¿Qué es un actor de amenazas?
Un actor de amenaza es un término utilizado para describir una entidad que potencialmente puede atacar la infraestructura digital o la red de una organización. Esto incluye a los ciberdelincuentes profesionales y a las ciberbandas, a los agentes del Estado-nación/grupos patrocinados por el Estado, a los agentes de amenazas persistentes avanzadas, a los hacktivistas, a los intrusos maliciosos e incluso a los trolls.
Por lo general, las amenazas buscan vulnerabilidades en el entorno informático de un objetivo para acceder a sistemas y datos de gran valor por motivos financieros o políticos.
El objetivo exacto depende del modus operandi del atacante.
Tipos de actores de amenazas
Como ya se ha mencionado, los actores de las amenazas tienen formas y tamaños muy diferentes.
Ciberdelincuentes
Esta categoría se refiere a los actores de amenazas que cometen ciberdelitos para ganar dinero. Los ciberdelincuentes suelen atacar ordenadores y otros sistemas informáticos con técnicas fáciles de conseguir, como el phishing o el aprovechamiento de vulnerabilidades de software para infectar los dispositivos con virus, malware, ransomware y spyware.
Una vez que han comprometido un dispositivo o una red, generalmente intentan localizar y extraer datos de gran valor y propiedad intelectual para venderlos en línea a través de foros de piratas informáticos y la dark web.
Aunque la mayoría de los ciberdelincuentes buscan exploits sencillos de los sistemas, las ciberbandas más experimentadas pueden utilizar técnicas más avanzadas para lograr sus objetivos.
Actores estatales / grupos patrocinados por el Estado
Estos actores de amenazas son grupos que trabajan con autorización y financiación de un gobierno de un Estado-nación para llevar a cabo actividades de espionaje o atacar las infraestructuras críticas de una nación extranjera.
Mientras que algunos países colaboran con agentes estatales para perturbar a otros por motivos políticos, otros, como Corea del Norte, trabajan con ciberdelincuentes para ganar dinero. La importante financiación proporcionada a los actores del Estado-nación los convierte en una de las entidades más difíciles de defender para las organizaciones.
Hacktivistas
Los hacktivistas son actores de amenazas con motivaciones políticas que buscan interrumpir las operaciones informáticas de un objetivo o filtrar datos para lograr un objetivo político o social. Uno de los ejemplos más famosos es Anonymous, un grupo de piratas informáticos que supuestamente se originó en 4Chan.
Otro ejemplo es el Ejército de TI de Ucrania, un grupo voluntario de individuos que han acordado participar en operaciones cibernéticas disruptivas contra el Estado ruso. Los grupos hacktivistas suelen recurrir a los ataques de denegación de servicio (DoS) y denegación directa de servicio (DDoS) para provocar la inactividad de sus objetivos o intentar filtrar datos al público.
Insiders maliciosos
Los intrusos maliciosos son todos los actores de amenazas que residen dentro de una organización. Esto incluye a empleados, contratistas o cualquier persona con acceso a la infraestructura de TI o a información protegida.
Los empleados pueden convertirse en malintencionados si están descontentos y quieren vengarse de un empleador o sacar provecho.
En algunos casos, las bandas de ransomware y otras entidades ofrecerán pagar a iniciados para obtener acceso inicial a un entorno. Es difícil defenderse de los intrusos malintencionados porque muchos equipos de seguridad pasan por alto la posibilidad de que se produzcan ataques desde dentro.
Trolls
Vale la pena señalar que algunos actores de amenazas son simplemente trolls que quieren perturbar su entretenimiento. Un ejemplo fue un grupo de adolescentes que utilizó un ataque DDoS contra la PSN de Sony en 2014.
Estos actores de amenazas varían en experiencia, pero la mayoría se basan en exploits básicos para causar el máximo impacto.
¿Son muy comunes los actores de amenazas? ¿Por qué son un problema?
Los actores de amenazas son una amenaza omnipresente para las organizaciones modernas. El Informe sobre Delitos en Internet 2022 de la Oficina Federal de Investigación (FBI) estima que en 2022 se perdieron más de 10.300 millones de dólares a causa de la ciberdelincuencia, frente a los 3.400 millones de 2021.
En cuanto a las filtraciones de datos, el Identity Theft Resource Center descubrió 1.802 ataques totales en 2022, que afectaron a más de 422.143.312 víctimas.
La información filtrada por los autores de estas amenazas incluía el nombre, el número de la seguridad social, la fecha de nacimiento, la dirección, el permiso de conducir, el historial médico, el número de cuenta bancaria y el seguro médico de los clientes.
Estas violaciones son problemáticas porque exponen los datos de los clientes a la ciberdelincuencia y son costosas para la organización usuaria final.
De hecho, según IBM, el coste medio de una violación de datos es de 4,45 millones de dólares, en gran parte debido a la interrupción de las operaciones y al tiempo de inactividad.
5 herramientas de los actores de amenazas que hay que conocer
Cuando buscan atacar a una organización, los actores de amenazas disponen de varias herramientas básicas en las que se basan para lograr sus objetivos. Algunas de ellas son las siguientes:
Virus
Muchos actores de amenazas utilizan estafas de phishing, archivos adjuntos maliciosos y archivos infectados en sitios de intercambio de archivos para infectar los dispositivos de los usuarios con virus. Estos virus producen código autorreplicante, que puede propagarse a otros ordenadores y redes.
Malware
Los piratas informáticos también utilizan habitualmente malware o software malicioso para comprometer dispositivos o sistemas informáticos. Esto incluye virus, gusanos, ransomware, spyware y troyanos.
Una vez más, se transmiten a través de estafas de phishing, adjuntos de correo electrónico y archivos comprometidos en sitios de intercambio de archivos.
Ransomware
El ransomware es una forma muy popular de malware que permite a un hacker cifrar los archivos de la víctima. Una vez cifrados los archivos, el pirata emite una nota de rescate en la que amenaza con borrar o filtrar los datos si el usuario no paga.
El ransomware se transmite de la misma forma que la mayoría del malware.
Phishing
El phishing es un ciberdelito en el que un hacker envía correos electrónicos, SMS o mensajes de voz para engañar a los usuarios y hacerles compartir información confidencial dirigiéndoles a un formulario de inicio de sesión falso o descargando un archivo adjunto infectado.
El phishing se utiliza a menudo para infectar los dispositivos de los usuarios con malware.
Ataques de denegación de servicio y denegación de servicio distribuida
Los ataques DOS y DDoS, en los que un atacante intenta saturar una red o un servidor con tráfico, son una opción a la que recurren los hackers que quieren causar interrupciones operativas y dejar a los usuarios sin acceso a servicios críticos.
Explotación de software
A menudo, los piratas informáticos intentan aprovechar las vulnerabilidades del software y las aplicaciones sin parches para conseguir un punto de entrada en el entorno de un usuario. Las vulnerabilidades graves pueden dar a los atacantes la capacidad de ejecutar código de forma remota.
Cómo defenderse de los actores de amenazas
La mayoría de las veces, la defensa contra los actores de amenazas se reduce a seguir las mejores prácticas de ciberseguridad. A continuación se enumeran algunas medidas básicas que puede tomar para defenderse de los actores de amenazas:
- Active la autenticación multifactor. Active la autenticación multifactor en las cuentas de usuario para que los hackers no puedan iniciar sesión con credenciales robadas.
- Instale software antivirus y antimalware. Instale software antivirus y antimalware en los puntos finales para poder identificar, eliminar y prevenir las infecciones por malware.
- Parchee periódicamente el software. Parchee periódicamente las aplicaciones, los sistemas y el software para reducir el número de vulnerabilidades que existen en su entorno y disminuir la posibilidad de que un agente de amenazas pueda utilizar un exploit para entrar.
- Formación sobre seguridad. Eduque a los empleados sobre las mejores prácticas de ciberseguridad con una formación de concienciación sobre seguridad para reducir la posibilidad de que un atacante le pille desprevenido o de que deje sistemas y datos clave en peligro. Esta formación puede cubrir cómo detectar correos electrónicos de phishing, informar de ataques y seleccionar contraseñas seguras.
- Soluciones de seguridad empresarial. El despliegue de herramientas de ciberseguridad como plataformas de supervisión de redes, detección y respuesta ampliadas (XDR), detección y respuesta gestionadas (MDR), orquestación, automatización y respuesta de seguridad (SOAR) y gestión de incidentes y eventos de seguridad (SIEM) puede ayudar a mejorar su capacidad para detectar y responder a los actores de amenazas.