I+D

Definiendo el concepto de Atractivo Basal para cibercriminales

DICYME Team | octubre 09, 2025

Las organizaciones enfrentan incidentes cibernéticos cada vez más frecuentes y diversos, lo que supone riesgos significativos para sus operaciones y reputaciones. El equipo de DICYME está desarrollando un enfoque novedoso para medir el Atractivo Basal de las organizaciones para los ciberdelincuentes, basado en los atributos inherentes que las definen. Usando estas características y técnicas de aprendizaje automático, esta metodología busca proporcionar una evaluación más precisa de la exposición de una empresa a incidentes cibernéticos.

¿Qué es el Atractivo Basal?

El atractivo basal es una nueva métrica de ciberriesgo que mide las cualidades o características inherentes que hacen de una empresa un objetivo atractivo para los ciberataques. A diferencia de los modelos que se basan en factores dinámicos o externos (por ejemplo, el contexto actual de las amenazas), este enfoque se centra en atributos estáticos y específicos de la empresa que permanecen relativamente estables a lo largo del tiempo, también denominados datos firmográficos. Estos son especialmente significativos para los actores que buscan beneficios económicos o reputación sin un objetivo específico.

 

Componentes claves del Atractivo Basal

El cálculo del Atractivo Basal se basa en varios atributos inherentes de una organización:

  • País: algunas naciones son más atacadas debido a factores geopolíticos, económicos o regulatorios.

  • Sector industrial: sectores como el financiero o sanitario manejan datos sensibles y son objetivos frecuentes.

  • Ingresos y beneficios: empresas con altos ingresos suelen ser blanco de extorsión financiera.

  • Cotización en bolsa: empresas públicas pueden enfrentar amenazas relacionadas con manipulación bursátil y espionaje corporativo.

  • Número de empleados: a mayor plantilla, mayor superficie de ataque para amenazas como la ingeniería social.

  • Lucrativo: las empresas lucrativas podrían ser percibidas como objetivos rentables.

 

¿Cómo se mide el Atractivo Basal?

Para cuantificar qué tan atractiva es una empresa para los ciberdelincuentes, el proyecto DICYME ha desarrollado un enfoque basado en minería de reglas y aprendizaje automático. Los pasos clave incluyen:

  1. Recopilación de datos: obtener atributos firmográficos de empresas que han sido víctimas confirmadas de ciberataques.

  2. Identificación de empresas similares: ampliar el conjunto de datos incluyendo organizaciones con características similares.

  3. Análisis de minería de reglas: extraer patrones ocultos en incidentes cibernéticos.

  4. Clasificación con árbol de decisión: entrenar un modelo para estimar la probabilidad de que una empresa sufra un ataque, asignándole una puntuación entre 0 y 1, donde valores más altos indican mayor atractivo para los atacantes.

 

Resultados y limitaciones

Las pruebas realizadas con datos reales han mostrado resultados prometedores, indicando que las empresas con mayor atractivo basal tienen más probabilidades de sufrir incidentes cibernéticos. El modelo ha logrado alta precisión y F1-score, diferenciando con éxito entre organizaciones de alto y bajo riesgo.

 

basal_blog

No obstante, existen limitaciones a considerar:

  • El modelo solo usa incidentes confirmados, ya que no hay datos fiables sobre intentos de ataque fallidos.

  • Medir ataques fallidos es difícil—¿qué se considera un intento? ¿Un escaneo de puertos? ¿Un correo de phishing? ¿Un intento de acceso por fuerza bruta? Sin métricas estandarizadas, con datos accesibles públicamente solo se pueden analizar incidentes confirmados, lo que puede limitar la detección de tendencias de ataque más amplias.

 

Trabajo futuro: componentes dinámicos

Para mejorar esta metodología, se está explorando la integración de factores dinámicos en el modelo. Algunas mejoras incluyen:

  • Monitorización en tiempo real: analizar menciones sobre una empresa en redes sociales, foros de hackers y la dark web.

  • Integración de inteligencia de amenazas: incorporar vulnerabilidades públicas (CVEs), credenciales filtradas y exposición en mercados clandestinos.

  • Más fuentes de datos: combinar feeds públicos y privados de ciberseguridad para mejorar la precisión del modelo.

Con estos avances, el proyecto DICYME busca mejorar la evaluación del riesgo cibernético, permitiendo a las empresas adoptar estrategias de seguridad más proactivas para mitigar amenazas antes de que ocurran.