Índice
Un agente de amenaza es un ciberdelincuente interno o externo capaz de afectar la seguridad de los datos. Cualquiera puede convertirse en un agente de amenaza debido a robo directo de datos, phishing, penetrando en un sistema mediante la explotación de una vulnerabilidad o creando malware. La infraestructura de seguridad detecta, contiene y erradica a los agentes de amenaza y a sus diversos ataques.
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
Tipos de agentes de amenaza
Existen varios tipos de agentes de amenaza, personas que crean malware y lanzan ataques contra sus infraestructuras y aplicaciones. Típicamente, cada tipo tiene un objetivo específico, ya sea financiero o simplemente para destruir sus datos. Comprender los diferentes tipos de actores de amenazas le ayudará a crear mejores métodos de detección e investigación de un cibercrimen.
Ciberterroristas
Los ciberterroristas se enfocan principalmente en empresas, gobiernos o en la infraestructura de un país. Se les da ese nombre a causa de los trastornos que estos actores pueden causar en comunidades enteras. El objetivo de un ciberterrorista suele ser el causar daño a los residentes y empresas de un país para perjudicarlos económica y físicamente.
Agentes promovidos por estados
Al igual que los ciberterroristas, los agentes de amenaza promovidos por estados suelen contar con el apoyo del gobierno de un país y se les paga para atacar la infraestructura de un país rival. La diferencia entre un ciberterrorista y una amenaza promovida por un estado es que un agente de amenaza promovido por un Estado suele buscar el extorsionar a un gobierno o robarles secretos. Es posible que usen ransomware o rootkits para obtener control remoto de equipos clave para el manejo de infraestructuras. Los agentes promovidos por estados también atacan a empresas y proveedores que apoyan a la infraestructura gubernamental con la intención de causar interrupciones en la productividad.
Hacktivistas
A veces los hackers atacan a gobiernos y empresas a causa de su oposición a la ideología de sus objetivos. “Anonymous” es un popular grupo de hacktivistas conformado por gente de todo el mundo, pero existen otros hacktivistas que trabajan solos. Estos agentes de amenaza generalmente no están motivados por el dinero, sino por el deseo de dañar datos o infraestructuras por motivos políticos. Pueden ser amenazas internas o externas enfocadas en generar actividades malintencionadas y en interrumpir la productividad normal de las empresas.
Agentes internos
Muchas corporaciones cometen el error de confiar en cualquier actividad de los empleados o contratistas empleados. Por ejemplo, una amenaza interna podría ser un empleado descontento o una persona que deliberadamente ataque a una empresa o a un gobierno. Los gobiernos o empresas competidoras les pagan a los actores internos para que roben propiedad intelectual y secretos comerciales, pero algunas amenazas internas simplemente pretenden causar daño a sus empleadores. Las amenazas internas se han vuelto más comunes en tiempos recientes, causando la mayor cantidad de daños y resultando los más difíciles de detectar, porque tienen acceso legítimo a la infraestructura y a los datos.
Script Kiddies
No todos los agentes de amenaza son atacantes expertos. Muchos scripts, repositorios de código y malware están disponibles gratis para cualquiera que los quiera utilizar. A estos agentes de amenaza se les llama “script kiddies” (literalmente, “niñitos de los scripts”) porque típicamente no saben programar ni cómo explotar vulnerabilidades. Incluso sin destrezas de programación y de hackeo, los “script kiddies” son ciberdelincuentes capaces de causar daños a la productividad y datos privados de una organización. Un script kiddie también puede introducir malware inconscientemente al entorno, pensando que están descargando herramientas que pueden controlar.
Errores de usuarios internos
Los agentes de amenaza internos no siempre tienen malas intenciones, pero los daños que generan pueden ser igual de perjudiciales que un ataque intencional. En general, al daño no intencional de una amenaza interna se le asocia con el phishing. Los atacantes externos envían correos electrónicos de phishing a agentes internos, engañándolos para que abran un adjunto malintencionado o para que accedan a una web que convence al empleado objetivo de que divulgue sus credenciales. Como el empleado goza de acceso legítimo a los datos, los agentes de amenaza internos pueden revelar gran cantidad de datos delicados a un atacante.
Motivaciones
Cada tipo de ciberdelincuente que ataca a su empresa tiene una motivación específica. Estas motivaciones pueden no parecer muy importantes al momento de crear infraestructuras de seguridad, pero entender a los atacantes le ayudará a desarrollar una mejor planificación. Las herramientas de seguridad que se instalan están creadas para defenderse de ataques específicos y se enfocan en agentes de amenaza específicos.
Para muchos atacantes, el punto principal es el beneficio financiero. El ransomware es una herramienta valiosa para los agentes de amenaza, porque les permite extorsionar dinero a empresas y gobiernos objetivo. El ransomware orientado a individuos puede exigirle algunos cientos de dólares en bitcóin, mientras que el ransomware enfocado en empresas y gobiernos típicamente exige rescates en el orden de los millones. Una vez que el ransomware cifra los archivos, las empresas no pueden recuperar sus datos sin tener que o pagar la recompensa o restaurar los archivos a partir de respaldos. El ransomware es común y eficaz, así que la infraestructura de seguridad debe crearse para detectar y detener al ransomware.
Los ciberterroristas y los atacantes promovidos por estados también pueden tener motivaciones políticas. Estas motivaciones podrían tener un elemento de beneficio financiero, pero el objetivo principal es interrumpir los servicios empresariales y causar daños a los gobiernos. Los atacantes suelen estar fuera del país objetivo, así que es difícil hallarlos, investigarlos e imputarles cargos criminales.
Algunos atacantes lo hacen simplemente por diversión o para investigar. Hallar vulnerabilidades en el software es un trabajo a tiempo completo para algunos agentes de amenaza, pero estos hackers de “sombrero blanco” no causan daños de manera intencional. Los hackers de “sombrero blanco” informan a las organizaciones cuando encuentran una vulnerabilidad, para ayudarles a identificar problemas y remediar fallos en sus sistemas antes de que los atacantes puedan robarles datos. Los atacantes que lo hacen por diversión usan los mismos métodos que otros atacantes, pero pueden hacer suficiente daño como para afectar a la productividad empresarial.
Los agentes de amenaza que hackean por diversión también pueden estar buscando fama, lo que los vuelve más fáciles de localizar si dejan su “tarjeta de visita”. Otros lo hacen por venganza, lo que podría facilitar su identificación si el atacante comete errores y deja un rastro de auditoría. La mayoría de los atacantes buscan ocultar sus actividades, pero los atacantes que buscan venganza o notoriedad podrían dejar datos que les identifiquen a propósito.
Las motivaciones también pueden superponerse. Los atacantes promovidos por estados podrían ejecutar sus ataques por motivos políticos, pero también podrían buscar beneficios financieros. El ransomware les puede extorsionar millones de dólares a las empresas y gobiernos, pero también afecta negativamente a la productividad de las empresas y puede llegar incluso a paralizar a gobiernos durante semanas enteras.
Objetivos
Como la mayoría de los ataques tienen una motivación financiera, los agentes de amenaza se enfocan en negocios y gobiernos con mucho dinero para pagar rescates o aquellos que tienen la capacidad de pagar para recuperar sus datos. Algunos agentes de amenaza atacan a individuos, pero estos ataques se basan en el volumen en vez de dirigirse a empresas de alta calidad con muchos beneficios.
Los atacantes saben que los individuos tienen menos dinero que las empresas. La mayoría de los ataques, como el ransomware, se enfocan en individuos específicos y solicitan pequeñas cantidades de dinero. Los agentes de amenaza también se enfocan en individuos para obtener datos financieros o para robo de identidad. Las empresas y los individuos deben estar conscientes de las amenazas, pero las empresas son el objetivo preferido para obtener grandes cantidades de datos y pagos más cuantiosos.
Las empresas tanto grandes como pequeñas son objetivos potenciales para los agentes de amenaza. A diferencia de los individuos, las empresas también tienen numerosos empleados y contratistas que contribuyen a los riesgos de una filtración de datos debido al error humano. Las amenazas internas suelen causar una vulneración de datos o una infección de ransomware, pero los agentes de amenaza externos que usan diferentes vectores también son causa de violaciones de datos.
Los agentes de amenaza tardan más tiempo en dirigir sus ataques a empresas específicas, y suelen ejecutar labores de reconocimiento para recaudar información acerca de un objetivo antes de lanzar un ataque. Por ejemplo, los agentes de amenaza usan técnicas de spear phishing para mejorar sus posibilidades de comprometer cuentas de usuarios de alto nivel de privilegios o para convencer a un empleado del departamento de contabilidad de que le envíe dinero al atacante. Un atacante podría ser un empleado descontento, un empleado sobornado por un competidor para robar datos, o un actor de amenaza externo que intenta vulnerar un sistema para exfiltrar datos.
Los gobiernos son objetivos para actores de amenazas promovidos por estados, y usan las mismas vulnerabilidades que los agentes de amenaza que atacan a empresas, pero estos atacantes tienen más apoyo monetario y suelen trabajar en grupo. Son igual de peligrosos y pueden causar graves contratiempos a las agencias gubernamentales, buscando causar perturbaciones en la infraestructura de un país y perjudicar a sus residentes.
¿Por qué deberían preocuparse por esto las empresas?
La infraestructura de seguridad es costosa, pero ser víctima de una violación de datos es incluso más costoso. La mayoría de las empresas almacenan información de los clientes y tienen al menos una normativa de conformidad que deben seguir. El no cumplimiento tiene un coste elevado, en forma de multas que se deben pagar si la empresa cae víctima de una filtración de datos a causa de vulnerabilidad que no cumpla con las normativas vigentes. La mayoría de las normativas de conformidad obligan a las organizaciones a contar con infraestructuras razonablemente seguras para proteger los datos de los consumidores.
Perder datos y tener que pagar por violaciones a la conformidad no son las únicas consecuencias de ignorar a los actores de amenaza. Después de una violación de datos o cibercrimen, el daño a su marca podría tener consecuencias a largo plazo. Si los consumidores pierden confianza en su marca, la organización podría sufrir de caídas en las ventas a los clientes y pérdidas de fidelidad de los clientes. Los costes de litigación también son a largo plazo, y las demandas judiciales son una posibilidad muy real. Estas demandas podrían durar años enteros después de la vulneración de datos inicial.
La protección de datos exige la realización de actualizaciones diarias y de mantenimiento continuo. La infraestructura de ciberseguridad debe permanecer actualizada, porque el entorno de ciberseguridad cambia a diario y los agentes de amenaza siguen cambiando sus métodos para superar las defensas actuales. Los sistemas de inteligencia contra amenazas se enfocan en la evolución de la ciberseguridad y en los cambios en los métodos de los agentes de amenaza. Estos sistemas son clave para que las organizaciones puedan tener unas buenas defensas que les garanticen que sus datos queden protegidos contra amenazas actuales y futuras.
Cómo mantenerse a la delantera de los agentes de amenaza
Los estándares actuales de ciberseguridad recomiendan a las corporaciones que hagan la transición de un enfoque reactivo hacia la seguridad de datos a un enfoque más proactivo. Los controles proactivos monitorizan, detectan y contienen automáticamente a una amenaza antes de que se convierta en una filtración de datos. Los modelos de seguridad más antiguos les daban información a los analistas para que analizaran una potencial violación de datos, pero la detección, prevención y monitorización de las intrusiones son mucho mejores para reducir los riesgos y mantener seguros los datos.
Los administradores pueden tomar diversas medidas para detener a los actores de amenazas y los ataques que lanzan para robarse los datos. Algunas maneras en las que las corporaciones pueden aprovechar la ayuda de Proofpoint:
- Capacitación: Los empleados deben saber qué buscar cuando reciben correos electrónicos sospechosos, y los programas de capacitación para conciencia de seguridad son una excelente manera de lograr esto. Facultar a los empleados para que puedan identificar agentes de amenaza, mensajes y páginas web malintencionadas los ayudará a descubrir cómo evitar interactuar con estos.
- Autenticación de múltiples factores (MFA): Los agentes de amenaza basan muchos de sus ataques iniciales en correos electrónicos de phishing. Si un empleado resulta víctima de un ataque de phishing y divulga credenciales, la MFA evitaría que logren continuar con su campaña de cibercrimen.
- Monitorización de redes: Las herramientas de monitorización son necesarias para cumplir con ciertos estándares, pero también juegan un papel clave en la infraestructura proactiva de seguridad. Monitorizar la actividad de los empleados detiene eficazmente tanto a los agentes de amenaza internos como a los usuarios que simplemente cometen errores.
- Detección y prevención de intrusiones: Las herramientas automatizadas con actividad de tecnología de inteligencia artificial monitorizan el entorno de una organización y detienen automáticamente a las amenazas antes de que se conviertan en vulneraciones de datos.
Proofpoint ofrece diversos servicios que hacen seguimiento a los actores de amenazas y monitorean su entorno y su actividad. La protección contra ataques dirigidos (o TAP, del inglés Targeted Attack Protection) de Proofpoint ofrece visibilidad hacia el entorno de una organización, los objetivos de un atacante (por ejemplo, desplegar ransomware o intentar acceder a puntos de contacto), la técnica del atacante (por ejemplo, una macro o un script de PowerShell) y la progresión (por ejemplo, empleados que hayan clicado sobre un enlace malintencionado).
Los servicios gestionados brindan a las organizaciones recursos de centro de operación con seguridad de nivel corporativo para ayudar a los administradores a protegerse de los agentes de amenaza tanto externos como internos. La tecnología es tan solo uno de los componentes de la buena ciberseguridad. Es necesario contar con buenos expertos y analistas para configurar la tecnología, hacerle mantenimiento y tomar acción ante las alertas. Proofpoint le brinda a su organización la tecnología necesaria para detener las amenazas y capacitar a los empleados en la gestión de su infraestructura de ciberseguridad.