La taxonomía de los ciberataques no es un ejercicio académico. Es el mapa que determina dónde invertir en defensa, qué controles priorizar y cómo entrenar al equipo para reconocer una amenaza antes de que se convierta en un incidente. El problema con los catálogos estándar de "tipos de ataques" es que suelen nivelar la urgencia: ransomware y adware aparecen en la misma lista con el mismo peso, como si representaran el mismo riesgo operativo. No lo hacen.

Cinco categorías concentran más del 80% del impacto documentado en brechas empresariales, según el Verizon Data Breach Investigations Report 2024. Entender cómo opera cada una es la base de cualquier estrategia de defensa efectiva.

Los principales tipos de ciberataques y cómo se clasifican

Los ataques se agrupan por vector de entrada, objetivo y mecanismo de daño. La clasificación operativa más útil para entornos empresariales:

• Phishing e ingeniería social: manipulación psicológica para obtener credenciales, transferencias o acceso. Incluye spear phishing, vishing, BEC (Business Email Compromise) y smishing.
• Malware: código malicioso que opera sobre sistemas, archivos o redes. La categoría más amplia: ransomware, troyanos, spyware, worms, rootkits y drive-by downloads mediante exploit kits.
• Ataques a aplicaciones web: explotación de vulnerabilidades en código: SQL injection, XSS (Cross-site Scripting), CSRF e inyección de comandos sobre aplicaciones sin validación adecuada de input.
• Denegación de servicio (DoS/DDoS): sobrecarga de recursos para interrumpir la disponibilidad de un servicio. La variante DDoS coordina botnets de miles de dispositivos comprometidos.
• Ataques al canal de comunicación (MitM): interceptación del tráfico entre dos partes para leer, modificar o inyectar datos. Incluye ARP spoofing, DNS spoofing y SSL stripping.
• Ataques a credenciales: fuerza bruta, credential stuffing, keylogging y ataques de diccionario contra mecanismos de autenticación débiles o sin segundo factor.

Los vectores que concentran el mayor impacto empresarial

Phishing y sus variantes son el punto de entrada más documentado en incidentes corporativos. El FBI IC3 Report 2023 estima que el Business Email Compromise generó pérdidas superiores a 2.900 millones de dólares ese año. El spear phishing, la variante dirigida a personas concretas con información personalizada, es el vector inicial en más del 60% de los ataques APT documentados. En 2020, el hackeo a las cuentas de Twitter de Elon Musk, Barack Obama y Bill Gates se inició con un ataque de spear phishing contra empleados del equipo de soporte interno: acceso real a los sistemas de administración sin ningún exploit técnico. El análisis completo de cómo opera este vector lo cubrimos en nuestra guía de spear phishing.

Ransomware es el malware de mayor impacto financiero de la última década. Colonial Pipeline pagó en 2021 un rescate de 4,4 millones de dólares en Bitcoin al grupo DarkSide tras un ataque que interrumpió el suministro de combustible en la costa este de Estados Unidos durante días. El vector inicial: credenciales VPN comprometidas sin MFA activo. El ransomware moderno no solo cifra archivos: primero exfiltra datos y luego amenaza con publicarlos si no se paga, el modelo conocido como doble extorsión. El RaaS (Ransomware as a Service) ha democratizado el acceso a estas herramientas hasta el punto de que cualquier afiliado con recursos moderados puede lanzar una campaña sin desarrollar el malware.

SQL injection sigue siendo una de las vulnerabilidades web más explotadas, 25 años después de su descripción formal. Una aplicación que concatena input del usuario directamente en consultas SQL permite ejecutar comandos arbitrarios sobre la base de datos: extraer registros completos, modificar datos o eliminar tablas. La explotación de una vulnerabilidad de inyección de comandos en Apache Struts (CVE-2017-5638) en Equifax expuso los datos de 147 millones de personas. No era SQL injection en sentido estricto, pero ilustra el mismo principio: una validación insuficiente del input en una aplicación web tiene consecuencias que ningún firewall perimetral puede contener una vez que el atacante ejecuta código en el servidor.

Ataques DDoS: cuando el objetivo es el caos, no el dato

Los ataques DDoS coordinan miles o millones de dispositivos comprometidos para saturar los recursos de un objetivo hasta dejarlo inaccesible. En octubre de 2016, la botnet Mirai, compuesta principalmente por dispositivos IoT con credenciales por defecto nunca cambiadas como routers domésticos y cámaras IP, lanzó un ataque DDoS contra Dyn, uno de los principales proveedores de DNS de internet. Twitter, Netflix, Spotify y Reddit quedaron inaccesibles durante horas en la costa este de Estados Unidos. El ataque técnico fue relativamente simple: lo que lo hizo devastador fue que sus 600.000 nodos nunca deberían haber estado expuestos.

La defensa moderna contra DDoS combina mitigación en el borde de red, distribución de tráfico mediante CDN y análisis de comportamiento basado en IA para distinguir tráfico legítimo de tráfico de ataque en tiempo real. Nuestra guía sobre defensa DDoS con inteligencia artificial cubre el estado actual de estas soluciones con detalle técnico.

Ataques a credenciales y al canal de comunicación

Los ataques de credential stuffing prueban combinaciones de usuario/contraseña obtenidas en brechas previas. Son efectivos porque el 65% de los usuarios reutiliza contraseñas en múltiples servicios, según estudios de Google. Cada vez que una plataforma sufre una brecha y filtra credenciales, esas combinaciones se prueban automáticamente contra servicios financieros, correo corporativo y paneles de administración.

Los ataques Man-in-the-Middle interceptan el tráfico entre dos partes, generalmente en redes no cifradas o mediante ARP spoofing en redes locales mal segmentadas. El SSL stripping degrada conexiones HTTPS a HTTP para interceptar tráfico que el usuario cree cifrado. La generalización del HSTS ha reducido la superficie de este ataque en tráfico público, pero sigue siendo relevante en entornos corporativos internos con segmentación insuficiente.

La gestión sistemática de las vulnerabilidades que estos vectores explotan, desde aplicaciones web sin validar hasta sistemas sin parchear, es operativamente más impactante que cualquier herramienta de detección instalada sobre una base de código descuidada. Las herramientas de gestión y remediación de vulnerabilidades combinan escaneo de activos, priorización por riesgo real y aplicación automatizada de correcciones para reducir esa superficie de forma continua.

Conclusión: la taxonomía es útil; la priorización, imprescindible

Conocer los tipos de ciberataques es el punto de partida, no el destino. La utilidad real de esta clasificación está en la priorización: no todos los vectores presentan el mismo riesgo para cada organización, y los recursos de seguridad son siempre finitos.

Phishing, credenciales comprometidas y explotación de vulnerabilidades sin parchear representan el 68% de los vectores de entrada en brechas documentadas, según el DBIR de Verizon. Seamos claros: una organización que invierte en tecnología avanzada de detección sin haber resuelto el MFA en todos sus puntos de acceso, sin filtros de correo efectivos y sin gestión de parches sistematizada, está construyendo sobre terreno inestable. La base no es opcional; todo lo demás es una capa encima de ella.