¿Qué es un malintencionado?

Tipos de malintencionados

Los malintencionados se presentan de muchas maneras, cada uno con sus propias motivaciones, tácticas y objetivos. Comprender estas distinciones es fundamental para defenderse eficazmente de ellos.

Miembros de estados-nación

Los actores de Estados-nación suelen ser grupos o individuos patrocinados por gobiernos que participan en ciberoperaciones maliciosas (como ciberespionaje, robo de datos y amenazas persistentes avanzadas [APT]) para lograr objetivos políticos, militares o económicos. Estos actores suelen ser muy sofisticados y cuentan con muchos recursos, y a menudo tienen como objetivo infraestructuras críticas, agencias gubernamentales e industrias clave.

Ejemplo: en 2021, el grupo de hackers vinculado a Rusia NOBELIUM (también conocido como Midnight Blizzard) vulneró las seguridad de Microsoft y atacó datos de clientes a través de la cuenta de un revendedor comprometido como parte de una campaña de ciberespionaje más amplia. 

Ciberdelincuentes

Los ciberdelincuentes son personas o grupos que utilizan ciberataques principalmente para obtener beneficios económicos. A menudo emplean tácticas como ransomware, phishingy robo de identidad para extorsionar a las víctimas o robar datos valiosos. 

Ejemplo: El grupo de ransomware Dark Angels cifra los datos de las víctimas y exige un rescate para descifrarlos. Tienen como objetivo las redes corporativas y amenazan con fugar datos robados si no se cumplen sus exigencias, a menudo mediante tácticas de doble extorsión.

Agentes internos

Las amenazas internas se originan dentro de una organización y pueden ser maliciosas o no intencionales. Estas amenazas suelen implicar a empleados o contratistas que tienen acceso a información confidencial y la utilizan indebidamente en beneficio propio, por venganza o por negligencia, como sucede en el caso de las víctimas de phishing. 

Ejemplo: en 2023, los investigadores de IA de Microsoft expusieron accidentalmente 38 TB de datos confidenciales, incluidas claves privadas y contraseñas, al configurar erróneamente una URL de almacenamiento compartido de Azure utilizada para el desarrollo de la IA de código abierto.

Hacktivistas

Los hacktivistas son aquellos que utilizan técnicas de hackeo para promover o impulsar sus agendas, ya sean sociales o políticas. Sus ataques suelen tener como objetivo interrumpir servicios, alterar sitios web o filtrar información para llamar la atención sobre sus causas. 

Ejemplo: Anonymous, un grupo hacktivista descentralizado, lanzó ataques contra sitios web del gobierno ruso en 2022 en respuesta a la invasión de Ucrania. Otro ejemplo es el grupo LulzSec, que atacó a corporaciones y agencias gubernamentales en 2011.

Script kiddies

Los "script kiddies" son hackers inexpertos que utilizan scripts preescritos o herramientas desarrolladas por otros para lanzar ataques. Si bien generalmente carecen de habilidades avanzadas, aún así pueden causar daños importantes, en particular al explotar vulnerabilidades conocidas y sistemas poco seguros. Estos malintencionados menos experimentados han encontrado un mayor éxito a través de servicios de ciberdelincuencia como el ransomware como servicio (RaaS) y los avances en la IA generativa.

Ejemplo: en 2016, un grupo de script kiddies utilizó la botnet Mirai para lanzar un ataque masivo de denegación de servicio distribuido (DDoS) que colapsó partes importantes de Internet. Otro ejemplo es el hackeo de Twitter de 2019, donde unos adolescentes obtuvieron acceso a cuentas de alto perfil mediante técnicas de ingeniería social.

Motivaciones de los malintencionados 

Los malintencionados tienen una variedad de motivaciones, cada una de las cuales influye en la naturaleza y gravedad de sus acciones a diferentes escalas. Los ciberdelincuentes motivados por el dinero, por ejemplo, a menudo buscan robar información confidencial, como números de tarjetas de crédito o propiedad intelectual, que pueden vender en el mercado negro o usar para extorsionar mediante ataques de ransomware. 

Otros están motivados por la ideología política. En estos casos, los actores pueden atacar a organizaciones o gobiernos para promover sus creencias, perturbar sus operaciones o exponer lo que perciben como injusticias. Estos actores ven sus ciberataques como una modalidad de protesta, con el objetivo de influir en la opinión pública o presionar a los gobernantes para que cambien sus políticas. 

Luego están aquellos motivados por la venganza o simplemente la emoción del desafío. Empleados descontentos o antiguos socios pueden lanzar ataques contra una organización por rencor, buscando saldar cuentas personales. Otros, sobre todo los hackers más jóvenes o con menos experiencia, pueden estar motivados por la adrenalina de entrar en un sistema seguro, buscando el reconocimiento que conlleva llevar a cabo un arriesgado ciberataque. Para estas personas, el acto en sí es a menudo más importante que el resultado.

Técnicas y tácticas utilizadas por los malintencionados

A continuación se describen algunos de los métodos más comunes que emplean los actores malintencionados para aprovecharse de una persona u organización:

• Phishing: el phishing ataca con técnicas engañosas de "ingeniería social" para engañar a los usuarios con el fin de que divulguen información confidencial, transfieran sumas de dinero, etc. Entre sus tipos se incluyen correos electrónicos o mensajes de texto, sitios web falsos utilizados para robar credenciales, ataques de vishing y otros que atraen a las víctimas para que confíen en el atacante. Sigue siendo un método de ciberataque dominante, con un aumento de los intentos del 58.2 % en 2023
• Malware: el malware es un software malicioso diseñado para invadir un sistema informático y ejecutar acciones hostiles, como robar o cifrar información confidencial, asumir el control de funciones del sistema o propagarse a otros dispositivos, casi siempre para obtener una ganancia. Existen muchos tipos de malware, entre ellos el ransomware, spyware, adware y troyanos. Obtenga más información sobre los desarrollos de malware más recientes aquí.
• Amenazas persistentes avanzadas (APT): las APT son un sello distintivo de los malintencionados de los Estados-nación y de los ciberdelincuentes sofisticados, en los que un atacante obtiene acceso sigilosamente a la red de una organización y establece un punto de apoyo, lo que le permite permanecer allí sin ser detectado durante un período prolongado. Las APT suelen tener como objetivo una empresa específica y tienden a utilizar malware avanzado que puede eludir o esquivar las medidas de seguridad habituales.
• Técnicas de amenazas internas: una persona con acceso autorizado a los sistemas y datos de una organización hace un uso indebido de sus privilegios para perjudicar a la organización. Las amenazas internas pueden ser intencionales o no intencionales y pueden provenir de empleados, contratistas, proveedores externos o socios.

Ciberataques en el mundo real

Los métodos de ciberataque son numerosos y recientemente hemos visto muchos ejemplos dignos de mención. A continuación se presentan algunos ataques notables del mundo real que resaltan su impacto potencial:

Ataque a SolarWinds 

En diciembre de 2020, el ataque a SolarWinds tuvo como objetivo la plataforma de software Orion, utilizada por miles de organizaciones en todo el mundo. Los malintencionados insertaron código malicioso en las actualizaciones de software, que luego se distribuyeron a más de 18,000 clientes, incluidos organismos gubernamentales y grandes empresas. Esta violación provocó el acceso no autorizado a datos y redes confidenciales, y los atacantes pasaron desapercibidos durante varios meses. Se considera una de las campañas de ciberespionaje más importantes de la historia.

Ransomware WannaCry

En mayo de 2017, el ataque del ransomware WannaCry se propagó rápidamente por todo el mundo, afectando a cientos de miles de computadoras en más de 150 países. Esta cepa explotó una vulnerabilidad en los sistemas operativos Windows, cifrando archivos y exigiendo pagos de rescate en bitcoin. Los servicios críticos, incluidos los sistemas sanitarios como el Servicio Nacional de Salud del Reino Unido (NHS), se vieron gravemente perturbados como consecuencia de ello. A pesar de su amplio impacto, el ataque fue mitigado en gran medida en cuestión de días gracias a un kill switch descubierto.

Scattered Spider

Scattered Spider es un grupo de amenazas con motivaciones financieras que surgió alrededor de 2022, conocido por atacar a empresas de telecomunicaciones y tecnología. El grupo utiliza tácticas de ingeniería social, como phishing e intercambio de tarjetas SIM, para obtener acceso a redes corporativas y perpetrar fraudes o implementar ransomware. Las empresas en la mira de Scattered Spider han enfrentado importantes interrupciones operativas y pérdidas financieras, y sus sofisticadas tácticas lo convierten en una amenaza formidable.

Colonial Pipeline

El ataque a Colonial Pipeline en mayo de 2021 fue un ataque de ransomware llevado a cabo por el grupo DarkSide, dirigido al oleoducto de combustible más grande de los EE. UU. Explotó medidas de ciberseguridad obsoletas, lo que provocó un cierre que interrumpió el suministro de combustible en toda la costa este. El ataque puso de relieve las vulnerabilidades de la infraestructura crítica, exponiendo la necesidad de una ciberseguridad más sólida en los servicios esenciales. 

Dark Angels

Dark Angels es un grupo de ransomware que surgió en 2022 y es conocido por sus sofisticadas tácticas. Suelen atacar a una empresa de gran valor a la vez y exigen rescates muy costosos. El grupo suele utilizar métodos de doble extorsión, donde no solo cifran los datos de la víctima, sino que también amenazan con fugar información confidencial si no se paga el rescate. Sin embargo, esta táctica no se empleó para orquestar el pago de un rescate récord de 75 millones de dólares descubierto por ThreatLabz en 2024.

Cómo protegerse contra los malintencionados

Los malintencionados encontrarán todos los medios para infiltrarse en sus sistemas. Utilice estas técnicas para garantizar que se eliminen las vulnerabilidades de su organización.

• Mantenga actualizados los sistemas operativos y los navegadores: los proveedores de software abordan con regularidad las nuevas vulnerabilidades detectadas en sus productos y lanzan actualizaciones para mantener sus sistemas protegidos.
• Proteja los datos con copias de seguridad automáticas: implemente un proceso regular de copia de seguridad de los datos del sistema para poder recuperarse si sufre un ataque de ransomware o una pérdida de datos.
• Utilice la autenticación multifactor avanzada (MFA): Las estrategias de control de acceso como MFA crean capas adicionales de defensa entre los atacantes y sus sistemas internos.
• Capacite a sus usuarios: los ciberdelincuentes inventan constantemente nuevas estrategias para llevar a cabo sus ataques, y el elemento humano sigue siendo la mayor vulnerabilidad de cualquier organización. Su organización estará más segura si todos los usuarios comprenden cómo identificar y denunciar el phishing, evitar los dominios maliciosos, etc.
• Invierta en una seguridad Zero Trust exhaustiva e integral: las ciberamenazas han evolucionado en gran medida; para proteger mejor a su fuerza de trabajo y reducir el riesgo a la organización, busque una plataforma de defensa proactiva, inteligente e integral.

Tendencias futuras en las actividades de los malintencionados

He aquí algunas de las maneras en que los malintencionados y los grupos en los que participan seguirán siendo una piedra en el zapato para los equipos de seguridad.

Chatbots oscuros y ataques impulsados por la IA

El flagelo de la “IA para el mal” irá en aumento. Es probable que los ataques impulsados por la IA aumenten a medida que la dark web sirva de caldo de cultivo para que chatbots maliciosos como WormGPT y FraudGPT amplifiquen las actividades de los ciberdelincuentes. Estas herramientas insidiosas se convertirán en un instrumento para ejecutar ingeniería social mejorada, estafas de phishing y otras amenazas diversas.

Ataques de IoT

Los dispositivos IoT vulnerables aumentarán como vector principal de amenazas, exponiendo a las empresas a violaciones y nuevos riesgos de seguridad. La falta de medidas de seguridad estandarizadas por parte de los desarrolladores y fabricantes de dispositivos de IoT genera vulnerabilidades que los atacantes pueden explotar fácilmente.

Debido a la adopción y el uso generalizado de estos dispositivos, la IoT se ha convertido en un blanco fácil para la obtención de importantes ganancias financieras para los atacantes.

Explotación de las VPN

Dada la frecuencia, gravedad y escala de las vulnerabilidades de las VPN, las empresas deben contar con que esta tendencia continúe. Los malintencionados y los investigadores de seguridad son conscientes del elevado riesgo de vulnerabilidades de alta gravedad en los productos de VPN. A su vez, están buscando activamente más vulnerabilidades, por lo que es probable que se encuentren más CVE en los próximos meses y años.

Protéjase de los malintencionados con Zscaler

Si desea protegerse de los malintencionados desde todos los ángulos, invierta en Zscaler Cyberthreat Protection, parte de nuestra plataforma Zero Trust Exchange™. Zscaler es la nube de seguridad en línea más grande y más implementada del mundo, diseñada específicamente para abordar las cambiantes necesidades de ciberseguridad de las empresas actuales. 

Construida sobre el principio de privilegios mínimos, la arquitectura proxy de Zscaler permite la inspección completa TLS/SSL a escala, con conexiones intermediadas entre usuarios y aplicaciones basadas en la identidad, el contexto y las políticas empresariales, para que pueda:

• Minimizar la superficie de ataque: oculte sus aplicaciones, ubicaciones y dispositivos de Internet, impidiendo que los malintencionados alcancen y vulneren estos activos.
• Prevenir el compromiso: elimine los ataques de phishing y las descargas de malware con una inspección TLS/SSL completa en línea a escala y una prevención de amenazas impulsada por la IA.
• Eliminar el movimiento lateral: minimice el radio de alcance, defiéndase contra las amenazas internas y reduzca la sobrecarga operativa con la segmentación Zero Trust.
• Detener la pérdida de datos: Detecte la TI oculta y las aplicaciones de riesgo con una clasificación automática de los datos confidenciales. Proteja el tráfico de usuarios, cargas de trabajo e IoT/OT para los datos en reposo y en movimiento.

¿Quiere saber más sobre la protección frente a ciberamenazas de Zscaler? Programe una demostración personalizada con uno de nuestros expertos para saber cómo Zscaler le ayuda a mantener a raya a los malintencionados, sin importar lo avanzadas que sean sus técnicas.