Tema 4

Tipos de actores maliciosos, motivaciones y modelos de ataque

No todas las amenazas humanas actúan igual ni persiguen los mismos objetivos. Comprender quién ataca, por qué lo hace y cómo organiza sus campañas es clave para anticipar riesgos y diseñar defensas adecuadas.

Objetivo Entender quién amenaza
Enfoque Perfiles, motivaciones y operación
Resultado Contextualizar mejor los riesgos
Clave La defensa cambia según el adversario

4.1 Introducción

En muchos entornos se habla de “el atacante” como si existiera un único tipo de adversario. En la práctica, los actores maliciosos son muy distintos entre sí. Cambian sus capacidades, sus recursos, su nivel de paciencia, sus objetivos y el modo en que seleccionan víctimas.

No es lo mismo defenderse de un delincuente oportunista que busca credenciales para revender, que de un insider con acceso legítimo, un grupo de ransomware con capacidad de extorsión o un actor estatal orientado al espionaje. Cada uno exige una lectura diferente del riesgo.

4.2 Qué es un actor malicioso

Un actor malicioso es una persona, grupo u organización que tiene intención de causar daño, obtener beneficio ilegítimo, acceder sin autorización a activos o interferir con la operación de un objetivo. En ciberseguridad también se lo suele llamar adversario, agente de amenaza o threat actor.

El concepto es importante porque permite pasar de una visión puramente técnica a una visión estratégica: no solo importa qué vulnerabilidad existe, sino quién podría querer aprovecharla y con qué nivel de capacidad.

4.3 Variables para analizar a un adversario

Antes de clasificar actores, conviene observar las variables que ayudan a describirlos:

  • Motivación: dinero, espionaje, ideología, venganza, prestigio, sabotaje.
  • Capacidad técnica: desde baja hasta altamente sofisticada.
  • Recursos: tiempo, infraestructura, financiamiento, personal.
  • Persistencia: ataques rápidos y oportunistas o campañas prolongadas.
  • Selección de objetivos: víctimas masivas o blancos específicos.
  • Tolerancia al riesgo: operaciones discretas o agresivas.
Entender al adversario no es un ejercicio teórico. Permite decidir qué controles tienen mayor sentido, dónde conviene monitorear y qué escenarios son realmente plausibles.

4.4 Ciberdelincuentes orientados a beneficio económico

Son uno de los grupos más frecuentes. Su objetivo principal es obtener dinero directa o indirectamente. Pueden operar de forma individual o como organizaciones criminales estructuradas.

  • Fraude bancario o financiero.
  • Robo de credenciales y cuentas.
  • Distribución de ransomware.
  • Venta de accesos comprometidos.
  • Extorsión mediante filtración o cifrado de información.

Estos actores suelen elegir técnicas eficientes, escalables y rentables: phishing, malware, credential stuffing, explotación de servicios expuestos y abuso de errores de configuración.

4.5 Grupos de ransomware

Aunque pertenecen al universo del ciberdelito económico, merecen una categoría especial por su impacto y organización. Muchos operan como verdaderas empresas criminales: compran accesos, alquilan infraestructura, negocian rescates y publican datos robados para presionar a las víctimas.

Su modelo suele combinar varias etapas:

  1. Acceso inicial por phishing, credenciales o vulnerabilidades.
  2. Escalada de privilegios y movimiento lateral.
  3. Exfiltración de información sensible.
  4. Cifrado de sistemas o extorsión directa.

Su capacidad de daño es alta porque no solo afectan la confidencialidad, sino también la disponibilidad y la continuidad operativa.

4.6 Actores estatales y grupos APT

Los actores respaldados por Estados o vinculados a intereses geopolíticos suelen tener objetivos diferentes al ciberdelito clásico. En muchos casos buscan espionaje, obtención de información estratégica, vigilancia, influencia o sabotaje selectivo.

Se asocian frecuentemente al concepto de APT o amenaza persistente avanzada. Esto no significa solo sofisticación técnica, sino también paciencia, recursos y capacidad de mantener acceso a largo plazo sin ser detectados.

  • Objetivos comunes: gobiernos, infraestructura crítica, defensa, energía, telecomunicaciones, investigación.
  • Técnicas comunes: spear phishing, malware especializado, explotación de zero-days, abuso de cadena de suministro.

4.7 Hacktivistas

Los hacktivistas actúan impulsados principalmente por motivos ideológicos, políticos o sociales. Buscan visibilidad, protesta, exposición pública de información o interrupción simbólica de servicios.

  • Defacement de sitios web.
  • Filtración de información para denunciar o avergonzar.
  • Ataques de denegación de servicio con fin de protesta.
  • Campañas coordinadas en redes y medios digitales.

Su sofisticación puede variar mucho, pero su valor como amenaza depende del contexto reputacional y del potencial de exposición mediática.

4.8 Insiders maliciosos y no maliciosos

Un insider es una persona con acceso interno o conocimiento legítimo del entorno. Puede ser empleado, administrador, contratista o proveedor. Su riesgo es especial porque ya se encuentra dentro de ciertos límites de confianza.

Tipo de insider Característica Ejemplo
Malicioso Actúa con intención de dañar, robar o sabotear Extrae bases de datos antes de abandonar la empresa
Negligente No busca dañar, pero comete errores peligrosos Comparte archivos sensibles sin control
Comprometido Su cuenta o equipo fue tomado por un tercero Un atacante usa sus credenciales válidas

El riesgo interno demuestra por qué la seguridad no puede basarse solo en confianza. Se requieren monitoreo, segregación de funciones, mínimo privilegio y trazabilidad.

4.9 Script kiddies y actores oportunistas

Son perfiles con conocimiento técnico limitado que usan herramientas ya disponibles, tutoriales públicos o exploits automatizados. Aunque no suelen ser sofisticados, pueden generar daño real cuando encuentran sistemas expuestos y mal protegidos.

Su existencia explica por qué vulnerabilidades básicas y malas configuraciones siguen siendo tan peligrosas: no hace falta un adversario muy avanzado para explotarlas.

4.10 Competidores y espionaje corporativo

En ciertos sectores también existe el riesgo de espionaje orientado a propiedad intelectual, estrategias comerciales, investigaciones, licitaciones o ventajas competitivas. No siempre se expresa mediante ataques directos; a veces se apoya en ingeniería social, terceros, insiders o proveedores.

Este tipo de amenaza suele concentrarse más en la confidencialidad que en la interrupción visible.

4.11 Motivaciones principales

Clasificar a un actor por su motivación ayuda a anticipar su comportamiento:

  • Financiera: búsqueda de dinero, rescates, fraude, reventa de accesos.
  • Espionaje: obtención de inteligencia, secretos o información sensible.
  • Ideológica: activismo, protesta, propaganda o presión política.
  • Venganza: represalia personal o laboral.
  • Prestigio: reconocimiento dentro de comunidades o foros.
  • Sabotaje: daño directo a operaciones, infraestructura o reputación.

4.12 Ataques oportunistas versus dirigidos

Una distinción central en la defensa es separar ataques masivos de ataques dirigidos.

  • Oportunistas: buscan víctimas en gran volumen y aprovechan debilidades comunes. Ejemplo: campañas masivas de phishing o escaneo automático de servicios vulnerables.
  • Dirigidos: seleccionan una víctima específica y adaptan técnicas al contexto. Ejemplo: spear phishing contra ejecutivos o compromiso de un proveedor clave.

Los ataques dirigidos suelen requerir más preparación, mientras que los oportunistas se benefician de la escala y la automatización.

4.13 Modelos de ataque más comunes

Un modelo de ataque describe la forma general en que un adversario organiza su operación. Algunos de los más frecuentes son:

  • Fraude por identidad: busca credenciales, tokens o acceso a cuentas.
  • Compromiso inicial por phishing: usa engaño para entrar.
  • Explotación remota de servicios: aprovecha software vulnerable expuesto.
  • Ataque a cadena de suministro: compromete un proveedor o componente para llegar al objetivo.
  • Movimiento lateral y escalada: entra por un punto débil y avanza internamente.
  • Extorsión: cifra o roba datos para exigir pago.

4.14 Modelo de kill chain o cadena de ataque

Muchos ataques pueden analizarse como una secuencia de etapas. Aunque existen distintos marcos, una visión simplificada ayuda a entender el proceso:

  1. Reconocimiento del objetivo.
  2. Preparación de infraestructura o malware.
  3. Acceso inicial.
  4. Ejecución y persistencia.
  5. Escalada de privilegios.
  6. Movimiento lateral.
  7. Acción sobre el objetivo final: robo, sabotaje, cifrado o espionaje.

Analizar ataques en etapas permite detectar oportunidades de bloqueo antes de que el daño se materialice por completo.

4.15 Capacidad y sofisticación

No todos los actores tienen el mismo nivel de sofisticación. Algunos dependen de herramientas públicas y cometen errores operativos; otros desarrollan malware propio, explotan vulnerabilidades desconocidas y operan con gran disciplina.

Sin embargo, un error común es sobrevalorar siempre a los actores sofisticados. En muchos entornos, las amenazas de mayor probabilidad y daño provienen de atacantes relativamente simples que explotan fallas básicas: contraseñas débiles, MFA ausente, servicios expuestos y sistemas desactualizados.

4.16 Selección de objetivos

Los actores no eligen víctimas de la misma manera:

  • Selección masiva: campañas automáticas contra cualquier sistema vulnerable.
  • Selección sectorial: foco en salud, banca, educación, industria o gobierno.
  • Selección individual: objetivo puntual por su valor o posición.
  • Selección por oportunidad: se ataca a quien presenta exposición evidente.

Esta diferencia importa porque cambia la forma de priorizar defensa, monitoreo e inteligencia.

4.17 Qué controles responden a cada perfil

La defensa efectiva depende del tipo de amenaza predominante:

  • Contra phishing y fraude: MFA, capacitación, protección de correo, verificación adicional.
  • Contra ransomware: segmentación, copias aisladas, hardening, EDR, control de privilegios.
  • Contra insiders: monitoreo de accesos, trazabilidad, segregación, revisión periódica de permisos.
  • Contra espionaje avanzado: detección temprana, inteligencia de amenazas, segmentación, control estricto de endpoints y credenciales.
  • Contra ataques oportunistas: reducción de superficie de ataque, parches y despublicación de servicios innecesarios.

4.18 Errores frecuentes al evaluar adversarios

  • Asumir que todos los atacantes son altamente sofisticados.
  • Ignorar el riesgo interno por confiar demasiado en usuarios legítimos.
  • Subestimar motivaciones no financieras como espionaje o ideología.
  • Defenderse solo contra el último ataque conocido y no contra el modelo de operación del adversario.
  • No considerar que distintos actores pueden aprovechar la misma vulnerabilidad con fines diferentes.

4.19 Ideas clave

  • Un actor malicioso se define por intención, capacidad, recursos y motivación.
  • No todos los adversarios persiguen dinero; también existe espionaje, ideología y sabotaje.
  • Los insiders representan un riesgo particular por su acceso legítimo.
  • Los modelos de ataque ayudan a entender cómo evoluciona una intrusión.
  • La estrategia defensiva debe adaptarse al tipo de amenaza más plausible para el entorno.

4.20 Conclusión

Comprender quién ataca y con qué motivación mejora la lectura del riesgo y evita defensas genéricas. La ciberseguridad no consiste solo en reaccionar a fallas técnicas, sino también en interpretar el comportamiento probable del adversario.

En el próximo tema se desarrollará el ciclo de vida de un ciberataque y la cadena de intrusión, para entender cómo estas amenazas se convierten en operaciones concretas.

Volver al índice