Clasificación de amenazas: externas (ciberdelincuentes, APT, hacktivistas, competidores), internas (empleados, contratistas), técnicas (malware, zero-day, misconfiguration), y accidentales (error de configuración).
Qué es una ciberamenaza
Una ciberamenaza es cualquier evento, acción o entidad con potencial de comprometer, dañar o interrumpir sistemas de información, datos o servicios. Incluye: actores maliciosos (ciberdelincuentes, hacktivistas, APTs), tipos de ataque (malware, ransomware, phishing, DDoS), vulnerabilidades explotables, y amenazas internas (empleados malintencionados o negligentes). La clasificación de amenazas y análisis de riesgos es función crítica de CISO para priorizar inversión defensiva. Amenaza = potencial de daño; riesgo = amenaza combinada con probabilidad e impacto; control = medida defensiva para mitigar riesgo.
Por qué importa
CISOs deben entender panorama de amenazas para priorizar: si APT de estado-nación apunta a tu industria, controles defensivos deben enfocarse en APT (EDR, hardening, threat hunting). Si ransomware masivo es amenaza dominante, backup inmutable y segmentación son prioridades. Threat intelligence (recolección de información sobre amenazas activas) alimenta decisiones tácticas: qué indicadores de compromiso (IoCs) buscar, qué grupos APT monitorear, qué vulnerabilidades son explotadas en el wild. Análisis de riesgos estructura el presupuesto: no puedes defender todo; priorizas activos críticos contra amenazas más probables e impactantes. Regulaciones exigen análisis de amenazas: ISO 27001 requiere risk assessment anual; NIS2 requiere conocimiento del panorama de amenazas; DORA exige stress testing contra amenazas específicas a sector financiero.
Puntos clave
Cadena de amenaza (attack chain): reconocimiento → acceso inicial → persistencia → movimiento lateral → escalada de privilegios → exfiltración. Interrumpir en cualquier punto mitiga brecha.
Threat intelligence: recolección de información sobre amenazas (CVEs en exploración activa, grupos APT activos, campañas de malware), compartida entre CISOs para defensa colectiva.
Priorización: matriz de riesgo (probabilidad × impacto) ordena amenazas. Recurso limitado = defensa enfocada en amenazas de alto riesgo primero.
Ejemplo: Análisis de amenaza guía priorización de controles
CISO de empresa de software analiza panorama de amenazas: 1) Ransomware masivo (probabilidad alta, impacto catastrófico), 2) APT de competidor chino (probabilidad media, impacto alto en IP), 3) Atacante insider (probabilidad baja, impacto medio), 4) DDoS (probabilidad alta, impacto bajo). Priorización basada en riesgo: primero, backup inmutable + segmentación (defensa contra ransomware); segundo, EDR + threat hunting (APT detection); tercero, DLP + auditoría (insider + DDoS mitigation). Presupuesto de 500K EUR se asigna: 300K backup/segmentación, 150K EDR/hunting, 50K DLP. Método estructurado asegura ROI máximo en seguridad.
Errores habituales
- Ignorar threat intelligence e implementar controles genéricos; si amenaza principal es ransomware, focus en backup y segmentación, no firewall avanzado.
- Asumir todas amenazas son iguales; ranking por probabilidad e impacto previene sobre-inversión en defensa contra amenazas remotas.
- No revisar análisis de amenazas anualmente; panorama de amenazas evoluciona (nuevas vulnerabilidades, nuevos grupos APT, nuevas tácticas). Análisis debe ser dinámico.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre amenaza, vulnerabilidad y riesgo?
Amenaza = actor o evento con potencial de daño (hacker, malware, APT). Vulnerabilidad = debilidad en sistema que puede ser explotada (puerto abierto, contraseña débil, software sin parche). Riesgo = amenaza + vulnerabilidad + impacto. Ej: amenaza APT + vulnerabilidad no parchada = riesgo alto si datos son sensibles. Sin vulnerabilidad, amenaza no puede causar daño.
¿Cómo accedo a threat intelligence?
Fuentes: 1) Comerciales (CrowdStrike, Mandiant, Recorded Future pagadas), 2) Abiertas (CVE databases, MITRE ATT&CK, SecurityFocus), 3) Comunitarias (abuse.ch, VirusTotal), 4) Proveedores (Microsoft Threat Intelligence, Google Safe Browsing), 5) ISACs/ISAOs sectoriales (compartida entre CISOs de industria). Combinación de fuentes proporciona visión completa.
¿Qué es matriz de riesgo y cómo la uso?
Matriz de 2D: eje Y = probabilidad (baja/media/alta), eje X = impacto (bajo/medio/alto). Amenazas en cuadrante rojo (alta prob, alto impacto) se priorizan primero. Amenazas en verde (baja prob, bajo impacto) se aceptan o mitigation mínima. Presupuesto de seguridad se asigna primero a rojo, luego amarillo. Revisión anual actualiza matriz cuando panorama de amenazas evoluciona.