una plataforma de defensa proactiva, inteligente e integral.

Tendencias futuras en las actividades de los actores de amenazas

A continuación se presentan algunas de las formas en que los actores de amenazas y los grupos en los que participan seguirán dando quebraderos de cabeza a los equipos de seguridad.

Chatbots oscuros y ataques impulsados por IA

El azote de la “IA para el mal” crecerá. Es probable que los ataques impulsados por IA aumenten, ya que la web oscura sirve como caldo de cultivo para que chatbots maliciosos como WormGPT y FraudGPT amplifiquen las actividades cibercriminales. Estas perniciosas herramientas serán fundamentales para ejecutar ingeniería social mejorada, estafas de phishing y varias otras amenazas.

Ataques de IoT

Los dispositivos IoT vulnerables aumentarán como un vector de amenaza principal, exponiendo a las empresas a infracciones y nuevos riesgos de seguridad. La falta de medidas de seguridad estandarizadas por parte de los desarrolladores y fabricantes de dispositivos IoT genera vulnerabilidades que los atacantes pueden explotar fácilmente.

Junto con la adopción y el uso generalizados de estos dispositivos, la IoT se ha convertido en un objetivo fácil y de importantes ganancias financieras para los atacantes.

Explotación de VPN

Dada la frecuencia, gravedad y escala de las vulnerabilidades de VPN reveladas el año pasado, las empresas deberían esperar que esta tendencia continúe. Los actores de amenazas y los investigadores de seguridad son conscientes del mayor riesgo de vulnerabilidades de alta gravedad en los productos VPN. A su vez, buscan activamente más, por lo que es probable que aparezcan nuevos CVE en los próximos meses y años.

Protéjase de los actores de amenazas con Zscaler

Para protegerse de los actores de amenazas desde todos los ángulos, invierta en Zscaler Cyberthreat Protection, parte de nuestra plataforma Zero Trust Exchange™. Zscaler es la mayor nube de seguridad en línea y la más implementada del mundo, diseñada específicamente para abordar las cambiantes necesidades cibernéticas de las empresas actuales. 

 

Protección contra la amenaza cibernética

 

Construida sobre el principio de privilegio mínimo, la arquitectura proxy de Zscaler permite inspección TLS/SSL a escala, con conexiones intermediadas entre usuarios y aplicaciones basadas en identidad, contexto y políticas comerciales.

  • Minimice la superficie de ataque: oculte sus aplicaciones, ubicaciones y dispositivos de Internet, evitando que los actores amenazantes accedan a estos activos y los vulneren.
  • Prevenga riesgos: elimine los ataques de phishing y las descargas de malware con inspección TLS/SSL completa a escala y prevención de amenazas impulsada por IA.
  • Elimine el movimiento lateral: minimice el radio de explosión, defiéndase contra amenazas internas y reduzca los gastos operativos con segmentación de zero trust.
  • Detenga la pérdida de datos: detecte la TI en la sombra y las aplicaciones de riesgo con la clasificación automática de datos confidenciales. Proteja a los usuarios, las cargas de trabajo y el tráfico IoT/OT de datos en reposo y en movimiento.

¿Quiere saber más sobre la protección contra ciberamenazas de Zscaler? Programe una demostración personalizada con uno de nuestros expertos para descubrir cómo Zscaler le ayuda a mantener a raya a los ciberdelincuentes, sin importar lo avanzadas que sean sus técnicas.

Recursos sugeridos

La protección contra ciberamenazas de Zscaler
Visite nuestra página web
Informe sobre el ransomware de Zscaler ThreatLabz 2024
Obtenga el informe
Informe de seguridad de IA de Zscaler ThreatLabz 2024
Obtenga el informe
Informe de riesgos de VPN de Zscaler ThreatLabz 2024 con expertos en ciberseguridad
Obtenga el informe

01 / 02

Preguntas frecuentes

Un actor de amenazas es cualquier entidad que representa un peligro potencial para los sistemas de información, con el objetivo de causar daños, robar datos o interrumpir las operaciones. Podrían emplear piratería, ingeniería social u otros métodos para lograr sus objetivos. Un hacker, por otro lado, se refiere específicamente a alguien que utiliza habilidades técnicas para obtener acceso no autorizado a los sistemas. Aunque a menudo se asocia con actividades maliciosas, el término "hacker" también puede describir a los piratas informáticos éticos (sombreros blancos) que prueban las defensas de seguridad.

Para identificar actores de amenazas que atacan a su organización, supervise el tráfico de la red para detectar actividad inusual, como intentos de acceso no autorizado o exfiltración de datos. Las plataformas de inteligencia de amenazas le ayudarán a analizar patrones de ataque conocidos e indicadores de compromiso (IOC). Además, es importante revisar periódicamente los registros de seguridad, examinar los intentos de phishing y rastrear las vulnerabilidades dentro de sus sistemas. Manténgase actualizado sobre las amenazas específicas de su sector y colabore con comunidades de seguridad externas para obtener información sobre las tácticas adversas emergentes dirigidas a su sector.

Las credenciales a menudo se roban mediante phishing, malware, ingeniería social o explotación de vulnerabilidades. El phishing implica engañar a los usuarios para que revelen sus contraseñas a través de correos electrónicos o sitios web falsos. El malware puede capturar pulsaciones de teclas o robar credenciales almacenadas en los dispositivos. La explotación de vulnerabilidades en el software o las redes puede permitir a los atacantes extraer credenciales directamente. Una vez robadas, las credenciales son utilizadas por actores de amenazas para obtener acceso no autorizado a los sistemas, robar datos, implementar ransomware o moverse lateralmente dentro de una red. También pueden vender las credenciales en los mercados de la web oscura, lo que permite que otros delincuentes lancen más ataques.