Actores de amenaza: quién ataca y por qué
Objetivos: Al terminar este tema, podrás…
- Categorizar actores de amenaza según motivación, capacidad y recursos, a partir del análisis de casos reales.
- Reconocer los vectores de ataque más comunes al nivel de qué son y por qué funcionan, sin profundizar en su implementación técnica.
- Explicar por qué conocer al atacante es el primer paso de cualquier análisis de riesgo: la motivación detrás del modelado de amenazas formal, que desarrollarás por completo en la clase 04, no un adelanto de esa metodología.
Apertura: el ataque que nadie se atribuyó
Es la madrugada del 14 de septiembre de 2023. En cuestión de horas, la Rama Judicial de Colombia deja de funcionar. Los procesos que dependen de sistemas digitales, más de dos millones, quedan congelados. La Corte Suprema, la Corte Constitucional y el Consejo de Estado no pueden operar con normalidad. Casi al mismo tiempo, el Ministerio de Salud y la Superintendencia de Industria y Comercio reportan fallas similares. En total, 34 entidades del Estado y empresas privadas quedan afectadas. Colombia se entera, en parte, gracias a una alerta de autoridades chilenas: el mismo proveedor de infraestructura, IFX Networks, presta servicios en varios países de la región y fue atacado con un ransomware que cifró las máquinas virtuales de sus clientes.
El consejero presidencial de Transformación Digital, Saúl Kattan Cohen, declara públicamente: “Estamos peleando con las manos atadas.”
El día del ataque, nadie sabe quién lo hizo. Cinco días después, la Fiscalía General de la Nación informa que un grupo llamado RansomHouse podría ser responsable. “Podría”, dice el comunicado, porque el grupo nunca lo confirmó por sus propios canales, como sí acostumbra hacer con otros ataques que reivindica (El Tiempo, 14 de septiembre de 2023; Infobae, 19 de septiembre de 2023).
Dos casos para comparar
Antes de nombrar ninguna categoría, mira dos ataques con el mismo mecanismo general (ransomware, en ambos casos) pero actores con motivaciones muy distintas entre sí. La taxonomía que vas a construir no se basa en la técnica usada, sino en quién la usa y para qué.
SolarWinds (2020)
Vector: compromiso de la cadena de suministro de software. Actor: APT29, atribuido públicamente a Rusia. Impacto: cerca de 18.000 organizaciones afectadas, incluyendo agencias gubernamentales de Estados Unidos.
El proceso de construcción (build) del software de SolarWinds no verificaba la integridad de lo que terminaba compilando, y el código resultante se firmaba digitalmente de forma automática, sin revisión humana que pudiera detectar una alteración. El atacante insertó una puerta trasera en una actualización legítima del software, firmada con la misma confianza que cualquier actualización normal, y la distribución llegó a miles de clientes antes de que nadie lo notara. La detección tardó más de nueve meses. La lección para un ingeniero es que la seguridad de la cadena de suministro es tan importante como la seguridad del código propio: de nada sirve auditar tu propio software si confías ciegamente en cada componente externo que lo integra.
Keralty / EPS Sanitas y Colsanitas (2022)
Vector: ransomware. Actor: RansomHouse, con motivación financiera (extorsión mediante amenaza de publicar datos robados). Impacto: interrupción del acceso a citas médicas y entrega de medicamentos para más de 5,5 millones de usuarios de la EPS (La República, 2022; detalles adicionales del incidente en El Tiempo, 2 de diciembre de 2022).
Las fuentes públicas no detallan el vector técnico exacto de entrada al sistema, algo habitual en incidentes de salud donde la organización afectada prioriza la contención sobre la divulgación forense completa. Lo que sí se documentó con claridad fue la consecuencia: sistemas críticos cifrados, operación asistencial degradada durante días, y una amenaza explícita de publicar información de millones de pacientes si no se pagaba el rescate exigido. Keralty no cedió por completo a esa extorsión, y el grupo publicó parte de la información como represalia. La lección aquí no es una falla de ingeniería puntual como en SolarWinds, sino una advertencia sobre lo que significa depender de sistemas digitales para funciones que no admiten interrupción: cuando el servicio es literalmente el acceso a la salud de millones de personas, la continuidad operativa deja de ser un lujo técnico y se convierte en una obligación de diseño.
Marco teórico y conexión curricular
Taxonomía de actores maliciosos
Categorizar a los atacantes te permite diseñar defensas apropiadas: no inviertes los mismos recursos defendiéndote de alguien que prueba herramientas por curiosidad que de un actor patrocinado por un estado.
| Actor | Recursos | Sofisticación | Persistencia | Objetivo típico |
|---|---|---|---|---|
| Script kiddie | Bajo | Baja | Baja | Cualquiera vulnerable |
| Ciberdelincuente organizado | Medio-alto | Media-alta | Media | ROI económico |
| Hacktivista | Bajo-medio | Variable | Variable | Objetivos ideológicos |
| Insider | Variable | Variable | Alta | Organización específica |
| APT / Estado-nación | Muy alto | Muy alta | Muy alta | Objetivos estratégicos |
Los script kiddies son atacantes con conocimiento técnico limitado que operan herramientas construidas por otros: escáneres automatizados, exploits públicos que aplican sin modificar, ataques oportunistas que no distinguen un objetivo de otro y golpean indiscriminadamente a cualquiera que resulte vulnerable. Son, en la práctica, el ruido de fondo de Internet: controles básicos bien implementados (parches al día, configuración segura, autenticación fuerte) detienen a la gran mayoría de sus intentos, porque su modelo de ataque depende de encontrar la puerta ya abierta, no de forzarla.
Los ciberdelincuentes organizados operan con lógica empresarial: desarrollan malware a la medida, mantienen infraestructura distribuida de comando y control, y ejecutan campañas de phishing con la sofisticación de una operación de marketing bien financiada. Alrededor de esa actividad existe una economía completa (mercados donde se compran y venden credenciales robadas, accesos ya comprometidos a sistemas corporativos, y servicios de lavado de las criptomonedas obtenidas como rescate) que en años recientes se ha profesionalizado hasta ofrecer ransomware como servicio (RaaS), donde un grupo desarrolla la herramienta y otros la operan a cambio de una comisión. Defenderse de un actor así exige asumir que el perímetro eventualmente será vulnerado y diseñar, sobre esa base, detección y contención en profundidad.
Los hacktivistas atacan por motivación ideológica o política, no económica. Sus tácticas típicas incluyen el defacement de sitios web, la filtración de documentos internos, campañas de denegación de servicio coordinadas entre muchos participantes, y campañas de desinformación. El perfil de riesgo frente a este actor depende menos de cuánto vale técnicamente una organización y más de cuán visible o controversial es su postura pública.
Un insider es alguien con acceso legítimo al sistema que termina abusando de ese acceso. La categoría cubre tres situaciones distintas que conviene no confundir: el insider malicioso actúa intencionalmente, casi siempre por venganza o lucro; el insider negligente causa daño por descuido, sin intención; y el insider comprometido no hizo nada malo él mismo, pero sus credenciales fueron robadas y un tercero las usa en su nombre (Insider). Frente a esta amenaza, el principio de privilegio mínimo (dar a cada persona solo el acceso estrictamente necesario para su función) es crítico, junto con el monitoreo de comportamiento anómalo, la segregación de funciones y controles de acceso granulares que dificultan que una sola credencial comprometida abra todo el sistema.
En el extremo de sofisticación están las amenazas persistentes avanzadas (APT), generalmente patrocinadas por estados. Cuentan con recursos prácticamente ilimitados, mantienen presencia dentro de un sistema durante meses o incluso años sin ser detectadas, desarrollan sus propias vulnerabilidades no conocidas públicamente (zero-days) y con frecuencia atacan no al objetivo final sino a su cadena de suministro, comprometiendo a un proveedor para llegar indirectamente a quien de verdad les interesa. La mayoría de las organizaciones no puede defenderse por completo de un actor con estos recursos; el objetivo realista frente a un APT no es la invulnerabilidad, sino aumentar el costo del ataque y reducir el tiempo que el atacante permanece dentro sin ser detectado.
Vectores de ataque y contramedidas
Un vector de ataque es la ruta o método que un atacante usa para comprometer un sistema. Repasar los vectores más comunes te da un mapa de las formas típicas en que una organización puede fallar, sin necesidad todavía de conocer cómo se implementa cada ataque a nivel técnico: eso corresponde a cursos posteriores de esta carrera.
Ningún sistema de autenticación, por robusto que sea, protege contra un empleado que le entrega su contraseña a alguien que dice llamar del área de sistemas. La ingeniería social explota algo que ningún firewall puede parchar: la tendencia humana a confiar en la autoridad y a actuar con urgencia cuando alguien lo exige. Toma distintas formas: el phishing masivo por correo, su variante dirigida (spear phishing) contra una persona o cargo específico, el vishing por teléfono, y el pretexting, que consiste en construir un escenario falso completo (una identidad, una urgencia, una autoridad aparente) para conseguir que la víctima coopere sin sospechar. La defensa depende de que la persona reconozca la manipulación mientras ocurre, no después: filtros de correo y autenticación multifactor ayudan, pero el entrenamiento y los protocolos de verificación de identidad importan tanto como cualquier control técnico. En la clase 12 volverás sobre esto con las técnicas concretas que un atacante usaría para construir ese engaño; por ahora basta con entender por qué este vector aparece en casi todo incidente grave que estudiarás este semestre.
Un segundo vector es la explotación de vulnerabilidades: fallas conocidas y ya documentadas públicamente (los CVE), configuraciones inseguras (puertos abiertos que no deberían estarlo, credenciales que nunca se cambiaron de su valor por defecto) y vulnerabilidades zero-day, que nadie ha reportado todavía ni siquiera al fabricante. Contra las dos primeras, la defensa es fundamentalmente disciplina: gestión de parches al día y auditorías periódicas de configuración. Contra un zero-day no hay parche posible por definición, así que la defensa se apoya en detectar el comportamiento anómalo que produce, no la vulnerabilidad en sí. Las aplicaciones web tienen, dentro de este vector, una familia propia de vulnerabilidades que estudiarás en detalle en la clase 05.
El malware, software diseñado deliberadamente para causar daño, tiene formas con comportamientos y defensas distintas. El ransomware cifra los archivos de la víctima y exige un rescate para restaurarlos; la defensa más confiable no es evitar el cifrado sino poder ignorarlo, con copias de respaldo desconectadas de la red que el ransomware no pueda alcanzar. El spyware, en cambio, no busca interrumpir sino exfiltrar información sin ser notado, lo que se combate con monitoreo del tráfico saliente y detección de comportamiento en los equipos. Un rootkit se especializa en ocultar la presencia del atacante dentro del sistema, por lo que la defensa depende de verificar la integridad de los componentes críticos y de mecanismos de arranque seguro que detecten alteraciones tempranas. Un worm, finalmente, se propaga automáticamente de un sistema a otro sin intervención humana, y su avance se limita segmentando la red y manteniendo los sistemas parchados.
Imagina dos personas que creen estar hablando directamente, pero en realidad cada una le habla a un tercero que retransmite (y puede alterar) el mensaje sin que ninguna de las dos lo note: eso es, en esencia, un ataque de intermediario (man-in-the-middle). En una red digital, dos sistemas que confían en estar conectados directamente pueden, en realidad, estar pasando su tráfico por un punto que un atacante controló. Un ataque de denegación de servicio (DDoS) es distinto en objetivo pero igual de conceptual: en vez de escuchar o alterar la conversación, el atacante satura al sistema con más solicitudes de las que puede atender, hasta que deja de responder a nadie, ni a usuarios legítimos ni a nadie más. Los detalles técnicos de cómo se logra cada cosa a nivel de protocolo no son necesarios todavía; lo serán cuando curses materias de redes más adelante en tu carrera.
Un ataque a la cadena de suministro compromete un componente o proveedor de software para llegar, a través de él, a organizaciones que confían en ese proveedor sin cuestionarlo. Ya viste el ejemplo más documentado de esta categoría: SolarWinds. A esa lista se suman Codecov (2021), donde un script de integración continua fue modificado para filtrar credenciales de sus clientes, y Log4Shell (2021), una vulnerabilidad crítica en una librería de registro tan ubicua que afectó a una fracción enorme del software empresarial del mundo sin que la mayoría de sus usuarios supiera siquiera que la usaban indirectamente. Defenderse de este vector exige verificar la integridad de las dependencias que se incorporan a un sistema, mantener un inventario formal de esas dependencias (un SBOM, o listado de materiales de software), revisar el código de terceros críticos antes de confiar en él, y monitorear el comportamiento del sistema después de cada despliegue, no solo antes.
Por qué importa el impacto
Como ingeniero no basta con identificar amenazas: hay que evaluar también su impacto potencial, porque eso es lo que guía qué controles priorizar primero. Ese impacto tiene varias dimensiones que rara vez se mueven juntas: el costo financiero directo y las posibles multas regulatorias; la interrupción operativa del negocio y cuánto tiempo duraría; el daño a la confianza de clientes y socios; las responsabilidades legales que se activan si hay incumplimiento normativo; y, en sistemas que tocan procesos físicos, el riesgo para la seguridad de las personas.
No todas las amenazas exigen la misma urgencia. Un ataque muy probable pero de bajo impacto (alguien intentando adivinar contraseñas débiles, todos los días, contra miles de cuentas) no se gestiona igual que uno improbable pero devastador (un actor estatal con los recursos para pasar meses dentro de un sistema sin ser detectado, como en el caso SolarWinds). Priorizar amenazas cruzando qué tan probable es que ocurran con qué tan grave sería si ocurrieran es la lógica detrás de cualquier análisis de riesgo. La herramienta formal para hacerlo con rigor, la matriz de riesgo, la construirás paso a paso en la clase 04.
La coincidencia que cierra el círculo
Al principio de la clase te pregunté quién creías que estaba detrás del ataque a IFX Networks. Ahora que ya construiste, junto con tus compañeros, una taxonomía completa a partir de los casos de SolarWinds y Keralty, vale la pena cerrar ese hilo: la Fiscalía General de la Nación señaló como responsable tentativo a RansomHouse, el mismo grupo que acabas de analizar en el caso Keralty. Ninguna autoridad lo confirmó con certeza absoluta, y el propio grupo nunca lo reivindicó como acostumbra hacer con otros ataques.
Si la sospecha es correcta, un mismo actor atacó en el mismo año a una aseguradora de salud y, presuntamente, a un proveedor cuyos clientes incluían la Rama Judicial completa de un país. ¿Por qué crees que un grupo así elige sectores tan distintos entre sí?
Fíjate en algo que las dos víctimas comparten: ninguna se puede dar el lujo de estar días sin operar, una EPS con millones de afiliados que dependen de sus sistemas para pedir una cita médica, y un proveedor del que dependían cortes y ministerios enteros. Esa urgencia operativa, más que el sector en sí, es lo que un grupo de ransomware con fines financieros busca explotar.
De “qué” a “quién”: conexión con la clase 01
En tu primera clase viste la confidencialidad, la integridad y la disponibilidad como el primer marco para pensar la seguridad de un sistema (marco que formalizarás por completo en la clase 03): qué tan protegida está la información, qué tan íntegra permanece, qué tan disponible sigue estando. Hoy diste un paso distinto: en vez de preguntar qué puede fallar, preguntaste quién querría hacerlo fallar y por qué. Son las dos mitades de la misma pregunta. SolarWinds fue, ante todo, una violación de confidencialidad a gran escala: un actor estatal quería ver información que no le correspondía ver. Keralty fue, sobre todo, una violación de disponibilidad e integridad: un grupo criminal impidió que millones de personas accedieran a sus citas médicas, y amenazó con alterar la integridad de esa relación de confianza publicando datos privados. La taxonomía de actores que acabas de construir no reemplaza el marco de la clase 01: lo completa, respondiendo la pregunta de quién está detrás de cada violación.
APT: nombres que verás en la prensa
Los siguientes cuatro nombres aparecen con frecuencia en la cobertura periodística de ciberseguridad. No es necesario memorizarlos para esta clase, pero reconocerlos te será útil cuando leas noticias del sector: APT28 (“Fancy Bear”, atribuido a Rusia), APT41 (atribuido a China), Lazarus Group (atribuido a Corea del Norte) y Equation Group (atribuido a Estados Unidos). Todos son ejemplos del tipo de actor con más recursos y paciencia que estudiaste en esta clase: los grupos patrocinados por estados.
Cierre
Antes de salir de clase, responde brevemente y por escrito: ¿cuál de las conclusiones a las que llegó el debate de hoy te parece más discutible? ¿Qué información adicional, o qué caso distinto, cambiaría tu posición?
Conceptos clave
| Término | Definición |
|---|---|
| Modelado de amenazas | Metodología para identificar y priorizar amenazas a un sistema; la desarrollarás por completo en la clase 04 |
| Vector de ataque | Método o ruta que un atacante usa para comprometer un sistema |
| APT | Actor sofisticado con recursos significativos y objetivos estratégicos |
| Insider | Amenaza interna con acceso legítimo al sistema |
| Defensa en profundidad | Estrategia de múltiples capas de controles |
| Zero-day | Vulnerabilidad desconocida para el fabricante |
Preguntas de reflexión
-
(Observación directa) Entra a la política de privacidad o los términos de servicio de una aplicación que uses a diario y nómbrala explícitamente. Busca la sección sobre “terceros” o “socios comerciales” con quienes comparten tus datos y cópiala. Con esa información concreta: ¿qué tipo de actor de amenaza, de los vistos en clase, tendría más interés en obtener esos datos compartidos, y qué le permitiría hacer con ellos?
-
(Posición + refutación) Keralty no cedió por completo a la extorsión de RansomHouse, y el grupo publicó parte de la información como represalia. ¿Debería una organización colombiana pagar el rescate exigido por un grupo de ransomware para recuperar el acceso a sus sistemas? Toma una posición explícita (pagar o no pagar) y luego escribe, con la misma seriedad, el argumento más fuerte que alguien con la posición contraria podría usar en tu contra. Tu refutación debe citar al menos un hecho concreto del caso Keralty (qué se publicó, a cuántas personas afectó, qué pasó con el servicio de salud); una refutación que no mencione ningún dato del caso no cumple la consigna.
-
(Fuente real con enlace) Busca una noticia colombiana o latinoamericana publicada en los últimos 12 meses sobre un ciberataque a una organización, distinta a IFX Networks y Keralty, que ya viste en clase. Incluye el enlace directo al artículo. Con la evidencia que el artículo sí ofrece, no con suposiciones: ¿qué categoría de actor de amenaza es más probable? Justifica con al menos dos datos concretos del artículo.
-
(Aplicación a dominio no digital) Aplica el concepto de superficie de ataque al proceso de admisión de estudiantes de una universidad, no necesariamente la tuya: ¿qué puntos de ese proceso (documentos, formularios, entrevistas, sistemas de pago) podrían ser aprovechados por alguien con malas intenciones? ¿Qué tipo de actor, según motivación y capacidad, sería más probable que lo intentara, y por qué ese y no otro?
-
(Caso límite del modelo) Describe una situación concreta y plausible donde una amenaza interna con capacidad técnica baja cause más daño que un actor estatal con capacidad técnica muy alta. ¿Qué supuesto del razonamiento “a mayor capacidad del actor, mayor riesgo” se rompe en tu ejemplo?
Navegación: ← Anterior | Inicio | Siguiente: Principios CIAAN →