¿Quién está detrás de los ciberataques? Tipos de hackers y sus motivaciones

En el mundo digital, las amenazas no son abstractas: tienen nombre, rostro (aunque muchas veces oculto) y motivaciones concretas. Los ciberataques que vemos cada día en las noticias no ocurren por azar; detrás de ellos hay actores con objetivos muy específicos. Comprender quiénes son, cómo operan y por qué lo hacen es el primer paso para proteger cualquier organización, especialmente las pequeñas y medianas empresas que, aunque no lo crean, están cada vez más en el punto de mira.

De hecho, un informe de Verizon reveló que más del 40% de los ciberataques afectan a pequeñas empresas que muchas veces no cuentan con los recursos ni los conocimientos para defenderse adecuadamente. La mayoría de estos ataques no son dirigidos de forma personalizada, sino automatizados, buscando puntos débiles comunes: sistemas desactualizados, contraseñas débiles o falta de medidas básicas de protección.

Pero ¿quiénes son realmente los que están detrás de estos ataques? ¿Todos los “hackers” son criminales? ¿Qué buscan? Estas preguntas no solo interesan a profesionales técnicos, sino que cada vez más son materia de preocupación para CEOs, responsables financieros, personal administrativo y cualquier persona que forme parte del ecosistema de una empresa.

El mito del hacker y la realidad detrás de la pantalla

Cuando escuchamos la palabra hacker, es común imaginar a una figura encapuchada frente a múltiples pantallas verdes. Pero la realidad es más compleja y, en muchos casos, más preocupante. El término “hacker” originalmente hacía referencia a personas con habilidades excepcionales para comprender y modificar sistemas informáticos. Hoy, sin embargo, ha sido en gran medida asociado al delito, aunque no siempre con justicia.

Existen diferentes tipos de hackers, y su clasificación no responde únicamente a cuestiones técnicas, sino también éticas. Por ejemplo, los conocidos como hackers de “sombrero blanco” se dedican profesionalmente a proteger sistemas. Son quienes, dentro de empresas como la nuestra —Ciberseguridad 720—, realizamos pruebas de penetración, análisis de vulnerabilidades y auditorías para anticipar y bloquear posibles amenazas. Trabajamos bajo marcos metodológicos como el NIST, ISO/IEC 27001 o el OWASP, y siempre con el consentimiento del cliente.

En el extremo opuesto están los “sombrero negro”, verdaderos cibercriminales que buscan obtener beneficios económicos, políticos o simplemente causar daño. Muchos están detrás de ataques como ransomware, robo de credenciales, sabotajes a infraestructuras críticas o venta de datos personales en la darknet. En medio de ambos, encontramos a los llamados “sombrero gris”, que operan en una zona difusa: pueden identificar vulnerabilidades sin permiso y reportarlas (o no), buscando en algunos casos una recompensa, en otros simplemente notoriedad.

Más allá de esta clasificación, también debemos hablar de grupos como los hacktivistas, que actúan movidos por ideales políticos o sociales, y los grupos APT (Advanced Persistent Threat), que suelen estar vinculados a gobiernos o grandes estructuras criminales, y cuyo objetivo principal es el espionaje, el sabotaje o la obtención de información estratégica.

Uno de los ejemplos más conocidos en este ámbito es el grupo APT28 (Fancy Bear), vinculado presuntamente al gobierno ruso y señalado por múltiples agencias de inteligencia occidentales por ciberataques a instituciones militares, políticas y medios de comunicación, incluyendo la interferencia en procesos electorales. Fuente: Council on Foreign Relations – APT28.

¿Por qué atacan a las PYMEs?

Existe un mito peligroso: pensar que los cibercriminales solo atacan a grandes corporaciones. La realidad es exactamente la contraria. Las PYMEs son blanco frecuente por una razón sencilla: son más fáciles de atacar. En muchos casos, no cuentan con firewalls bien configurados, no actualizan sus sistemas regularmente, utilizan contraseñas débiles o no tienen políticas claras de ciberseguridad interna.

Además, como señala el Informe de Amenazas 2023 de ENISA (Agencia de Ciberseguridad de la Unión Europea), las cadenas de suministro y los terceros (como socios o proveedores más pequeños) se han convertido en puertas de entrada a grandes sistemas. En otras palabras: una PYME puede ser usada como “caballo de Troya” para llegar a objetivos de mayor valor.

Motivaciones: el motor detrás de cada ataque

Las motivaciones detrás de los ataques varían. En muchos casos, el dinero es el principal motor. El ransomware, por ejemplo, ha crecido exponencialmente porque es rentable: un ciberdelincuente cifra los datos de una empresa y exige un rescate en criptomonedas para devolver el acceso. Otras veces, la motivación es el espionaje industrial, el activismo digital o incluso la simple búsqueda de reconocimiento en comunidades clandestinas.

Conocer estas motivaciones permite anticipar riesgos. Una empresa que trabaja con datos sensibles de salud, por ejemplo, puede ser blanco por el valor de esos datos en mercados ilegales. Una empresa involucrada en licitaciones públicas puede ser objetivo de grupos interesados en conocer sus propuestas. Un proveedor tecnológico puede ser usado como puente para vulnerar a sus clientes.

¿Cómo protegerse?

No hay soluciones mágicas, pero sí pasos concretos. La clave está en combinar tecnología, procesos y concienciación. Usar contraseñas robustas, implementar doble autenticación (2FA), hacer copias de seguridad fuera de línea y formar al personal son medidas básicas pero poderosas.

También es fundamental realizar auditorías periódicas para conocer el verdadero estado de la seguridad digital de una empresa. En Ciberseguridad 720, ayudamos a las organizaciones a ver sus sistemas desde la perspectiva de un atacante, identificar puntos ciegos y construir defensas adaptadas a su realidad. Solo en lo corrido de 2025, hemos evaluado más de 25 PYMEs en sectores como salud, tecnología, industria y servicios, identificando más de 250 vulnerabilidades explotables con potencial de comprometer datos sensibles, afectar la continuidad del negocio o abrir la puerta a ciberataques dirigidos. Nuestro enfoque no depende de costosas licencias ni soluciones cerradas: apostamos por herramientas open-source, procesos automatizados y un acompañamiento cercano que combina formación, concienciación y mentoría continua para empoderar a nuestros clientes en su camino hacia la resiliencia digital.