Explicación de los atacantes

¿Qué es un atacante?

Un atacante o actor malintencionado es cualquier persona u organización que causa daño intencionadamente en la esfera digital. Se dedican a aprovechar debilidades en dispositivos, redes y sistemas para iniciar ataques disruptivos contra individuos u organizaciones.

La mayoría de la gente está familiarizada con el término "ciberdelincuente". Nos hace pensar en los ladrones que llevan a cabo un ataque de ransomware, o imágenes borrosas de información personal revelada en la dark web. El término "atacante" incluye a ciberdelincuentes, pero también a otras personas. Por ejemplo, engloba ideologías como los hacktivistas (activistas hackers) y los terroristas, las amenazas internas e incluso los trolls de Internet; todos ellos se consideran atacantes.

Víctimas de los atacantes

La mayoría de los atacantes no discriminan a la hora de elegir a sus víctimas. Buscan vulnerabilidades que aprovechar más que personas concretas. De hecho, los estafadores de masas y los hackers automatizados atacan el mayor número de sistemas posible y se propagan de una red a otra como una infección.

Algunos ciberdelincuentes se hacen llamar "responsables de caza mayor" o "amenazas persistentes avanzadas". Atacan intencionalmente víctimas específicas de gran valor. Se toman su tiempo para estudiar a sus víctimas y perpetrar un ataque especializado con más probabilidades de ser efectivo.

Motivos de preocupación

Todos podemos ser víctimas de un atacante. Tanto las empresas como los particulares nos enfrentamos a este riesgo. De hecho, un estudio de la Universidad de Maryland estima que se produce un ciberataque cada 39 segundos.

Además, el nivel de sofisticación de los atacantes avanza al mismo ritmo que la ciberseguridad. El software de seguridad antimalware de tu empresa puede estar actualizado, pero los ciberdelincuentes crean nuevos métodos de ataque cada día. Sin embargo, puedes recurrir a la inteligencia sobre amenazas para tomar decisiones de seguridad informadas y más rápidas como medida de contraataque.

Tipos de atacantes

Existen diferentes tipos de atacantes maliciosos. La mayoría se engloban en la categoría de ciberdelincuentes estándar (estafadores, personas en busca de emociones fuertes y defensores de determinas ideologías). Sin embargo, existen dos tipos especiales: atacantes internos y atacantes patrocinados por Estados.

amenazas internas;

Las amenazas internas son difíciles de identificar y prevenir porque se originan dentro de la red atacada. Las amenazas internas no tienen que sortear los sistemas de defensa para robar datos ni cometer otros ciberdelitos. Pueden llevarlas a cabo empleados, consultores, miembros de la junta directiva o cualquier otra persona con privilegios de acceso al sistema.

Haz clic aquí para obtener más información sobre los indicadores de amenazas internas.

Atacantes patrocinados por Estados

Los atacantes patrocinados por Estados operan a nivel nacional y, a menudo, atacan a la inteligencia de los sectores nuclear, financiero y tecnológico. Por norma general, este tipo de amenazas provienen de organismos de inteligencia gubernamentales o militares, por lo que cuentan con amplios conocimientos, son extremadamente sigilosas y están protegidas por el sistema jurídico de su país. A veces, los Estados recurren a organizaciones externas. Las organizaciones externas no siempre cuentan con los conocimientos necesarios para sortear los controles del Centro de operaciones de seguridad (SOC), pero permiten al Estado negar su responsabilidad.

Además de recopilar inteligencia, los atacantes patrocinados por Estados pueden atacar o intentar sabotear infraestructuras críticas.

Motivaciones de los atacantes

Por norma general, los atacantes y amenazas persistentes avanzadas buscan obtener un beneficio económico. Pueden conseguirlo obteniendo datos que puedan vender a un tercero o directamente de una víctima a través de un ataque de ransomware.

Las amenazas internas pueden seguir el ejemplo de otros ciberataques y vender información a competidores. Además, pueden tener motivaciones más personales: por ejemplo, si tienen sentimientos de rencor hacia su empresa o superior, podrían intentar comprometer como represalia. Según Verizon, el 17 % de las amenazas internas se llevan a cabo simplemente por diversión. Por último, las amenazas internas cuyo objetivo es fundar una empresa de la competencia podrían implicar el robo de datos para obtener una ventaja comercial.

Los atacantes patrocinados por Estados tienen motivaciones políticas o nacionalistas. Su principal objetivo es mejorar la contrainteligencia de su país. Sin embargo, también pueden tener objetivos de carácter más disruptivo, como el espionaje, la difusión de propaganda y desinformación o incluso la obstaculización de la actividad de empresas, líderes o infraestructuras clave. Independientemente de cuál sea su objetivo concreto, los delitos de los atacantes patrocinados por Estados cuentan con apoyo y protección del Estado.

Los terroristas y hacktivistas también tienen motivaciones políticas, pero no actúan a nivel estatal. El objetivo de los hacktivistas es difundir sus ideas y creencias, a menudo relacionadas con un problema social o político. Los terroristas, por su parte, intentan sembrar caos y miedo para lograr sus objetivos.

Cómo anticiparse a los atacantes

La mayoría de los atacantes obtienen acceso a través del phishing. El phishing adopta la forma de correos electrónicos que parecen oficiales en los que se solicita un cambio de contraseña o páginas de inicio de sesión falsas que roban credenciales. Es probable que tus empleados ya no caigan en la estafa nigeriana, pero los métodos de phishing son cada vez más sofisticados. Mientras siga existiendo la posibilidad de que se produzca un error humano, tu empresa seguirá pudiendo ser víctima de un ciberataque.

Medidas para evitar ataques

Algunas prácticas recomendadas para evitar a los atacantes son:

• Formar al personal en ciberseguridad para reducir los errores humanos.
• Utilizar métodos de identificación multifactor y cambiar las contraseñas periódicamente para mantener la seguridad de los datos.
• Monitorizar la actividad de los empleados para detectar posibles amenazas internas.
• Instalar software de ciberseguridad para bloquear a atacantes maliciosos.

Asimismo, debes evitar cualquier tipo de ataque de phishing. Sospecha de los correos electrónicos que requieran una reacción inmediata. Además, asegúrate de mantener todos tus dispositivos actualizados y operando en redes protegidas: cualquier dispositivo con acceso a Internet puede suponer un punto débil en tus defensas.

Sistemas que se deben implementar

Algunos sencillos sistemas de defensa que puedes usar para protegerte de los atacantes son las VPN y las redes de invitados que limitan el acceso de los visitantes a datos y dispositivos confidenciales. También es recomendable contar con un plan de respuesta en caso de que el ataque sea efectivo.

La mejor defensa es un buen ataque. En lugar de responder a los ataques una vez que ya se haya comprometido el sistema, adopta un enfoque proactivo mediante el Threat Hunting. El Threat Hunting es un enfoque humano en el que los Threat Hunters buscan, analizan y destruyen de forma proactiva malware en cuanto detectan actividad inusual. Los equipos de seguridad pueden detener los ciberataques antes de que se produzcan daños irreparables.

Protección frente a atacantes

En este momento, los atacantes maliciosos podrían tenerte en el punto de mira: haz tú lo mismo. Para protegerte de cualquier tipo de ciberataque, descubre los diferentes tipos de amenazas que te acechan e implementa medidas de seguridad activas y efectivas de inmediato.

Descubre cómo CrowdStrike Falcon® Counter Adversary Operations ofrece una solución automática de inteligencia sobre amenazas que incluye Threat Hunting y prevención de ciberataques.