Un actor de amenazas , un mal actor o un actor malicioso es una persona o un grupo de personas que participan en una acción destinada a causar daño al ámbito cibernético, incluidos: computadoras , dispositivos, sistemas o redes . [1] El término se usa generalmente para describir a individuos o grupos que realizan actos maliciosos contra una persona o una organización de cualquier tipo o tamaño. Los actores de amenazas participan en delitos relacionados con el ciberespacio para explotar vulnerabilidades abiertas e interrumpir operaciones. [2] Los actores de amenazas tienen diferentes antecedentes educativos, habilidades y recursos. [1] La frecuencia y clasificación de los ataques cibernéticos cambia rápidamente. Los antecedentes de los actores de amenazas ayudan a dictar a quién apuntan, cómo atacan y qué información buscan. Hay varios actores de amenazas, incluidos: ciberdelincuentes , actores de estados nacionales , ideólogos , buscadores de emociones/trolls, personas con información privilegiada y competidores. [3] Todos estos actores de amenazas tienen distintas motivaciones, técnicas, objetivos y usos de los datos robados. [4] Consulte Amenazas persistentes avanzadas para obtener una lista de los actores de amenazas identificados.
El desarrollo del ciberespacio ha traído consigo ventajas y desventajas para la sociedad. Si bien el ciberespacio ha contribuido a una mayor innovación tecnológica, también ha traído consigo diversas formas de delitos cibernéticos . [2] Desde los albores del ciberespacio, los actores amenazantes individuales, grupales y de estados-nación han participado en delitos relacionados con el ciberespacio para explotar las vulnerabilidades de las víctimas. [2] Hay varias categorías de actores amenazantes que tienen diferentes motivos y objetivos.
Los cibercriminales tienen dos objetivos principales. En primer lugar, quieren infiltrarse en un sistema para acceder a datos o elementos valiosos. En segundo lugar, quieren asegurarse de evitar consecuencias legales después de infiltrarse en un sistema. Los cibercriminales se pueden dividir en tres subgrupos: estafadores masivos /piratas informáticos automatizados, proveedores de infraestructura criminal y cazadores de animales grandes. [3]
Los estafadores masivos y los piratas informáticos automatizados incluyen a los cibercriminales que atacan un sistema para obtener éxito monetario . Estos actores de amenazas utilizan herramientas para infectar los sistemas informáticos de las organizaciones. Luego buscan obtener una compensación financiera para que las víctimas recuperen sus datos. [2] Los proveedores de infraestructura criminal son un grupo de actores de amenazas que tienen como objetivo utilizar herramientas para infectar un sistema informático de una organización. Los proveedores de infraestructura criminal luego venden la infraestructura de la organización a una organización externa para que puedan explotar el sistema. Por lo general, las víctimas de los proveedores de infraestructura criminal no saben que su sistema ha sido infectado. [2] Los cazadores de caza mayor son otro subgrupo de cibercriminales que tienen como objetivo atacar a un objetivo único, pero de alto valor. Los cazadores de caza mayor dedican más tiempo a aprender sobre su objetivo, incluida la arquitectura del sistema y otras tecnologías utilizadas por su objetivo. Las víctimas pueden ser el objetivo de ataques por correo electrónico, por teléfono o por habilidades de ingeniería social. [2]
Los actores de amenazas de los estados-nación tienen como objetivo obtener inteligencia de interés nacional. Los actores de los estados-nación pueden estar interesados en varios sectores, incluida la información nuclear , financiera y tecnológica . [2] Hay dos formas en que las naciones utilizan a los actores de los estados-nación. Primero, algunas naciones hacen uso de sus propias agencias de inteligencia gubernamentales. Segundo, algunas naciones trabajan con organizaciones que se especializan en delitos cibernéticos. Los estados que utilizan grupos externos pueden ser rastreados; sin embargo, los estados podrían no necesariamente asumir la responsabilidad por el acto llevado a cabo por el grupo externo. Los actores de los estados-nación pueden atacar tanto a otras naciones como a otras organizaciones externas, incluidas empresas privadas y organizaciones no gubernamentales. Por lo general, tienen como objetivo reforzar la estrategia de contrainteligencia de su estado-nación. [2] Los ataques de los estados-nación pueden incluir: sabotaje estratégico o ataques a infraestructura crítica . Los estados-nación se consideran un grupo increíblemente grande de actores de amenazas en el ámbito cibernético. [5]
Los actores de amenazas que se consideran ideólogos incluyen dos grupos de atacantes: piratas informáticos y terroristas . Estos dos grupos de atacantes pueden agruparse porque tienen objetivos similares. Sin embargo, los hacktivistas y los terroristas difieren en la forma en que cometen delitos cibernéticos.
El término hacktivismo se acuñó en los primeros días de la World Wide Web. Se deriva de una combinación de dos palabras: hacking y activismo . [2] Los hacktivistas suelen ser personas o entidades que están dispuestas a cometer delitos cibernéticos para promover sus propias creencias e ideólogos. [3] Muchos hacktivistas incluyen idealistas anticapitalistas o anticorporativos y sus ataques están inspirados en cuestiones políticas y sociales similares . [2] El terrorismo incluye individuos o grupos de personas que tienen como objetivo causar terror para lograr sus objetivos. La principal diferencia entre hacktivistas y terroristas es su objetivo final. Los hacktivistas están dispuestos a violar las leyes de seguridad para difundir su mensaje, mientras que los terroristas tienen como objetivo causar terror para lograr sus objetivos. Los ideólogos, a diferencia de otros tipos de actores de amenazas, normalmente no están motivados por incentivos financieros. [2]
Un buscador de emociones es un tipo de actor de amenazas que ataca un sistema con el único propósito de experimentar. [3] Los buscadores de emociones están interesados en aprender más sobre cómo funcionan los sistemas informáticos y las redes y quieren ver cuántos datos pueden infiltrar dentro de un sistema informático. Si bien no buscan causar daños importantes, pueden causar problemas al sistema de una organización. Con el paso del tiempo, los buscadores de emociones han evolucionado hasta convertirse en los trolls modernos. Al igual que los buscadores de emociones, un troll es un tipo de persona o grupo que ataca un sistema por diversión. Sin embargo, a diferencia de los buscadores de emociones, los trolls buscan causar malicia. [2] Los trolls modernos pueden causar desinformación y daños.
Los agentes internos son un tipo de actor de amenazas que puede ser un infiltrado que vende información de la red a otros adversarios o un empleado descontento que siente que necesita tomar represalias porque siente que ha sido tratado injustamente. [3] Los ataques internos pueden ser difíciles de prevenir; sin embargo, con un plan estructurado de registro y análisis, los agentes de amenazas internas pueden detectarse después de un ataque exitoso. Los competidores comerciales pueden ser otro actor de amenazas que puede dañar a las organizaciones. Los competidores pueden obtener acceso a secretos de la organización que normalmente son seguros. Las organizaciones pueden tratar de obtener un conocimiento más sólido de la inteligencia empresarial para protegerse contra un agente de amenazas de la competencia. [3]
Estados Unidos (EE. UU.) - Instituto Nacional de Estándares y Tecnología (NIST)
El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia gubernamental que trabaja en cuestiones relacionadas con la seguridad cibernética a nivel nacional. El NIST ha escrito informes sobre pautas de seguridad cibernética, incluidas pautas para realizar evaluaciones de riesgos. [6] El NIST generalmente clasifica a los actores de amenazas cibernéticas como gobiernos nacionales, terroristas, grupos de crimen organizado, hacktivistas y piratas informáticos. [7]
Unión Europea (UE) - La Agencia de la Unión Europea para la Ciberseguridad (ENISA)
La Agencia de la Unión Europea para la Ciberseguridad es una agencia con sede en la Unión Europea encargada de trabajar en las capacidades de seguridad cibernética. La ENISA proporciona tanto investigación como asistencia a los expertos en seguridad de la información dentro de la UE. [8] Esta organización publicó un informe sobre amenazas cibernéticas hasta 2019. El objetivo de este informe es identificar los incidentes que se han publicado y atribuir esos ataques al actor de amenaza más probable. El último informe identifica a los estados-nación, los ciberdelincuentes, los hacktivistas, los ciberterroristas y los buscadores de emociones. [3] [8]
Naciones Unidas (ONU)
La Asamblea General de las Naciones Unidas (AGNU) también ha estado trabajando para crear conciencia sobre las cuestiones relacionadas con la ciberseguridad. En 2019, la AGNU publicó un informe sobre los avances en el campo de la información y las telecomunicaciones en el contexto de la seguridad internacional. [3] [9] En este informe se identificaron los siguientes actores amenazantes: estados-nación, ciberdelincuentes, hacktivistas, grupos terroristas, buscadores de emociones y personas con información privilegiada. [3] [9]
Canadá - Centro Canadiense de Seguridad Cibernética (CCCS)
Canadá define a los agentes amenazantes como estados, grupos o individuos que buscan causar daño explotando una vulnerabilidad con intenciones maliciosas. Un agente amenazante debe intentar obtener acceso a sistemas de información para acceder o alterar datos, dispositivos, sistemas o redes. [10]
Japón - Centro Nacional de Preparación y Estrategia ante Incidentes (NISC)
El Centro Nacional de Preparación y Estrategia para Incidentes (NISC, por sus siglas en inglés) del gobierno japonés se creó en 2015 para crear un "ciberespacio libre, justo y seguro" en Japón. [11] El NICS creó una estrategia de ciberseguridad en 2018 que describe a los estados-nación y el cibercrimen como algunas de las amenazas más importantes. [12] También indica que el uso del ciberespacio por parte de los terroristas debe ser monitoreado y comprendido. [12]
Rusia - Consejo de Seguridad de la Federación Rusa
El Consejo de Seguridad de la Federación Rusa publicó la doctrina de estrategia de ciberseguridad en 2016. [13] Esta estrategia destaca a los siguientes actores amenazantes como un riesgo para las medidas de ciberseguridad: actores de estados nacionales, cibercriminales y terroristas. [3] [13]
Golpe de masas
CrowdStrike es una empresa de tecnología de ciberseguridad y antivirus que publica un informe anual sobre amenazas. El Informe de amenazas globales de 2021 señala a los estados-nación y a los ciberdelincuentes como dos de las principales amenazas a la ciberseguridad. [14]
Ojo de fuego
FireEye es una empresa de ciberseguridad que se dedica a detectar y prevenir ataques cibernéticos. Publica anualmente un informe sobre las tendencias de amenazas detectadas, que contiene los resultados de los sistemas de sensores de sus clientes. [15] Su informe de amenazas enumera a los actores patrocinados por el estado, los cibercriminales y los infiltrados como amenazas actuales. [15]
McAfee
McAfee es una empresa estadounidense de software de seguridad informática global. La empresa publica un informe trimestral sobre amenazas que identifica los problemas clave en materia de ciberseguridad. [16] El informe de amenazas de octubre de 2021 señala a los ciberdelincuentes como una de las mayores amenazas en este campo. [16]
Verizon
Verizon es una empresa multinacional de telecomunicaciones estadounidense que ha elaborado un informe sobre amenazas basado en incidentes pasados con sus clientes. Para definir a los actores de amenazas, plantean las siguientes preguntas: "¿Quién está detrás del evento? Podría ser el "malo" externo que lanza una campaña de phishing o un empleado que deja documentos confidenciales en el bolsillo trasero de su asiento". [17] En su informe, describen a los actores de los estados nacionales y a los cibercriminales como dos tipos de actores de amenazas. [17]
Suplantación de identidad (phishing)
El phishing es un método que utilizan los actores de amenazas para obtener datos confidenciales, incluidos nombres de usuario, contraseñas, información de tarjetas de crédito y números de seguridad social. Los ataques de phishing suelen ocurrir cuando un actor de amenazas envía un mensaje diseñado para engañar a una víctima para que le revele información confidencial o para que implemente software malicioso en el sistema de la víctima. [18]
Secuencias de comandos entre sitios
Los scripts entre sitios son un tipo de vulnerabilidad de seguridad que se puede encontrar cuando un actor de amenazas inyecta un script del lado del cliente en una aplicación web que de otro modo sería segura y confiable . [19] Luego, el código lanza un script infeccioso en el sistema de la víctima. Esto permite que un actor de amenazas acceda a datos confidenciales. [20]
Inyecciones SQL
La inyección SQL es una técnica de inyección de código que utilizan los actores de amenazas para atacar cualquier aplicación basada en datos. Los actores de amenazas pueden inyectar sentencias SQL maliciosas . Esto les permite extraer, alterar o eliminar información de la víctima. [20]
Ataques de denegación de servicio
Un ataque de denegación de servicio (ataque DoS) es un ciberataque en el que un actor amenazante intenta hacer que un recurso automatizado no esté disponible para sus víctimas interrumpiendo temporal o indefinidamente los servicios de un host de red. Los actores amenazantes llevan a cabo un ataque DoS sobrecargando una red con solicitudes falsas para interrumpir las operaciones. [20]