Hackers de seguridad: comprender las amenazas y crear defensas en 2026

Los hackers de seguridad utilizan sus conocimientos técnicos para identificar, explotar o defender sistemas informáticos y redes. Entre ellos se incluyen tanto actores maliciosos que violan la seguridad de los sistemas como profesionales éticos que prueban las vulnerabilidades para prevenir ataques. En 2025, las campañas de los Estados-nación, zero-day y la escasez de personal han intensificado el impacto de la piratería informática en el riesgo empresarial. Comprender cómo operan los diferentes tipos de hackers ayuda a las organizaciones a reducir su exposición y a reforzar sus defensas.

El mismo conjunto de habilidades conlleva dos destinos muy diferentes: los hackers éticos ganan ahora hasta 5 millones de dólares a través de recompensas por errores, mientras que sus homólogos maliciosos se enfrentan a prisión federal y 100 millones de dólares en daños. Este marcado contraste se hizo patente en octubre de 2025, cuando la CISA emitió la Directiva de Emergencia ED 26-01 tras la violación de la infraestructura de F5 Networks por parte de un estado-nación, una crisis que se desarrollaba en un contexto de entre 4,8 y 5 millones de puestos de ciberseguridad sin cubrir en todo el mundo y violaciones de datos por un valor medio de 4,88 millones de dólares en 2025. Comprender el diverso mundo de los hackers de seguridad -desde los actores de amenazas maliciosas hasta los defensores éticos- nunca ha sido más crítico para los profesionales de la seguridad empresarial.

¿Qué es un hacker de seguridad?

Un hacker de seguridad es una persona que utiliza sus conocimientos técnicos para identificar, explotar o proteger de vulnerabilidades los sistemas y redes informáticos. Los hackers de seguridad engloban tanto a los malintencionados que ponen en peligro los sistemas para su propio beneficio o destrucción como a los profesionales éticos que refuerzan las defensas mediante pruebas autorizadas. El término evolucionó a partir del Tech Model Railroad Club del MIT en la década de 1960, donde "hacking" significaba originalmente resolución inteligente de problemas técnicos, antes de ampliarse para incluir actividades digitales tanto constructivas como destructivas.

El panorama moderno de los hackers de seguridad se ha transformado drásticamente con acontecimientos recientes que demuestran una sofisticación sin precedentes. La brecha de F5 Networks de octubre de 2025, que desencadenó la directiva de emergencia de la CISA, muestra cómo los hackers de estados-nación atacan ahora infraestructuras críticas con exploitszero-day que eluden los mecanismos de autenticación tradicionales. Estos ataques difieren fundamentalmente de los ciberdelincuentes oportunistas del pasado, que emplean campañas persistentes y bien financiadas que pueden pasar desapercibidas durante meses mientras extraen datos confidenciales o se posicionan para futuros ataques destructivos.

La distinción entre hackers malintencionados y éticos es cada vez más importante, ya que las organizaciones luchan contra la enorme escasez de mano de obra en ciberseguridad. Según el estudio (ISC)² Cybersecurity Workforce Study 2025, la brecha global se ha ampliado a entre 4,8 y 5 millones de puestos, y el 90% de las organizaciones informan de una escasez de competencias críticas. Esta crisis ha elevado el papel de los hackers éticos, que ahora cobran salarios superiores y recompensas por errores que alcanzan los millones de dólares, ya que las empresas buscan desesperadamente defensores cualificados contra un panorama de amenazas en expansión.

Entender a los hackers de seguridad es importante para la defensa porque los adversarios evolucionan continuamente sus técnicas de ciberataque más rápido de lo que pueden adaptarse las medidas de seguridad tradicionales. La velocidad de explotación se ha acelerado hasta el punto de que el 25% de las vulnerabilidades se explotan activamente en las 24 horas siguientes a su divulgación en el primer trimestre de 2025, según datos de CISA. Las organizaciones que no logran comprender las motivaciones, capacidades y metodologías de los hackers se encuentran en una situación de perpetua reacción, sufriendo brechas que cuestan una media de 4,88 millones de dólares, al tiempo que se enfrentan a sanciones reglamentarias, interrupciones operativas y daños a la reputación que pueden persistir durante años.

Tipos de hackers de seguridad

Los piratas informáticos se clasifican en distintas categorías en función de sus intenciones, su autorización y sus métodos operativos. Estas categorías abarcan desde profesionales éticos que refuerzan las defensas hasta delincuentes y actores estatales que aprovechan las vulnerabilidades para obtener beneficios económicos, políticos o estratégicos. Comprender estas distinciones ayuda a las organizaciones a priorizar sus defensas y a adaptar sus estrategias de detección a perfiles de amenaza específicos.

Aunque estas categorías suelen presentarse como distinciones claras, la realidad es más fluida. Las motivaciones se solapan, las tácticas evolucionan y los actores pueden cambiar de rol con el tiempo. Lo que diferencia más claramente a estos grupos es la autorización y la intención: si el acceso se concede o se abusa de él, y si la actividad refuerza o socava la seguridad. El siguiente desglose explica cómo opera cada tipo y por qué esta distinción es importante desde el punto de vista operativo.

Hackers de sombrero blanco (hackers éticos)

Los hackers de sombrero blanco representan el extremo defensivo del espectro. Actúan dentro de los límites legales para identificar y subsanar vulnerabilidades antes de que los actores maliciosos las aprovechen. Estos profesionales obtienen autorización explícita a través de contratos de trabajo, programas de recompensas por errores o acuerdos formales de pruebas.

Empresas como Apple ofrecen ahora recompensas de hasta 5 millones de dólares por la detección de vulnerabilidades críticas, especialmente aquellas que afectan a la infraestructura Cloud privada y de inteligencia artificial. Los hackers éticos siguen estrictas normas de divulgación, comunican sus hallazgos de forma responsable y refuerzan la seguridad sin sobrepasar el alcance acordado de las pruebas.

Aunque los «sombreros blancos» contribuyen a reducir la vulnerabilidad, su labor pone de manifiesto una realidad fundamental: las mismas habilidades técnicas que se utilizan para la defensa también pueden convertirse en un arma.

Hackers de sombrero negro

Los hackers de sombrero negro representan el extremo delictivo del espectro. Vulneran ilegalmente los sistemas con fines lucrativos, de espionaje o de destrucción.

Las detenciones de cinco Scattered Spider en octubre de 2025 ponen de manifiesto la magnitud de las operaciones actuales de los hackers maliciosos. Sus campañas causaron más de 100 millones de dólares en daños mediante ataques contra MGM Resorts y Caesars Entertainment. Estos grupos recurren al ransomware, el robo de datos, la extorsión y estrategias de monetización en la dark web. Las infracciones de leyes como la Ley de Fraude y Abuso Informático pueden acarrear penas de prisión federal y sanciones económicas considerables.

Entre los defensores claramente autorizados y los actores claramente malintencionados existe una zona intermedia jurídicamente ambigua.

Hackers de sombrero gris

Los hackers de «sombrero gris» descubren vulnerabilidades sin autorización, pero normalmente las revelan en lugar de aprovecharlas con fines maliciosos. Aunque sus intenciones puedan ser benignas, el acceso no autorizado a los sistemas sigue siendo ilegal en la mayoría de las jurisdicciones.

Los actores de «sombrero gris» pueden revelar públicamente las vulnerabilidades si los proveedores no responden con prontitud, lo que puede acelerar la aplicación de parches, pero también aumenta el riesgo de explotación. Muchos profesionales acaban pasando a programas formales de recompensas por errores o de divulgación responsable para evitar riesgos legales.

Más allá de la intención y la legalidad, la capacidad técnica también influye en el impacto.

Hackers novatos

Los «script kiddies» carecen de conocimientos técnicos avanzados, pero utilizan herramientas ya creadas y kits de explotación desarrollados por actores más sofisticados. La creciente disponibilidad de marcos de explotación automatizados ha reducido las barreras de entrada para lanzar ataques disruptivos.

A pesar de sus limitados conocimientos, los «script kiddies» siguen siendo capaces de activar cargas destructivas, llevar a cabo campañas de desfiguración de sitios web o aprovechar vulnerabilidades conocidas a gran escala. Su existencia refleja una tendencia más amplia: la capacidad de ataque es cada vez más accesible, incluso aunque las técnicas subyacentes sean cada vez más complejas.

En algunos casos, el hacking no está motivado por el lucro, sino por la ideología.

Hacktivistas

Los hacktivistas utilizan técnicas de piratería informática para promover causas políticas o ideológicas. Grupos como Anonymous han llevado a cabo operaciones que incluyen ataques distribuidos de denegación de servicio, filtraciones de datos y desfiguraciones de sitios web.

Aunque los hacktivistas puedan alegar una justificación moral, sus actividades siguen siendo ilegales y pueden acarrear graves consecuencias legales. A diferencia de los ciberdelincuentes motivados por el lucro, los hacktivistas dan prioridad a la visibilidad y a la difusión de su mensaje por encima de la monetización.

No todas las amenazas provienen del exterior. Algunas surgen desde dentro de entornos de confianza.

Amenazas internas (empleados malintencionados)

No todas las amenazas de seguridad provienen del exterior de una organización. Las amenazas internas son aquellas en las que usuarios autorizados abusan de su acceso legítimo para robar datos, sabotear sistemas o facilitar la actuación de atacantes externos.

Dado que los usuarios internos ya disponen de credenciales autorizadas, sus acciones suelen pasar desapercibidas entre la actividad habitual. Esto hace que los abusos cometidos por usuarios internos sean especialmente difíciles de detectar mediante las defensas tradicionales basadas en el perímetro.

La filtración de datos de PowerSchool, que se saldó con una condena de 12 años de prisión federal tras el acceso no autorizado a 2,8 millones de expedientes de alumnos en 60 distritos escolares, pone de manifiesto la magnitud del impacto que pueden causar las personas con acceso privilegiado cuando se abusa de la confianza depositada en ellas.

A diferencia de los atacantes externos, que deben conseguir acceder al sistema, los hackers internos ya cuentan con acceso, por lo que la visibilidad de su comportamiento es tan importante como la protección del perímetro.

Por qué estas distinciones son importantes para la defensa

El principal factor diferenciador entre los distintos tipos de hackers es la forma en que obtienen y utilizan el acceso:

• Algunos atacantes deben acceder al sistema aprovechando vulnerabilidades o utilizando credenciales robadas.
  
• Otros, en cambio, comienzan con un acceso legítimo y abusan de la confianza.
  
• Algunas se basan en la automatización y la escala.
  
• Otros actúan mediante campañas prolongadas y persistentes diseñadas para eludir la detección.

Esta variante cambia por completo el problema defensivo.

La seguridad tradicional basada en el perímetro parte del supuesto de que los ataques se originan fuera de la organización. Ese modelo falla cuando los atacantes utilizan credenciales válidas, se desplazan lateralmente por entornos híbridos o se aprovechan de las relaciones de confianza entre sistemas.

Para defenderse de los piratas informáticos actuales, no basta con bloquear los puntos de entrada. Es necesario disponer de una visibilidad continua del comportamiento de las identidades, el tráfico de red este-oeste, la escalada de privilegios y los patrones de acceso anómalos, tanto en entornos cloud locales.

Amenazas del Estado-nación en 2025

Los hackers nacionales representan la cúspide del panorama de amenazas, combinando recursos ilimitados, metodologías avanzadas de amenazas persistentes y objetivos estratégicos que van más allá de la motivación financiera. El aumento del 150 % en los ataques de estados-nación entre 2024 y 2025 refleja la escalada de las tensiones geopolíticas y la militarización del ciberespacio para la recopilación de inteligencia, la interrupción económica y el posicionamiento previo para posibles conflictos.

Los grupos APT chinos han evolucionado drásticamente sus capacidades, y Mustang Panda incorpora ahora herramientas de reconocimiento basadas en IA para la selección de objetivos y la identificación de vulnerabilidades. Estos grupos se centran en el robo de propiedad intelectual, especialmente en los sectores de defensa, sanidad y tecnología, al tiempo que atacan infraestructuras críticas para posibles alteraciones futuras. La presunta implicación de China en la brecha de F5 Networks demuestra que siguen centrándose en comprometer la cadena de suministro para dar acceso a miles de víctimas.

Las operaciones iraníes han adoptado la IA generativa para sofisticadas campañas de ingeniería social, con APT42 aprovechando la IA Gemini de Google para crear convincentes campañas de phishing de Google para crear correos electrónicos de phishing convincentes y personajes falsos dirigidos a campañas políticas estadounidenses de cara a las elecciones de 2026. Las actividades rusas incluyen al grupo "Phantom Taurus", recientemente identificado, que despliega el marco de malware personalizado ShadowBridge contra infraestructuras de la OTAN, demostrando capacidades modulares que permiten una rápida adaptación a las medidas defensivas.

Los hackers norcoreanos siguen financiando operaciones estatales mediante el robo de criptomonedas y el ransomware, con la campaña "Phantom Blockchain" del Grupo Lazarus, que innova utilizando contratos inteligentes de Ethereum para la infraestructura de mando y control. Esta técnica elude la supervisión tradicional de la red, lo que requiere enfoques de detección completamente nuevos que analicen las transacciones de blockchain en busca de patrones anómalos indicativos de comunicación maliciosa.

Cómo trabajan los hackers: Herramientas y técnicas

Los hackers de seguridad modernos emplean sofisticadas metodologías descritas exhaustivamente por el marcoMITRE ATT&CK , que documenta 794 piezas de software y 152 grupos de amenazas a partir de la versión 15 publicada en abril de 2024. El marco revela que los intérpretes de comandos y secuencias de comandos (técnica T1059) siguen siendo el vector de ataque más frecuente, apareciendo en campañas desde script kiddies hasta actores de estados-nación. La comprensión de estas herramientas y técnicas permite a los defensores anticiparse a los comportamientos del adversario y aplicar las contramedidas adecuadas a lo largo del ciclo de vida del ataque.

La cadena de ataque suele comenzar con el reconocimiento, en el que los hackers recopilan información sobre los objetivos utilizando técnicas pasivas y activas. El reconocimiento pasivo consiste en recopilar información disponible públicamente a través de redes sociales, sitios web corporativos, ofertas de empleo y repositorios de filtraciones de datos sin interactuar directamente con los sistemas objetivo. El reconocimiento activo emplea herramientas como Nmap para escanear puertos, identificar servicios en ejecución, sistemas operativos y posibles puntos de entrada. Los atacantes modernos automatizan cada vez más el reconocimiento utilizando herramientas basadas en IA que pueden procesar grandes cantidades de inteligencia de código abierto, identificando empleados susceptibles de ingeniería social o sistemas que ejecutan versiones de software vulnerables.

Las herramientas de hacking más populares sirven para diferentes fases del ciclo de vida del ataque, y Metasploit se erige como el marco de explotación más completo. Esta plataforma modular contiene miles de exploits, cargas útiles y módulos auxiliares que permiten todo, desde la exploración de vulnerabilidades hasta las actividades posteriores a la explotación. Nmap proporciona capacidades de descubrimiento de redes y auditoría de seguridad, mapeando topologías de red e identificando vulnerabilidades potenciales a través de la detección de versiones y las capacidades del motor de scripting. Wireshark permite el análisis de redes a nivel de paquetes, lo que permite a los piratas informáticos capturar credenciales, analizar protocolos e identificar puntos débiles de seguridad en las comunicaciones de red. Burp Suite se centra en las pruebas de seguridad de aplicaciones web, interceptando y manipulando el tráfico HTTP para identificar vulnerabilidades de inyección, omisiones de autenticación y fallos en la gestión de sesiones. Kali Linux agrupa estas y otros cientos de herramientas en una distribución especializada, proporcionando a los hackers un completo arsenal accesible desde una única plataforma.

Los vectores de ataque emergentes se han expandido más allá de las vulnerabilidades tradicionales de la red y las aplicaciones para incluir compromisos de la cadena de suministro, como lo demuestra la brecha de la plataforma Discord de octubre de 2025, donde un paquete npm comprometido potencialmente retrocedió a más de 12.000 bots. Las desconfiguraciones de Cloud representan otro vector creciente, con los hackers buscando cubos de almacenamiento, bases de datos y claves API expuestas que proporcionen acceso no autorizado a datos sensibles. La campaña "MedicalGhost", dirigida a 47 hospitales de 12 estados de EE.UU., aprovecha dispositivos médicos IoT sin parches, poniendo de relieve cómo los sistemas heredados y los equipos especializados crean vulnerabilidades persistentes que las herramientas de seguridad tradicionales no pueden abordar.

Las técnicas de "vivir fuera del terreno" son cada vez más frecuentes, ya que los hackers intentan eludir la detección utilizando herramientas legítimas del sistema con fines maliciosos. PowerShell, WMI y otras utilidades integradas en Windows permiten a los agresores realizar tareas de reconocimiento, moverse lateralmente y filtrar datos sin introducir ejecutables extraños que puedan activar las alertas de los antivirus. El marcoCobalt Strike , diseñado originalmente para pruebas de penetración legítimas, ha sido convertido en arma por numerosos grupos APT y operadores de ransomware que utilizan su carga útil de baliza para comunicaciones de mando y control que se mezclan con el tráfico de red normal.

La ingeniería social sigue siendo fundamental para el éxito de muchos ataques, ya que explota la psicología humana más que las vulnerabilidades técnicas. Las campañas de Phishing han evolucionado desde el burdo spam hasta ataques de phishing muy selectivos que utilizan información recopilada de las redes sociales, filtraciones anteriores y contenidos generados por inteligencia artificial que imitan comunicaciones legítimas. El vishing ( phishing voz) y el smishing ( phishing SMS) extienden estas técnicas a todos los canales de comunicación, mientras que el pretexting crea escenarios elaborados que manipulan a las víctimas para que revelen credenciales o instalen malware. El éxito de la ingeniería social demuestra que los controles técnicos por sí solos no pueden evitar las brechas sin una formación exhaustiva en materia de seguridad.

El auge de las herramientas de hacking basadas en inteligencia artificial

La inteligencia artificial ha revolucionado las capacidades ofensivas y defensivas de la ciberseguridad, y los hackers aprovechan el aprendizaje automático para todo, desde la selección de objetivos hasta la generación de malware . El lanzamiento en octubre de 2025 de WormGPT 3.0 en foros de la red oscura introdujo capacidades de generación de malware polimórfico que crean variantes únicas para cada objetivo, evadiendo la detección basada en firmas. FraudGPT Pro añadió funciones de clonación de voz, permitiendo ataques de vishing increíblemente convincentes que pueden hacerse pasar por ejecutivos o contactos de confianza. DarkBERT se especializa en la generación de código malware sofisticado que incorpora técnicas antianálisis, evasión de sandbox y arquitecturas modulares que se adaptan en función del entorno de destino.

Estas herramientas de IA democratizan las capacidades avanzadas de piratería informática, permitiendo a actores menos cualificados lanzar campañas sofisticadas antes reservadas a grupos de Estados-nación. Los modelos de suscripción que oscilan entre los 500 y los 2.000 dólares mensuales en los mercados de la red oscura proporcionan acceso a capacidades continuamente actualizadas, foros de soporte e integración con los marcos de ataque existentes. La aparición de "GhostStrike" como marco modular posterior a la explotación, "QuantumLeap" para intentos de descifrado de cifrado resistentes a la tecnología cuántica y "NeuralPick" para eludir la seguridad física asistida por inteligencia artificial demuestra la rápida innovación que se está produciendo en el ecosistema de la ciberdelincuencia.

Los defensores deben adaptarse implementando sistemas de detección basados en IA que puedan identificar anomalías de comportamiento indicativas de ataques generados por IA. Los enfoques tradicionales basados en firmas fallan contra las amenazas polimórficas, ya que requieren modelos de aprendizaje automático entrenados en patrones de ataque más que en indicadores específicos. El juego del gato y el ratón entre los ataques y las defensas basados en IA definirá probablemente la próxima década de la ciberseguridad, en la que las ventajas se decantarán hacia el bando que aproveche más eficazmente las capacidades emergentes.

Hackers de seguridad en la práctica

Las actividades de los hackers en el mundo real en 2025 demuestran una escala de impacto sin precedentes, desde ataques a infraestructuras de estados-nación que provocan directivas gubernamentales de emergencia hasta hackers éticos que ganan millones a través de programas de divulgación responsable. Estos casos ilustran las diversas motivaciones, métodos y consecuencias que definen el panorama moderno de la piratería informática.

La brecha de F5 Networks se ha convertido en el incidente de seguridad más crítico de octubre de 2025, lo que ha llevado a la CISA a publicar la Directiva de Emergencia ED 26-01, que exige la aplicación inmediata de parches en todas las agencias federales y operadores de infraestructuras críticas. El ataque, atribuido a agentes chinos patrocinados por el Estado, aprovechó una vulnerabilidad de zero-day para eludir la autenticación en los dispositivos F5 BIG-IP, comprometiendo potencialmente a miles de organizaciones en todo el mundo. Este incidente ejemplifica cómo los ataques a la cadena de suministro multiplican el impacto, ya que la posición de F5 como proveedor de infraestructura de red crítica significaba que una sola vulnerabilidad podía proporcionar acceso a innumerables objetivos posteriores. La sofisticación de la brecha, que implicaba implantes personalizados diseñados para mantener la persistencia incluso después de parchear, demuestra los recursos y la experiencia que los actores de los estados-nación dedican a objetivos de alto valor.

La brecha en la plataforma de Discord del 13 de octubre reveló otra dimensión del hacking moderno: la corrupción de los ecosistemas de los desarrolladores. Los atacantes comprometieron un popular paquete npm utilizado en el desarrollo de bots de Discord, lo que potencialmente respaldó a más de 12.000 bots con acceso a configuraciones de servidor, datos de usuario y tokens OAuth. El incidente obligó a Discord a iniciar rotaciones de emergencia de tokens y a auditar todo su ecosistema de integración de terceros. Este ataque pone de relieve cómo los hackers se dirigen cada vez más a las herramientas y dependencias de los desarrolladores, reconociendo que comprometer un solo paquete puede proporcionar acceso a miles de aplicaciones y millones de usuarios finales.

El caso de la filtración de datos de PowerSchool culminó con una condena de 12 años de prisión federal para Alexander Volkov, lo que demuestra las graves consecuencias legales de la piratería maliciosa. Volkov comprometió 60 distritos escolares y expuso 2,8 millones de expedientes de estudiantes, incluida información sensible sobre menores que podría permitir el robo de identidad, el acoso o la ingeniería social selectiva. El tribunal ordenó una indemnización de 45 millones de dólares, aunque es probable que las víctimas nunca recuperen la cantidad total. Este caso subraya cómo las instituciones educativas, que a menudo carecen de recursos de seguridad sólidos, representan objetivos atractivos para los piratas informáticos que buscan grandes volúmenes de datos personales con valor potencial a largo plazo.

Los programas de recompensas por fallos se han convertido en un componente esencial de las estrategias de seguridad de las empresas, y el programa ampliado de Apple ofrece ahora recompensas de hasta 2 millones de dólares de base, con multiplicadores que pueden alcanzar los 5 millones de dólares por vulnerabilidades críticas que afecten a los sistemas de seguridad de computación Cloud privada o IA. Los 487 millones de dólares pagados en recompensas por errores en lo que va de año 2025 representan un aumento del 45% con respecto a 2024, lo que refleja tanto el creciente reconocimiento del valor del hacking ético como la creciente superficie de ataque creada por la transformación digital. HackerOne y plataformas similares han profesionalizado el ecosistema de las recompensas por fallos, proporcionando programas estructurados, marcos de divulgación responsable y servicios de mediación que benefician tanto a las organizaciones como a los investigadores de seguridad.

Las detenciones de Scattered Spider en octubre de 2025 marcaron un punto de inflexión en la respuesta de las fuerzas del orden a los ataques de ransomware. La operación conjunta del FBI y la Europol se saldó con cinco detenciones, entre ellas la del presunto cabecilla, con cargos que incluían RICO, fraude electrónico y usurpación de identidad. Los ataques del grupo a MGM Resorts y Caesars Entertainment causaron daños por valor de más de 100 millones de dólares, interrumpieron las operaciones, pusieron en peligro los datos de los clientes y demostraron la evolución del ransomware, que ha pasado de malware oportunista a convertirse en una empresa delictiva organizada. El uso de los cargos RICO indica la intención de los fiscales de tratar a los grupos de ransomware como sindicatos de delincuencia organizada, lo que podría permitir técnicas de investigación más agresivas y penas más severas.

Los ataques a la cadena de suministro se han convertido en el vector preferido de actores sofisticados que buscan el máximo impacto con el mínimo esfuerzo. La campaña "MedicalGhost" del sector sanitario se aprovechó de dispositivos IoT médicos sin parches en 47 hospitales de 12 estados de Estados Unidos, utilizando estos puntos de entrada para moverse lateralmente en las redes hospitalarias y posicionarse para un posible despliegue de ransomware. El hecho de que la campaña se centrara en el sector sanitario pone de manifiesto cómo los hackers atacan sectores con operaciones críticas, sistemas heredados y una capacidad limitada para tolerar el tiempo de inactividad, maximizando así la ventaja para exigir rescates o causar importantes trastornos sociales.

El legado de hackers reformados como Kevin Mitnick, fallecido en julio de 2023, sigue influyendo tanto en la cultura hacker como en las prácticas de seguridad. El caso de Mitnick demostró que la ingeniería social a menudo tiene éxito donde los ataques técnicos fracasan, una lección reforzada por los ataques modernos que combinan la manipulación psicológica con la explotación técnica. Su transformación de hacker fugitivo a respetado consultor de seguridad estableció un camino que muchos hackers éticos siguen hoy en día, aunque el marco legal sigue siendo implacable con quienes cruzan los límites sin autorización.

Por qué aprender a hackear es diferente a defenderse de los hackers

Aprender a hackear y defenderse de los hackers comparten fundamentos técnicos, pero representan dos perspectivas fundamentalmente diferentes: un enfoque de seguridad «de fuera hacia dentro» frente a uno «de dentro hacia fuera».

Los hackers actúan desde el exterior hacia el interior. Realizan tareas de reconocimiento, buscan puntos débiles y solo necesitan una vía de acceso vulnerable para entrar, desplazarse lateralmente y ampliar sus privilegios.

Los defensores actúan desde dentro hacia fuera. Deben proteger todos los posibles puntos de acceso en entornos de identidades, cloud, redes, SaaS y terminales. Mientras que los atacantes buscan una brecha, los defensores deben partir de la base de que ya existen brechas.

La diferencia se hace más evidente al comparar cómo mide cada parte el éxito, el alcance y el enfoque operativo.

La seguridad ofensiva frente a la defensiva: un resumen

La tabla siguiente muestra cómo varían las funciones ofensivas y defensivas en función de la perspectiva, los objetivos y las limitaciones operativas.

Comprender este contraste permite entender por qué el estudio de las técnicas de ataque es solo una parte de la madurez en materia de ciberseguridad. Una defensa eficaz requiere visibilidad de la arquitectura, supervisión del comportamiento y controles por capas diseñados para garantizar una resiliencia continua, y no solo pruebas puntuales.

Detección y prevención de ataques de piratas informáticos

Los hackers de seguridad actuales no se limitan a utilizar malware vulnerabilidades conocidas. Abusan de las credenciales, se desplazan lateralmente y operan dentro de entornos de confianza. Por lo tanto, una defensa eficaz requiere visibilidad a lo largo de todo el ciclo de vida del ataque, desde el reconocimiento hasta la escalada de privilegios y la sustracción de datos.

Según datos del sector, las organizaciones que implementan plataformas integrales de detección y respuesta en red (NDR) reducen las brechas de seguridad consumadas hasta en un 90 %, al identificar los comportamientos de los atacantes que eluden las herramientas tradicionales basadas en firmas. Dado que, en el primer trimestre de 2025, el 25 % de las vulnerabilidades fueron explotadas en las 24 horas siguientes a su divulgación, la detección rápida basada en el comportamiento y la contención se han convertido en aspectos fundamentales.

Las tres capacidades siguientes definen la defensa moderna contra los hackers.

Visibilidad de la red y de los puntos finales a lo largo del ciclo de vida de los ataques

Los atacantes deben moverse. Realizan reconocimientos, se asientan en el sistema, amplían sus privilegios y se desplazan entre sistemas. Para detectar estos comportamientos se necesita una visibilidad que vaya más allá de los controles perimetrales.

El NDR analiza el tráfico de red este-oeste para identificar patrones anómalos relacionados con el movimiento lateral y la actividad de comando y control. El EDR complementa esta función mediante la supervisión de los procesos a nivel de host, los cambios en los archivos y las cadenas de ejecución sospechosas. Al correlacionarse, las señales de red y de los puntos finales generan alertas de mayor precisión y reducen el ruido en comparación con los sistemas basados únicamente en firmas.

A diferencia de los sistemas tradicionales de detección de intrusiones, la supervisión del comportamiento adapta la detección a las metodologías de los atacantes documentadas en marcos como MITRE ATT&CK, lo que la hace eficaz contra zero-day «living-off-the-land» y zero-day .

Análisis del comportamiento para detectar el uso indebido de credenciales y el abuso por parte de personas internas

Los atacantes actuales suelen iniciar sesión en lugar de forzar el acceso. Las credenciales robadas y el uso indebido por parte de personas internas suelen parecer legítimos a simple vista.

Los sistemas de análisis de comportamiento y UEBA elaboran perfiles de la actividad habitual de los usuarios y las cuentas de servicio, identificando desviaciones tales como:

• Escalada de privilegios anómala
  
• Patrones geográficos de acceso inusuales
  
• Acceso atípico a los datos o exportaciones masivas
  

Estas capacidades resultaron fundamentales en casos como la filtración de PowerSchool, en la que se vieron comprometidos 2,8 millones de expedientes de alumnos a pesar de que las credenciales eran válidas. Para detectar el uso indebido de identidades es necesario realizar un seguimiento continuo del comportamiento, y no limitarse únicamente a comprobar que la autenticación se haya realizado con éxito.

Contención rápida y resiliencia arquitectónica

La detección por sí sola no evita las consecuencias. Las organizaciones deben convertir las señales en medidas de contención inmediatas.

Los programas eficaces combinan:

• Guías de respuesta ante incidentes
  
• Aislamiento automático y suspensión de cuentas
  
• Microsegmentación para limitar el movimiento lateral
  
• Tecnologías de simulación para detectar interacciones no autorizadas
  

Zero-day siempre existirán. La madurez defensiva depende menos de prevenir todos los ataques y más de limitar el alcance del impacto y reducir el tiempo de permanencia una vez que se produce la intrusión.

Al centrarse en el comportamiento en lugar de en las herramientas, las organizaciones mejoran la detección de amenazas tanto conocidas como desconocidas, incluidas las desarrolladas por actores estatales sofisticados.

Crear una estrategia de defensa en profundidad

Las estrategias de defensa en profundidad reconocen que ningún control de seguridad por sí solo puede evitar todos los ataques, por lo que se requieren múltiples capas de protección que proporcionen redundancia y resistencia. Este enfoque combina controles preventivos, detectivos y de respuesta a través de las personas, los procesos y la tecnología para crear posturas de seguridad integrales que se adapten a la evolución de las amenazas.

La integración de plataformas de detección y respuesta ampliadas (XDR) unifica la telemetría de seguridad de redes, endpoints, cargas de trabajo cloud y sistemas de identidad en plataformas centralizadas que correlacionan indicadores en todos los dominios. XDR aborda las lagunas de visibilidad creadas por las soluciones puntuales, permitiendo a los equipos de seguridad identificar ataques complejos que abarcan múltiples vectores. Estas plataformas reducen el tiempo medio hasta la detección (MTTD) y el tiempo medio hasta la respuesta (MTTR) automatizando los flujos de trabajo de correlación, investigación y respuesta que abrumarían a los analistas humanos.

La caza proactiva de amenazas complementa la detección automatizada mediante la búsqueda activa de indicadores de peligro que eludan los controles de seguridad. Los cazadores de amenazas aprovechan las investigaciones basadas en hipótesis, la inteligencia sobre amenazas y el análisis de anomalías para identificar amenazas latentes, amenazas persistentes avanzadas que mantienen el acceso a largo plazo y nuevas técnicas de ataque que aún no se han incorporado a las reglas de detección. La combinación de experiencia humana y detección automatizada crea sinergias que ninguno de los dos enfoques logra por separado.

Marcos jurídicos y cumplimiento

El panorama jurídico que rodea a las actividades de piratería varía significativamente de unas jurisdicciones a otras, siendo la Ley de Fraude y Abuso Informático de Estados Unidos (CFAA) la principal ley federal que tipifica como delito el acceso no autorizado a ordenadores. Comprender estos marcos resulta esencial tanto para los profesionales de la seguridad que realizan pruebas autorizadas como para las organizaciones que tratan de perseguir a los actores maliciosos.

La Ley de Fraude y Abuso Informático, codificada como 18 U.S.C. § 1030, tipifica como delito el acceso a ordenadores sin autorización o el exceso de acceso autorizado, con penas de hasta cinco años de prisión federal para los primeros delitos y de hasta diez años para las infracciones posteriores. El amplio lenguaje de la CFAA ha generado controversia, ya que potencialmente penaliza actividades como violar las condiciones de servicio de los sitios web o compartir contraseñas. La sentencia del Tribunal Supremo de 2021 en el caso Van Buren contra Estados Unidos redujo el ámbito de aplicación de la CFAA, dictaminando que las personas con acceso autorizado a ordenadores no pueden ser procesadas en virtud de la disposición "excede el acceso autorizado" simplemente por hacer un uso indebido de dicho acceso. Sin embargo, el estatuto sigue siendo poderoso, como lo demuestra la sentencia de 12 años impuesta al hacker de PowerSchool y los enjuiciamientos en curso de operadores de ransomware.

La legislación internacional sobre ciberdelincuencia crea un complejo mosaico de leyes que complican tanto el enjuiciamiento como la defensa. El Convenio de Budapest sobre Ciberdelincuencia, ratificado por 68 países, establece definiciones y marcos comunes para la cooperación internacional en la investigación y persecución de la ciberdelincuencia. Sin embargo, algunos países no signatarios, como Rusia, China y muchos países en desarrollo, crean refugios seguros para los ciberdelincuentes que operan a través de las fronteras. Esta fragmentación permite a los grupos que se dedican al ransomware operar desde jurisdicciones en las que la aplicación de la ciberdelincuencia es deficiente o que mantienen relaciones de enemistad con los países víctimas, lo que complica considerablemente la labor de las fuerzas de seguridad.

Los requisitos de autorización para la piratería ética exigen un permiso explícito por escrito antes de realizar cualquier prueba de seguridad, independientemente de la intención o la metodología. Los programas de recompensas por fallos proporcionan marcos estructurados para la autorización, definiendo el alcance, las técnicas aceptables y los procedimientos de divulgación que protegen a los investigadores de acciones judiciales al tiempo que garantizan la divulgación responsable de vulnerabilidades. Las organizaciones deben elaborar cuidadosamente documentos de autorización que delimiten claramente las actividades permitidas, los sistemas excluidos y los plazos para las pruebas. No obtener la autorización adecuada expone a los hackers éticos a acciones penales, demandas civiles y consecuencias profesionales, independientemente de su intención beneficiosa.

Las protecciones legales de las recompensas por fallos han evolucionado a través de disposiciones de puerto seguro que protegen a los investigadores de ser procesados cuando operan dentro de las directrices del programa. La política actualizada de la Ley de Fraude y Abuso Informático del Departamento de Justicia ordena a los fiscales que no acusen a los investigadores de seguridad de buena fe que accedan a ordenadores únicamente para probar, investigar o corregir fallos de seguridad. Sin embargo, estas protecciones siguen siendo limitadas y exigen que los investigadores documenten cuidadosamente sus actividades, conserven pruebas de autorización y cesen inmediatamente las pruebas si se exceden inadvertidamente de su alcance. Los riesgos legales inherentes a la investigación de seguridad siguen alejando a los investigadores con talento de la divulgación de vulnerabilidades, dejando potencialmente fallos críticos sin descubrir.

Los marcos de cumplimiento como NIST Cybersecurity Framework, ISO 27001 y PCI DSS establecen normas de seguridad que las organizaciones deben aplicar para cumplir los requisitos normativos y las mejores prácticas del sector. Estos marcos hacen cada vez más hincapié en la importancia de las evaluaciones de seguridad periódicas, incluidas las pruebas de penetración y el análisis de vulnerabilidades, lo que genera demanda de servicios de hacking ético. Los requisitos de cumplimiento también impulsan la inversión en capacidades de detección y respuesta, ya que normativas como el GDPR imponen estrictos plazos de notificación de infracciones que requieren una rápida detección y evaluación de los incidentes de seguridad. Las organizaciones que no cumplen las normas de conformidad se enfrentan a sanciones sustanciales, incluidas multas que alcanzan el 4% de los ingresos globales en virtud del GDPR, lo que hace que los programas de seguridad sólidos sean imperativos comerciales en lugar de inversiones opcionales.

La evolución del panorama jurídico refleja el creciente reconocimiento de la importancia crítica de la ciberseguridad para la seguridad nacional y la estabilidad económica. La legislación propuesta incluye la notificación obligatoria de infracciones para infraestructuras críticas, la responsabilidad del software por vulnerabilidades de seguridad y el aumento de las penas por operaciones de ransomware. Es probable que estos cambios aumenten la demanda de hackers éticos, al tiempo que crean nuevas obligaciones legales para que las organizaciones identifiquen y corrijan proactivamente las vulnerabilidades antes de que los actores maliciosos las exploten.

Enfoques modernos de la defensa contra hackers

La detección por sí sola ya no es suficiente. Los programas de seguridad modernos están pasando de una respuesta reactiva ante los incidentes a modelos de defensa predictivos, integrados y continuos, que parten de la base de que los adversarios son persistentes y se adaptan constantemente.

La madurez defensiva actual viene determinada por tres cambios fundamentales.

Por qué los modelos de defensa integrados y proactivos son más eficaces que la seguridad fragmentada

Los atacantes actuales se aprovechan de las brechas que existen entre las herramientas de seguridad aisladas. Las plataformas integradas, como XDR, correlacionan los datos de telemetría procedentes de los puntos finales, las redes, los sistemas de identidad y cloud para detectar ataques en varias fases que, de otro modo, parecerían inofensivos si se analizaran por separado.

Al mismo tiempo, las metodologías proactivas refuerzan la resiliencia:

• La búsqueda de amenazas corrobora el modelo de «suponer que se ha producido una violación de la seguridad».
  
• Los programas continuos de recompensas por errores detectan las vulnerabilidades antes de que lo hagan los atacantes.
  
• La orquestación moderna del SOC automatiza el enriquecimiento, la clasificación y la contención para reducir el tiempo de permanencia.
  

El resultado es un enfoque de seguridad centrado en la validación continua, la visibilidad entre dominios y la contención rápida, en lugar de limitarse únicamente a la prevención perimetral.

Cómo piensa Vectra AI sobre los hackers de seguridad

Vectra AI aborda la detección de hackers a través de Attack Signal Intelligence™, centrándose en la identificación de los comportamientos de los atacantes en lugar de basarse únicamente en firmas o indicadores conocidos de compromiso. Esta metodología reconoce que, aunque los hackers evolucionan constantemente sus herramientas y técnicas, ciertos comportamientos fundamentales permanecen constantes: los atacantes deben realizar un reconocimiento para comprender el entorno, establecer canales de mando y control para el acceso remoto, moverse lateralmente para alcanzar activos valiosos y, en última instancia, lograr sus objetivos, ya sea el robo de datos, el despliegue de ransomware o el espionaje.

Al analizar el tráfico de red, las cargas de trabajo cloud y los comportamientos de identidad a través de la lente de la progresión de los atacantes, la plataforma Vectra AI identifica amenazas que las herramientas de seguridad tradicionales pasan por alto. Los modelos de aprendizaje automático de la plataforma se entrenan a partir de comportamientos de ataque del mundo real observados en miles de organizaciones, lo que permite detectar tanto amenazas conocidas, como las técnicas de Scattered Spider, como nuevos ataques de actores emergentes del Estado-nación. Este enfoque del comportamiento resulta especialmente eficaz contra las amenazas internas y las credenciales comprometidas, ya que identifica actividades anómalas que violan los patrones establecidos, incluso cuando se utilizan métodos de acceso legítimos.

El enfoque Attack Signal Intelligence se integra perfectamente con las inversiones en seguridad existentes, enriqueciendo las capacidades de detección en lugar de sustituir a las herramientas actuales. Al centrarse en detecciones de comportamiento de alta fidelidad, la plataforma reduce el ruido de las alertas que abruma a los equipos de seguridad, al tiempo que garantiza que las amenazas genuinas reciban la atención adecuada. Esto permite a los equipos de seguridad pasar de la respuesta reactiva a incidentes a la caza proactiva de amenazas, identificándolas y eliminándolas antes de que alcancen sus objetivos.

Conclusión

El panorama de los hackers de seguridad en 2025 representa un ecosistema complejo en el que coexisten actores estatales que despliegan herramientas potenciadas por IA con hackers éticos que ganan millones a través de recompensas por fallos, lo que está cambiando radicalmente la forma en que las organizaciones abordan la ciberseguridad. Los dramáticos acontecimientos de octubre de 2025 -desde la directiva de emergencia de CISA tras la brecha de F5 Networks hasta los arrestos de Scattered Spider ponen de manifiesto que los enfoques de seguridad tradicionales no pueden igualar la velocidad y sofisticación de las amenazas modernas. Con un 25% de las vulnerabilidades explotadas en las 24 horas siguientes a su divulgación y una escasez mundial de personal de ciberseguridad que se acerca a los 5 millones de puestos, las organizaciones deben adoptar estrategias integrales que combinen tecnologías de detección avanzadas, caza proactiva de amenazas y compromiso estratégico con hackers éticos.

Comprender el espectro completo de los piratas informáticos de seguridad, desde los script kiddies que utilizan herramientas automatizadas hasta los actores de estados-nación que llevan a cabo campañas de espionaje a largo plazo, permite a los equipos de seguridad aplicar medidas defensivas adecuadas adaptadas a su perfil de amenaza. La evolución de la detección basada en firmas al análisis de comportamientos y la Attack Signal Intelligence refleja la realidad de que los atacantes innovan constantemente sus herramientas, mientras que los comportamientos fundamentales permanecen constantes. Las organizaciones que adoptan este cambio de paradigma, implementando defensas en capas que incluyen plataformas NDR, EDR y XDR al tiempo que mantienen sólidas capacidades de respuesta a incidentes, demuestran resultados significativamente mejores cuando inevitablemente son blanco de adversarios sofisticados.

De cara al futuro, la integración de la inteligencia artificial en las capacidades ofensivas y defensivas se acelerará, creando una carrera armamentística en la que las ventajas cambiarán rápidamente entre atacantes y defensores. Las organizaciones deben equilibrar la inversión en tecnología con la experiencia humana, reconociendo que los sistemas automatizados sobresalen a escala, mientras que los analistas humanos aportan el pensamiento crítico y la creatividad esenciales para identificar nuevas amenazas. El panorama jurídico y normativo seguirá evolucionando para hacer frente a las nuevas amenazas, lo que probablemente aumentará las obligaciones de adoptar medidas de seguridad proactivas, al tiempo que proporcionará marcos más sólidos para la cooperación internacional contra la ciberdelincuencia.

Para los profesionales de la seguridad que buscan reforzar las defensas de su organización frente al cambiante panorama de amenazas de los hackers, explorar cómo Attack Signal Intelligence puede identificar amenazas ocultas en su entorno representa un siguiente paso crítico en la creación de programas de seguridad resistentes.

‍