¿Qué es un script kiddie?

Definición de script kiddie

El término script kiddie, o script kiddy, se refiere a un hacker que confía en scripts y programas ya creados para realizar acciones maliciosas, en lugar de crear los suyos propios. Llamar a alguien script kiddie implica que solo tiene conocimientos superficiales de los sistemas informáticos y que es inexperto. Se ganaron el apodo debido a su incapacidad para crear su propio código malicioso desde cero, lo que requeriría una comprensión más profunda de los sistemas a los que se dirigen y de cómo funcionan.

Los script kiddies se distinguen de otros arquetipos de hackeo, ya que su propio nombre pone en duda su habilidad y conocimiento (no tiene nada que ver con la edad) y se utiliza de forma despectiva en el mundo del hackeo. Por el contrario, otros términos de hackers como hackers de sombrero negro, hacktivistas o criptojackers transmiten claramente la intención detrás de sus acciones e implican que son altamente cualificados.

Aunque los script kiddies puedan carecer de cierta comprensión de cómo funcionan realmente las herramientas que utilizan, esto no significa que no sean peligrosos y no deban considerarse una amenaza de ciberseguridad.

Origen y evolución del término

El primer registro público del término se remonta a 1996 según LiveOverflow, pero esto no está explícitamente probado. Términos como «codez kiddiez» o «lammers» se utilizaban en los sistemas de tablones de anuncios (BBS, de Bulletin Board Systems) a principios de los años 90. Estas comunidades BBS también ayudaron a dar forma al vocabulario hacker temprano, incluidos 1337 (leet) y h4x0rz (hackers), lo que condujo a los estereotipos de hackers que conocemos hoy.

A veces puedes ver que se usa «script kitty» en su lugar, pero este no es el término de ciberseguridad aceptado, y es solo una falta de ortografía o tal vez una versión en broma del término real.

Características de los script kiddies

Los script kiddies se definen a menudo por su inexperiencia, imprudencia y comportamiento de búsqueda de atención mientras se esfuerzan por obtener reconocimiento dentro de sus grupos de pares. Son conocidos por lanzar exploits prefabricados y a menudo se les acusa de ser analfabetos en código. Estas cualidades llevan con frecuencia a los script kiddies a cometer errores durante los ataques que los hacen más fáciles de identificar; por ejemplo, reutilizar nombres de cuenta, exponer sus direcciones IP reales o reutilizar infraestructuras comprometidas utilizadas en ataques anteriores.

Suelen activar sistemas de detección de intrusiones con su tráfico ruidoso y fácilmente detectable. En algunos casos, incluso se convierten ellos mismos en víctimas de ciberataques al ejecutar scripts que no entienden y que contienen puertas traseras, spyware u otras cargas maliciosas.

Tácticas y herramientas habituales utilizadas por los script kiddies

Los script kiddies suelen ir a por lo fácil cuando realizan ciberataques, eligiendo métodos que conceden el mayor acceso o causan la mayor interrupción, requiriendo un mínimo conocimiento técnico o esfuerzo.

Echemos un vistazo más profundo a algunos de los tipos de ataques en los que se centran los script kiddies.

Scripts y software preescritos

Muchas herramientas y scripts maliciosos son fáciles de encontrar en línea. Con una búsqueda rápida, cualquiera puede descargar herramientas capaces de lanzar ataques de denegación de servicio, descifrar contraseñas o explotar vulnerabilidades comunes. Incluso los probadores de penetración profesionales y los equipos rojos (red teamers), que simulan ataques del mundo real para ayudar a las organizaciones a fortalecer sus defensas, utilizan las mismas herramientas disponibles gratuitamente en algunas de sus pruebas.

Cuando piensas en las herramientas que podría usar un hacker, probablemente alguien ya haya escrito un script para ello. Internet está llena de scripts listos para usar que los script kiddies pueden copiar y ejecutar con muy poco esfuerzo. Más allá de la web superficial, los ciberdelincuentes venden herramientas en mercados de la web oscura, como el ya desaparecido Silk Road, facilitando aún más a un script kiddie la realización de un ataque.

Ingeniería social y phishing

Los ataques que se basan en la ingeniería social requieren una comprensión de la psicología humana más que habilidades técnicas, por lo que los script kiddies a menudo utilizan tácticas de ingeniería social para lograr el resultado deseado.

Estos son algunos de los ataques de ingeniería social que utilizan los script kiddies:

• Phishing: el phishing es un tipo común de ataque de ingeniería social que engaña a la víctima para que comparta información confidencial, descargue malware o visite un sitio web propiedad del atacante.

• Pretexting: los estafadores utilizan el pretexting para inventar escenarios creíbles, o pretextos, para generar confianza y hacer que su solicitud parezca legítima. Explotan el miedo, la soledad o la voluntad de ayudar de una víctima para conseguir que comparta información confidencial.

• Quid pro quo: una frase latina que significa «algo a cambio de algo», quid pro quo se refiere a un intercambio o trato. En este tipo de ataque, se ofrece algo a la víctima, como software gratuito o un premio, a cambio de realizar una acción que el atacante desea. Por ejemplo, descargar software gratuito que podría instalar malware, y reclamar un premio que implica compartir información confidencial.

Los hackers script kiddie utilizan ataques como estos debido a su baja barrera técnica de entrada y su tasa de éxito potencialmente alta en relación con el esfuerzo requerido para realizarlos.

Los script kiddies suelen utilizar tácticas de ingeniería social en los ataques.

Script kiddies frente a hackers de élite

La principal diferencia entre los script kiddies y los hackers de élite es su nivel de habilidad técnica. Los hackers de élite son altamente cualificados en muchas áreas técnicas, y los script kiddies generalmente poseen solo una comprensión básica de la informática. Otras diferencias pueden incluir las motivaciones, el impacto que causan y su capacidad para ocultar sus huellas.

Diferencias clave en el nivel de habilidad

El nivel de habilidad varía mucho entre los script kiddies y los hackers de élite. Los script kiddies generalmente tienen una comprensión mínima de programación, redes y sistemas operativos, mientras que un hacker de élite debe poseer una profunda comprensión técnica de estos aspectos.

Al utilizar herramientas de hackeo, un script kiddie normalmente no puede adaptar o modificar una herramienta o script si no funciona. Un hacker de élite puede crear un script propio, modificarlo según sea necesario y tener más posibilidades de realizar un ataque con éxito.

Esta tabla ilustra los resultados contrastados logrados por script kiddies y hackers de élite, destacando sus diferentes niveles de habilidad:

Cómo protegerte de los script kiddies

Aunque los script kiddies carecen de habilidades avanzadas, pueden causar daños, incluyendo pérdidas financieras, exposición de datos y daños a la reputación. Afortunadamente, muchas de las defensas que protegen contra atacantes cualificados también detienen a los script kiddies. Mantener el software actualizado, practicar una buena higiene de contraseñas y mantenerse alerta ante amenazas comunes como el phishing y el malware ayuda mucho.

A continuación, se muestran algunas formas diferentes en las que puedes ayudar a protegerte contra los script kiddies:

• Mantén una buena seguridad de contraseñas: para mantener tus cuentas y datos más seguros, crea contraseñas seguras y nunca las reutilices en diferentes cuentas. Considera el uso de un administrador de contraseñas fiable para ayudar a mantenerlas seguras, y configura la autenticación en dos pasos siempre que puedas.

• Ten cuidado con las descargas: el malware suele distribuirse como software gratuito o crackeado, atrayéndote para que lo descargues. Para tener más seguridad, descarga solo apps de una tienda de apps oficial o del sitio web de un fabricante de confianza.

• Mantén tu software actualizado: a veces los script kiddies confían en exploits conocidos que ya han sido parcheados en las últimas actualizaciones de software. Mantener tu software actualizado puede proteger tu dispositivo y tus datos de estos ataques.

• Revisar tu postura de seguridad actual: asegúrate de no compartir datos personales en redes sociales ni en ningún foro o sitio público. También puedes consultar haveibeenpwned para ver si alguna de tus cuentas en línea se ha visto envuelta en una filtración, de modo que puedas cambiar las contraseñas comprometidas.

• Utilizar un programa antivirus fiable: el malware desplegado por script kiddies a menudo contiene firmas identificables que un programa antivirus robusto puede detectar fácilmente. Tampoco necesitas pagar, ya que puedes descargar un galardonado antivirus de Avast de forma gratuita.

Protección contra hackeos con Avast

Los script kiddies pueden carecer de experiencia, pero sus ataques pueden causar daños. Avast Free Antivirus ofrece protección en tiempo real contra scripts maliciosos lanzados tanto por script kiddies como por hackers de élite. Protege tus dispositivos hoy gratis y obtén una protección galardonada en Windows, Mac, Android y iPhone.

Preguntas frecuentes

¿Qué peligro suponen los script kiddies?

Los script kiddies o hackers aficionados pueden carecer de experiencia técnica, pero aun así suponen una amenaza. Lanzan ataques utilizando código malicioso o programas disponibles en línea, y pueden interrumpir servicios, dañar sistemas o exponer datos confidenciales. Y si descubren una estrategia exitosa, suelen repetirla en múltiples objetivos.

¿Por qué se suele vincular a los script kiddies con los juegos?

Los juegos suelen ser un punto de entrada para los script kiddies, porque muchos experimentan primero con trucos, mods o herramientas DDoS para obtener una ventaja o tomar represalias contra sus rivales. Algunas comunidades de juegos también exponen a los miembros a scripts de hackeo, lo que lo convierte en un punto de entrada fácil a ataques de baja cualificación.

¿Qué motiva a un script kiddie?

Los script kiddies suelen estar motivados por la curiosidad, el reconocimiento de sus compañeros y el deseo de poder o estatus. Muchos quieren impresionar a sus amigos, sentirse técnicamente hábiles o causar interrupciones por diversión. A otros les mueve el aburrimiento, la venganza en comunidades de juegos o la emoción de hacer algo prohibido sin comprender del todo las consecuencias.