Tema 6

6. Tipos de atacantes, motivaciones y objetivos

Para defender mejor un entorno digital conviene entender quién puede atacarlo, por qué lo haría y qué busca conseguir.

Objetivo Identificar actores de amenaza
Enfoque Perfil y motivación
Resultado Relacionar amenazas con contexto real

6.1 Introducción

No todas las amenazas provienen del mismo tipo de actor ni persiguen los mismos fines. En ciberseguridad, comprender quién está del otro lado ayuda a interpretar mejor el riesgo, priorizar controles y anticipar formas de ataque.

Un atacante puede buscar dinero, datos, notoriedad, sabotaje, espionaje o simplemente aprovechar una oportunidad. Por eso es importante analizar tanto el perfil del actor como su motivación.

6.2 ¿Qué es un actor de amenaza?

Un actor de amenaza es cualquier persona, grupo o entidad con capacidad o intención de generar daño sobre sistemas, datos, servicios o usuarios. Puede actuar de manera directa o a través de herramientas automatizadas.

No todo atacante tiene el mismo nivel técnico. Lo que realmente cambia el escenario es la combinación entre capacidades, recursos, tiempo y motivación.

6.3 Principales tipos de atacantes

Tipo Descripción Motivación habitual
Ciberdelincuentes Grupos o individuos orientados al beneficio económico. Fraude, extorsión, robo de datos, monetización.
Insiders Personas internas con acceso legítimo. Abuso, error, venganza, negligencia o lucro.
Hacktivistas Actores con motivaciones ideológicas o políticas. Protesta, visibilidad, exposición pública.
Estados o grupos patrocinados Actores con alto nivel de recursos y objetivos estratégicos. Espionaje, influencia, sabotaje.
Script kiddies Usuarios con baja capacidad técnica que reutilizan herramientas ajenas. Curiosidad, desafío, notoriedad.
Competidores desleales Actores interesados en información o ventaja comercial. Espionaje y ventaja competitiva.

6.4 Ciberdelincuentes

Son uno de los actores más frecuentes en el panorama actual. Suelen buscar beneficios económicos mediante robo de credenciales, fraude financiero, venta de datos, despliegue de ransomware o abuso de infraestructura comprometida.

Este tipo de actor aprovecha campañas masivas y automatizadas, pero también puede operar en ataques más dirigidos si el objetivo promete una ganancia suficientemente alta.

6.5 Amenazas internas

Un insider es una persona con acceso legítimo al entorno, como un empleado, administrador, proveedor o colaborador. Su riesgo puede surgir por mala intención o por error.

  • Robo deliberado de información.
  • Uso indebido de privilegios.
  • Configuraciones incorrectas.
  • Filtración accidental de datos.
  • Negligencia frente a políticas de seguridad.

Las amenazas internas son especialmente sensibles porque parten de un nivel inicial de confianza y acceso.

6.6 Hacktivistas

Los hacktivistas actúan impulsados por causas ideológicas, políticas o sociales. Sus objetivos pueden incluir desfiguración de sitios web, filtración de documentos, interrupción de servicios o exposición pública de organizaciones.

En estos casos, el daño reputacional suele ser tan importante como el impacto técnico.

6.7 Actores estatales o patrocinados

Los actores vinculados a estados o grandes estructuras de poder suelen perseguir objetivos estratégicos: espionaje, robo de propiedad intelectual, influencia geopolítica, acceso persistente o sabotaje de infraestructuras críticas.

En general cuentan con más recursos, paciencia y capacidad técnica que otros tipos de atacantes, lo que los vuelve especialmente complejos de detectar y contener.

6.8 Script kiddies y atacantes oportunistas

No todos los ataques requieren alta sofisticación. Muchos incidentes provienen de actores con poca capacidad técnica que reutilizan herramientas públicas, explotan configuraciones inseguras o buscan objetivos fáciles.

Esto es importante porque demuestra que incluso fallas simples pueden ser explotadas rápidamente sin necesidad de enfrentarse a un adversario altamente avanzado.

6.9 Motivaciones principales

Las motivaciones ayudan a explicar el comportamiento del atacante y sus prioridades.

  • Económica: dinero, fraude, extorsión, venta de accesos o datos.
  • Estratégica: espionaje, influencia o ventaja geopolítica.
  • Ideológica: protesta, activismo, presión pública.
  • Personal: venganza, resentimiento, desafío, notoriedad.
  • Oportunista: aprovechar una debilidad fácil de explotar.

6.10 Objetivos más comunes de un ataque

  • Robar dinero o credenciales.
  • Acceder a datos sensibles.
  • Obtener acceso persistente a una red.
  • Interrumpir servicios o paralizar operaciones.
  • Exfiltrar propiedad intelectual.
  • Utilizar la infraestructura atacada para otros ataques.
  • Exponer públicamente a una organización.

6.11 Perfil del atacante y tipo de defensa

No se defiende del mismo modo frente a todos los actores. Algunos controles sirven especialmente contra amenazas masivas y oportunistas, mientras que otros apuntan a adversarios persistentes o a riesgos internos.

Por ejemplo:

  • El MFA y la capacitación reducen mucho phishing y robo de cuentas.
  • La segmentación y el monitoreo ayudan frente a movimiento lateral.
  • La gestión de privilegios reduce el impacto de insiders y cuentas comprometidas.
  • La inteligencia de amenazas y la detección avanzada ayudan frente a actores más sofisticados.

6.12 Ataques dirigidos y ataques masivos

Algunos atacantes buscan objetivos específicos. Otros operan a gran escala, probando miles de víctimas y aprovechando a quienes tengan controles débiles.

Tipo de ataque Características Ejemplo
Masivo Automatizado, amplio, busca volumen Campaña general de phishing
Dirigido Adaptado al blanco, más selectivo Phishing personalizado a un directivo

Ambos tipos importan. Un entorno inseguro puede caer por un ataque simple y masivo tanto como por una campaña sofisticada.

6.13 El atacante no siempre entra por tecnología

Muchas veces el objetivo no se alcanza explotando una falla técnica compleja, sino manipulando a una persona, reutilizando una contraseña filtrada o abusando de un acceso legítimo. Por eso, al pensar en atacantes, también debe pensarse en procesos, identidades y comportamiento humano.

6.14 Pensar como defensor

Comprender al atacante no significa admirarlo, sino tomar mejores decisiones defensivas. Un buen análisis de amenazas se pregunta:

  • ¿Quién podría interesarse en este activo?
  • ¿Qué ganaría si lo compromete?
  • ¿Qué recursos tendría para hacerlo?
  • ¿Qué caminos probables usaría?

Estas preguntas ayudan a priorizar controles según escenarios realistas.

6.15 Qué debes recordar de este tema

  • Existen distintos tipos de atacantes, con perfiles y capacidades diferentes.
  • Las motivaciones pueden ser económicas, estratégicas, ideológicas, personales u oportunistas.
  • Los objetivos del atacante definen qué activos corren más riesgo.
  • Las amenazas internas también son relevantes porque parten de accesos legítimos.
  • Conocer al actor de amenaza ayuda a diseñar defensas más efectivas.

6.16 Conclusión

La ciberseguridad no trata de amenazas abstractas, sino de actores concretos con intereses concretos. Cuanto mejor se comprende quién puede atacar, por qué lo haría y qué busca, mejor se priorizan los esfuerzos de defensa.

En el próximo tema veremos los ataques más comunes que afectan a usuarios y organizaciones, para pasar del perfil del atacante a las técnicas que suelen emplearse en la práctica.

Volver al índice