Tipologías de Actores de Amenaza

En el ámbito de la ciberseguridad, identificar y comprender las distintas categorías de actores de amenaza es fundamental para desarrollar estrategias de defensa robustas. Cada tipo de actor posee características, motivaciones y capacidades distintivas que influencian sus métodos de ataque.

1. Actores de Amenaza con Bajas Capacidades

1.1. Script Kiddies

Los Script Kiddies representan el nivel más bajo en la escala de sofisticación de los actores de amenaza.

  • Capacidades Técnicas: Utilizan herramientas de hacking preexistentes y scripts automatizados disponibles públicamente, sin comprender a fondo su funcionamiento o los principios subyacentes. Carecen de la capacidad para desarrollar sus propias herramientas o exploits.

  • Modus Operandi: Sus ataques se basan en un enfoque de prueba y error, aplicando indiscriminadamente herramientas con la esperanza de encontrar una vulnerabilidad explotable.

  • Motivación: Generalmente, buscan notoriedad, validación social o simplemente experimentan sin una intención maliciosa profunda o un objetivo específico.

  • Percepción en la Industria: El término "script kiddie" es a menudo despectivo en la comunidad de ciberseguridad, reflejando su falta de habilidad y comprensión técnica.

Ejemplo : Un individuo que descarga un escáner de vulnerabilidades de código abierto y lo ejecuta contra direcciones IP aleatorias, intentando identificar sistemas con puertos abiertos o configuraciones predeterminadas.

2. Hackers Clásicos por Colores de Sombrero

La clasificación por "colores de sombrero" es una convención ética que distingue a los hackers según sus intenciones y la legalidad de sus acciones.

2.1. Black Hats (Sombreros Negros)

Los Black Hats son los ciberdelincuentes por excelencia.

  • Capacidades Técnicas: Poseen habilidades técnicas avanzadas y un profundo conocimiento de sistemas, redes y vulnerabilidades. Son capaces de desarrollar malware personalizado y exploits complejos.

  • Motivación: Su principal impulsor es el interés económico, buscando obtener beneficios financieros a través del robo de datos, el ransomware, el fraude o la extorsión.

  • Legalidad: Operan ilegalmente y sin autorización, con fines maliciosos.

Ejemplo : Un grupo de ciberdelincuentes que diseña una campaña de phishing altamente sofisticada para obtener credenciales bancarias o lanzar un ataque de ransomware dirigido a una corporación, exigiendo un rescate millonario.

2.2. White Hats (Sombreros Blancos)

Los White Hats son profesionales de la ciberseguridad que operan de manera ética y legal.

  • Capacidades Técnicas: Altamente cualificados, utilizan sus habilidades para identificar y remediar vulnerabilidades. Incluyen analistas de seguridad, hackers éticos y pen-testers (probadores de penetración).

  • Motivación: Su objetivo es mejorar la postura de seguridad de sistemas y redes. Trabajan con autorización explícita de los propietarios de los sistemas.

  • Legalidad: Sus actividades son completamente legales y están orientadas a la defensa.

Ejemplo : Un consultor de seguridad que realiza una prueba de penetración autorizada en la infraestructura de una empresa para simular un ataque real, identificar puntos débiles y proporcionar recomendaciones para fortalecer las defensas.

2.3. Gray Hats (Sombreros Grises)

Los Gray Hats ocupan un espacio intermedio entre los White Hats y los Black Hats.

  • Capacidades Técnicas: Son individuos altamente hábiles que, aunque sus intenciones finales pueden ser benignas, emplean tácticas que rozan la ilegalidad o carecen de la autorización adecuada.

  • Modus Operandi: Podrían intentar hackear un sistema sin permiso para descubrir vulnerabilidades, con la intención de informar al propietario del sistema sobre los hallazgos, pero sin una solicitud previa o un contrato formal.

  • Motivación: A menudo, se rigen por la creencia de que "el fin justifica los medios", buscando exponer debilidades para forzar una mejora en la seguridad, aunque sus métodos puedan ser cuestionables éticamente o legalmente.

Ejemplo : Un hacker que descubre una vulnerabilidad en el sitio web de una empresa y, en lugar de contactar directamente a la empresa o a una entidad de seguridad, explota la vulnerabilidad para demostrar su existencia y luego la reporta públicamente o al afectado, sin consentimiento previo.

3. Actores de Amenaza con Motivaciones Específicas

3.1. Hacktivistas

Los Hacktivistas son individuos o grupos que utilizan el hacking como medio para promover una causa política, social o ideológica.

  • Capacidades Técnicas: Generalmente poseen habilidades técnicas avanzadas.

  • Motivación: Su principal impulsor es el activismo social o la justicia social, en contraste con el lucro económico de los Black Hats.

  • Modus Operandi: Sus tácticas pueden incluir:

    • Exfiltración y divulgación de información confidencial al público (filtraciones).

    • Desfiguración de sitios web (defacement) de organizaciones con las que tienen desacuerdos.

    • Ataques de Denegación de Servicio (DoS/DDoS) para interrumpir operaciones.

Ejemplo : Grupos como Anonymous o WikiLeaks, que han llevado a cabo operaciones para exponer supuestas irregularidades gubernamentales o corporativas, o para protestar contra políticas específicas mediante ciberataques.

3.2. Actores Patrocinados por Estados-Nación y Amenazas Persistentes Avanzadas (APT)

Los Actores Patrocinados por Estados-Nación son grupos de hackers que operan bajo el auspicio, la dirección o la financiación de un gobierno. Son la cúspide de la sofisticación en el ciberespacio y a menudo se asocian con Amenazas Persistentes Avanzadas (APT).

  • Capacidades Técnicas: Son extremadamente hábiles y bien financiados, capaces de desarrollar exploits de día cero, malware altamente sigiloso y mantener un acceso persistente a los sistemas comprometidos durante largos períodos sin ser detectados.

  • Motivación: Sus objetivos son generalmente geopolíticos, incluyendo:

    • Ciberespionaje: Robo de propiedad intelectual, secretos de estado o información sensible de inteligencia.

    • Cibersabotaje: Interrupción de infraestructuras críticas o sistemas militares.

    • Guerra cibernética: Desestabilización de adversarios.

  • Modus Operandi: A menudo utilizan grupos de hackers independientes o frentes para mantener la negación plausible, dificultando la atribución directa al estado patrocinador.

Ejemplo : El ataque a Sony Pictures en 2014, atribuido a actores vinculados a Corea del Norte, o las sofisticadas campañas de espionaje atribuidas a grupos APT como Fancy Bear (Rusia) o APT28 (China).

3.3. Sindicatos Criminales Organizados

Los Sindicatos Criminales son organizaciones con una estructura y recursos significativos, dedicadas a actividades ilícitas en el ciberespacio.

  • Capacidades Técnicas: Poseen habilidades considerables y acceso a recursos económicos para financiar sus operaciones, lo que les permite llevar a cabo ataques a gran escala.

  • Motivación: Primordialmente lucro económico, similar a los Black Hats, pero a una escala mucho mayor y con una organización más compleja.

  • Modus Operandi: Operan a menudo desde jurisdicciones internacionales, lo que complica significativamente su procesamiento judicial y extradición. Sus actividades incluyen el ransomware, el fraude bancario a gran escala, el robo de identidades y el tráfico de datos robados.

Ejemplo : Un sindicato criminal con sede en Europa del Este que lanza una campaña global de ransomware, utilizando infraestructuras distribuidas y técnicas de ofuscación para extorsionar a miles de empresas en diferentes países.

3.4. Empresas Deshonestas

Las Empresas Deshonestas son entidades corporativas que emplean tácticas cibernéticas ilegales para obtener una ventaja competitiva desleal o dañar a sus rivales.

  • Motivación: Beneficio comercial, a menudo a través del sabotaje de la reputación de la competencia, el espionaje industrial o la interrupción de operaciones.

  • Modus Operandi: Podrían contratar a grupos de hackers (Black Hats o incluso Gray Hats) para llevar a cabo ataques cibernéticos contra competidores, manteniendo una capa de anonimato.

Ejemplo : Una empresa que contrata a un grupo de ciberdelincuentes para lanzar un ataque DDoS contra la plataforma de comercio electrónico de un competidor durante una temporada de ventas clave, interrumpiendo sus operaciones y desviando clientes.

4. Amenazas Internas (Insider Threats)

Las Amenazas Internas son consideradas entre las más peligrosas debido al acceso privilegiado y el conocimiento del entorno de la víctima que poseen los actores.

  • Acceso: Ya se encuentran dentro de la red o sistema de la organización, lo que les permite eludir muchas de las defensas perimetrales tradicionales.

  • Conocimiento: Su familiaridad con las políticas de seguridad, los sistemas internos y los puntos débiles de la organización los convierte en adversarios formidables.

Se subdividen en varias categorías:

4.1. Empleado Comprometido

Un empleado cuyas acciones están controladas por un tercero externo, a menudo bajo coerción.

  • Motivación: Generalmente, la amenaza de exposición de información personal o vergonzosa (ej. sextorsión).

  • Modus Operandi: Obligado a realizar acciones maliciosas en nombre de los chantajistas para evitar el daño a su reputación o seguridad.

Ejemplo : Un ejecutivo es chantajeado con la divulgación de material comprometedor personal, y bajo esta presión, se ve forzado a instalar malware en la red corporativa o a exfiltrar datos sensibles.

4.2. Empleado Descontento / Ex-empleado

Individuos que actúan por resentimiento o venganza contra su empleador actual o anterior.

  • Motivación: Venganza por un despido percibido como injusto, falta de promoción, o cualquier otro agravio laboral.

  • Modus Operandi: Utilizan su conocimiento interno para causar daño, como la destrucción de datos, el sabotaje de sistemas o la filtración de información confidencial.

Ejemplo : Un ex-empleado de TI que, después de ser despedido, utiliza credenciales que aún no han sido revocadas para borrar bases de datos críticas o deshabilitar sistemas clave de la empresa.

4.3. Buscador de Segundo Ingreso

Un empleado que utiliza los activos o la información de la empresa para beneficio personal.

  • Motivación: Ganancia económica personal adicional.

  • Modus Operandi: Puede implicar el uso indebido de recursos de la empresa (servidores, equipos) para actividades personales lucrativas, o la venta de información privilegiada o datos de clientes.

Ejemplo : Un miembro del departamento de TI que utiliza los servidores de la empresa para minar criptomonedas o un empleado de una institución financiera que vende información privilegiada sobre movimientos de acciones.

4.4. Espía / Saboteador Interno

Un individuo que ha sido infiltrado o cooptado deliberadamente para causar daño o robar información.

  • Motivación: Generalmente, espionaje corporativo o gubernamental, o sabotaje planificado.

  • Modus Operandi: Actúa con un propósito definido de causar daño a la organización o exfiltrar información específica.

Ejemplo : Un ingeniero que se infiltra en una empresa competidora para robar secretos comerciales o propiedad intelectual en beneficio de su empleador original.

4.5. Shadow IT (TI en la sombra)

Fenómeno donde los empleados introducen hardware o software no aprobado en el entorno de trabajo.

  • Motivación: Conveniencia personal, deseo de usar herramientas más eficientes o familiares, o desconocimiento de las políticas de seguridad.

  • Riesgo de Seguridad: El hardware o software no aprobado carece de las validaciones y controles de seguridad establecidos por el departamento de TI, creando nuevas vulnerabilidades y puntos de entrada para ataques.

Ejemplo : Un empleado del departamento de contabilidad que instala una aplicación de gestión de archivos en la nube no autorizada en su computadora de trabajo para compartir documentos más fácilmente, sin considerar los riesgos de seguridad y cumplimiento que esto conlleva.

4.6. Empleado No Intencionado

Individuos que, debido a la falta de concienciación o negligencia, inadvertidamente causan un incidente de seguridad.

  • Motivación: No hay intención maliciosa; el daño es consecuencia de la falta de conocimiento o descuido.

  • Modus Operandi: Pueden caer víctimas de ataques de phishing, hacer clic en enlaces maliciosos, descargar archivos infectados o configurar incorrectamente sistemas sin saberlo.

Ejemplo: Un empleado que recibe un correo electrónico de phishing que simula ser de una entidad legítima (ej. un banco o un servicio de mensajería) y, al hacer clic en un enlace malicioso, descarga malware que compromete la red de la empresa.

AnteriorAtributos de los Actores de AmenazaSiguienteGestión de la Superficie y Vectores de Ataque

Última actualización