Actor de Amenaza
Un individuo, grupo u organización que realiza ataques cibernéticos. Los actores de amenaza tienen motivaciones, capacidades y patrones de targeting variados.
Definición
Un Actor de Amenaza es cualquier entidad responsable de realizar ataques cibernéticos. Esto incluye:
- Estados nacionales – Grupos patrocinados por gobiernos que realizan espionaje, sabotaje o guerra cibernética
- Ciberdelincuentes – Individuos o bandas que realizan ataques por ganancia financiera
- Hacktivistas – Grupos motivados por ideología o causas sociales
- Insiders – Empleados o contratistas que realizan ataques desde dentro
- Script kiddies – Individuos sin experiencia que utilizan herramientas disponibles públicamente
Categorías de Actores de Amenaza
Actores Estatales (APTs)
Grupos Advanced Persistent Threat (APT) patrocinados por gobiernos, típicamente con:
- Alta sofisticación técnica
- Persistencia a largo plazo y paciencia
- Acceso a herramientas y exploits avanzados
- Motivación: espionaje, sabotaje, guerra cibernética
- Ejemplos: APT28 (Rusia), APT1 (China), Lazarus (Corea del Norte)
Grupos de Ciberdelincuentes
Grupos organizados que realizan ataques por ganancia financiera:
- Bandas de ransomware
- Operadores de troyanos bancarios
- Anillos de fraude de tarjetas
- Motivación: ganancia financiera directa
- Ejemplos: LockBit, Evil Corp, FIN7
Hacktivistas
Grupos motivados por ideología o activismo:
- Anonymous, LulzSec (ejemplos)
- Motivación: causas sociales o políticas
- Habilidad técnica variable
Amenazas Internas
Empleados, contratistas o socios comerciales:
- Pueden tener acceso legítimo al sistema
- Motivación: ganancia financiera, venganza, ideología
- A menudo los más peligrosos debido al conocimiento interno
Características del Actor de Amenaza
Los equipos de seguridad perfilan actores de amenaza en varias dimensiones:
Capacidad
- Básica – Utiliza herramientas disponibles públicamente
- Intermedia – Herramientas personalizadas, algo de seguridad operativa
- Avanzada – Exploits personalizados, infraestructura sofisticada, OPSEC fuerte
- Estatal – Zero-days, capacidades persistentes avanzadas
Motivación
- Financiera – Ganancia monetaria directa (ransomware, fraude)
- Espionaje – Robo de propiedad intelectual, secretos del estado
- Disrupción – Desfiguración de sitios web, interrupción de servicios
- Sabotaje – Causar daño a sistemas críticos
Patrón de Targeting
- Indiscriminada – Se dirige a cualquiera (oportunista)
- Específica de la industria – Se dirige a sectores particulares
- Geográficamente específica – Se dirige a ciertas regiones
- Específica de la organización – Se dirige a empresas específicas
Tácticas y Técnicas
- Documentadas a través de mapeos MITRE ATT&CK
- Muestra cómo operan típicamente los actores
Por Qué Importa Entender Actores de Amenaza
En lugar de tratar todas las amenazas por igual, las organizaciones pueden:
- Priorizar Defensa – Enfocarse en tácticas utilizadas por actores que probablemente lo dirijan a usted
- Predecir Patrones de Ataque – Entender el historial de un actor predice su comportamiento futuro
- Acelerar Respuesta ante Incidentes – Reconocer técnicas características del actor habilita análisis más rápido
- Asignar Recursos – Invertir en defensas contra amenazas probables
Atribución de Actores de Amenaza
Atribución es el proceso de vincular un ataque a un actor de amenaza específico. La atribución es difícil y requiere:
- Indicadores técnicos (firmas de malware, infraestructura)
- Indicadores tácticos (técnicas, herramientas, patrones de targeting)
- Indicadores estratégicos (motivación, tiempo, contexto geopolítico)
- Evaluación de confianza (confianza alta, confianza moderada, confianza baja)
Los investigadores de seguridad rara vez afirman certeza del 100%; en su lugar, asignan niveles de confianza: “con confianza moderada, evaluamos que este ataque fue realizado por APT28.”