Un cracker es un atacante que utiliza conocimientos técnicos de informática para vulnerar sistemas, redes o software sin autorización y con un propósito ilegítimo: lucro, sabotaje, espionaje, notoriedad o motivaciones ideológicas. A diferencia del hacker en sentido clásico, su intención es dañar, robar o controlar activos ajenos. El término nació precisamente para separar lo que la prensa empezó a meter en el mismo saco.
Cuando un periódico titula "hackers atacan una empresa", en el 95 % de los casos describe la actividad de un cracker. Esta confusión tiene consecuencias reales: distorsiona la percepción del sector, dificulta la contratación de talento legítimo y empuja a equipos de RRHH a descartar candidatos válidos. En esta guía se explica qué es exactamente un cracker, cómo se distingue de un hacker, qué tipos existen, qué técnicas utiliza, qué dice el Código Penal español y cómo defender una empresa frente a este perfil.
Lo esencial sobre crackers
- Un cracker es un atacante malicioso; un hacker es alguien con habilidad técnica avanzada, sin connotación ética implícita.
- La distinción la formalizó la comunidad MIT y la popularizó Richard Stallman a mediados de los años 80.
- Las categorías reales que verás son black hat, script kiddie, hacktivista cuando se pasa de la línea, insider, APT estatal y operador de ransomware.
- En España, el acceso ilegítimo a sistemas se persigue por los artículos 197 bis, 197 ter y 264 del Código Penal.
- La defensa eficaz combina controles técnicos (EDR, MFA, gestión de vulnerabilidades) con auditoría adversarial periódica.
Qué es un cracker: definición precisa
El término cracker apareció a mediados de los años 80 en la comunidad hacker del MIT como respuesta al uso periodístico del vocablo "hacker" para describir delitos informáticos. Richard Stallman y otros miembros del laboratorio de inteligencia artificial defendieron que "hacker" había significado durante décadas algo distinto: una persona con curiosidad técnica extrema, capaz de modificar sistemas de forma ingeniosa, sin connotación moral negativa. Para nombrar al atacante con intención dañina propusieron cracker, alguien que rompe (de to crack, romper o forzar) la seguridad de un sistema ajeno.
Operativamente, un cracker es quien cumple tres condiciones a la vez:
- Posee conocimiento técnico suficiente para identificar y explotar debilidades de software, configuración o factor humano.
- Actúa sin autorización del propietario del sistema, red o dato comprometido.
- Persigue un objetivo ilegítimo: lucro, espionaje, sabotaje, robo de información, denegación de servicio, extorsión o notoriedad criminal.
La diferencia con un hacker ético es la combinación de las tres. Un pentester con autorización formal manipula los mismos sistemas, conoce las mismas técnicas y usa herramientas idénticas; lo que cambia es el marco contractual y la finalidad. Sin contrato escrito y propósito defensivo, la actividad pasa de servicio profesional a delito tipificado. Esa frontera, la autorización formal, es lo que separa una auditoría legítima de un acceso ilegítimo, no la herramienta empleada.
Cracker vs hacker: la distinción que la mayoría confunde
La taxonomía cultural distingue ambos perfiles con claridad cuando se analizan dimensiones concretas. Esta tabla sintetiza las diferencias operativas que se utilizan en el sector profesional.
| Dimensión | Hacker (ético) | Cracker |
|---|---|---|
| Intención | Mejorar la seguridad o entender el sistema | Vulnerar, robar, dañar o lucrarse |
| Autorización | Contrato escrito con alcance acotado | Ninguna; actúa por su cuenta |
| Conocimiento técnico | Variable (de junior a experto) | Variable (de script kiddie a senior) |
| Objetivo final | Reporte de hallazgos y remediación | Exfiltración, sabotaje, extorsión, notoriedad |
| Ética | Responsabilidad y divulgación responsable | Beneficio propio o de un grupo a costa de la víctima |
| Marco legal | Cubierto por contrato, RGPD y Código Penal | Tipificado como delito (arts. 197 bis, 197 ter, 264 CP) |
| Ejemplos públicos | Investigadores que reportan CVEs, equipos red team corporativos | Operadores de ransomware, grupos APT, vendedores de credenciales en mercados clandestinos |
| Reconocimiento profesional | Certificaciones OSCP, OSWE, CISSP; perfil de carrera | Identidad oculta, alias en foros; no hay carrera reconocida |
Los medios generalistas siguen usando "hacker" como sinónimo de delincuente informático por dos razones: comodidad lingüística y desconocimiento técnico. El sector profesional ha intentado corregirlo durante décadas con escaso éxito en prensa. Internamente, sin embargo, la separación es nítida: en una reunión de seguridad nadie llama hacker a quien explotó la base de datos de un cliente sin permiso, igual que nadie llamaría doctor a quien vende medicamentos falsificados solo porque sabe de química. La precisión terminológica importa porque condiciona la conversación con dirección, con jurídico y con el regulador.
Tipos de cracker según motivación y operativa
Los crackers no forman un colectivo homogéneo. Las categorías que se usan en informes de inteligencia y en investigaciones criminales responden a motivación, nivel técnico y modelo operativo.
Black hat (ciberdelincuente puro)
El black hat es el arquetipo del cracker con motivación principalmente económica. Opera en mercados clandestinos vendiendo accesos iniciales, exfiltrando bases de datos, desplegando malware o monetizando vulnerabilidades. Su nivel técnico va de medio a muy alto; los más capaces desarrollan exploits propios y los menos hábiles compran kits cerrados. Trabajan en solitario o en grupos organizados con división de funciones (acceso inicial, persistencia, monetización). Es el perfil más común en informes de incidentes corporativos y el que más beneficio económico genera al ecosistema criminal.
Script kiddie
El script kiddie carece de conocimiento profundo y se limita a utilizar herramientas automatizadas creadas por terceros: escáneres públicos, kits de explotación descargados de foros o tutoriales paso a paso. Su impacto es desproporcionadamente bajo respecto a la actividad que genera, pero pueden causar daño real cuando atacan objetivos mal protegidos. Suelen actuar por curiosidad, presunción o pertenencia a una comunidad online. La mayoría son menores o jóvenes adultos sin formación formal. Aunque parezcan poco peligrosos, generan ruido constante en logs defensivos y a veces aciertan en organizaciones sin parches básicos.
Hacktivista malicioso
El hacktivista opera con motivación ideológica, política o social. La línea entre activismo legítimo y delito se cruza cuando ejecuta ataques DDoS contra infraestructura, desfigura webs, filtra documentación sin contexto o interfiere en servicios esenciales. Grupos clásicos como Anonymous en sus fases más agresivas, o colectivos modernos que se autodenominan defensores de causas, han ejecutado operaciones que en muchas jurisdicciones constituyen delito. No todo hacktivismo es ilegal, pero cuando la acción daña sistemas ajenos sin autorización, técnicamente el actor encaja en la categoría de cracker, independientemente de la causa que invoque.
Insider threat
El insider es un empleado, exempleado o contratista con acceso legítimo que abusa de su posición. El daño puede ser intencionado (venganza tras despido, venta de información a competencia, sabotaje) o derivado de extorsión externa. Es la categoría más difícil de detectar porque el actor ya está dentro, conoce los controles y opera con credenciales válidas. Los casos documentados van desde filtración de propiedad intelectual hasta despliegue de bombas lógicas. La defensa requiere segregación de funciones, monitorización de comportamiento anómalo, revocación rigurosa de accesos al cese y cultura de denuncia interna.
State-sponsored crackers / APT
Los APT (Advanced Persistent Threat) son grupos respaldados por estados, dedicados a operaciones ofensivas con objetivos estratégicos: espionaje industrial, inteligencia geopolítica, sabotaje de infraestructura crítica o preparación de capacidades para conflictos futuros. Disponen de recursos casi ilimitados, exploits de día cero y operadores profesionales a tiempo completo. Actúan con horizonte de meses o años en un mismo objetivo. Aunque en sus países de origen operan bajo cobertura legal, desde la perspectiva de la víctima son crackers de máxima capacidad técnica y peligrosidad. España aparece en informes públicos como objetivo recurrente de varios grupos de este tipo.
Cracker financiero / operador de ransomware
El operador de ransomware es un perfil especializado dentro del black hat clásico. Trabaja en estructuras de afiliación (Ransomware as a Service) donde unos desarrollan el malware, otros consiguen acceso inicial y otros negocian el rescate. Su modelo de negocio combina cifrado de datos, exfiltración previa y extorsión doble o triple (publicación, denuncia regulatoria, ataque a clientes de la víctima). Es la amenaza más rentable del ecosistema criminal actual y la que más afecta a empresas medianas españolas. Para más detalle sobre dinámica de incidentes ver qué es ransomware.
Tipos de hacker ético para contraste
Para evitar la confusión que dio origen al término cracker, conviene listar los perfiles legítimos que comparten habilidad técnica pero operan en marco autorizado. Ninguno de los siguientes es un cracker, aunque popularmente se les llame "hackers" por la prensa.
White hat (pentester profesional)
El pentester ejecuta auditorías ofensivas autorizadas. Trabaja con contrato, alcance acotado, ventana temporal definida y entrega un informe técnico con hallazgos priorizados y recomendaciones de remediación. Puede ser empleado interno o consultor externo. Su carrera profesional pasa por certificaciones como OSCP, OSWE o eCPPT y por experiencia acumulada en metodologías como PTES o OWASP. Es el perfil que más demanda tiene el mercado español actual. Más sobre la disciplina en qué es hacking ético.
Bug bounty hunter
El bug bounty hunter investiga vulnerabilidades en programas públicos de recompensa gestionados por plataformas como HackerOne, Bugcrowd o Intigriti, o programas privados de empresas concretas. Opera bajo reglas publicadas por el programa: qué activos están en alcance, qué técnicas se permiten y cómo se reportan los hallazgos. El pago depende de la severidad confirmada. Aunque la actividad sea individual y autónoma, la autorización del programa la convierte en legítima. Sin programa de recompensa publicado, la misma acción sería acceso ilegítimo.
Security researcher / investigador de CVEs
El investigador de seguridad dedica tiempo a estudiar productos comerciales o software libre, descubrir vulnerabilidades y publicarlas mediante divulgación responsable. Coordina con el fabricante el plazo de parcheo antes de publicar el detalle técnico. Cuando el proceso termina, el hallazgo recibe un identificador CVE y el investigador suele aparecer acreditado. Este es el perfil que sostiene buena parte del ecosistema de seguridad pública. Sin investigadores éticos publicando hallazgos, los fabricantes parcharían mucho menos y los crackers tendrían ventaja permanente.
Red teamer corporativo
El red teamer ejecuta ejercicios de simulación de adversario completos: acceso inicial, persistencia, movimiento lateral, exfiltración simulada y evasión de detección. A diferencia del pentest tradicional, su objetivo es validar capacidad de detección y respuesta del equipo defensivo (blue team), no inventariar vulnerabilidades. Opera con alcance amplio y objetivos concretos (por ejemplo, acceder a un activo crítico específico). Más sobre la disciplina en qué es red team y la diferencia con pentest tradicional.
Técnicas habituales de los crackers
El catálogo de técnicas que utiliza un cracker es esencialmente el mismo que estudia un pentester profesional. Lo que cambia es el contexto. Estas son las más frecuentes en incidentes reales documentados.
-
Phishing y spear phishing. Correos fraudulentos para robar credenciales o desplegar malware. El spear phishing personalizado contra ejecutivos sigue siendo vector de entrada en buena parte de los incidentes corporativos. Prevención: MFA obligatorio, filtros avanzados de correo, formación continua. Ver cómo evitar el phishing y qué es ingeniería social.
-
Credential stuffing. Reutilización masiva de credenciales filtradas en otras brechas contra portales corporativos. Prevención: MFA, monitorización de inicios de sesión anómalos, integración con servicios de credenciales filtradas.
-
Explotación de CVEs públicos. Ataque a vulnerabilidades conocidas pero no parcheadas en sistemas expuestos. Prevención: gestión rigurosa del ciclo de parches, SLA de parcheo por criticidad, escaneo continuo.
-
Malware (RATs, loaders, infostealers). Software malicioso para control remoto, descarga de cargas adicionales o robo de información. Prevención: EDR con detección de comportamiento, restricción de ejecución, segmentación. Ver tipos de malware.
-
Ransomware. Cifrado de datos para extorsión, frecuentemente combinado con exfiltración previa. Prevención: copias de seguridad inmutables, segmentación de red, EDR, plan de respuesta ensayado.
-
Ataques a la cadena de suministro. Comprometer un proveedor o componente de software para alcanzar al cliente final. Prevención: revisión de dependencias, SBOM, control de actualizaciones, principios de zero trust con proveedores.
-
Ingeniería social telefónica (vishing). Llamadas suplantando soporte interno o externo para obtener acceso o credenciales. Prevención: procedimientos de verificación de identidad, formación específica al helpdesk.
-
Web exploitation (SQLi, XSS, SSRF). Explotación de fallos clásicos en aplicaciones web. Prevención: SDLC seguro, revisión de código, WAF correctamente configurado, pentest web periódico.
-
Wifi cracking y ataques de capa 2. Acceso a redes inalámbricas mal configuradas o suplantación de puntos de acceso. Prevención: WPA3 enterprise, segmentación de invitados, monitorización de puntos de acceso no autorizados.
-
Side channels y exfiltración encubierta. Uso de canales no convencionales (DNS, ICMP, protocolos cifrados) para exfiltrar datos evadiendo controles. Prevención: monitorización de tráfico saliente, DLP, NDR.
Marco legal en España
El Código Penal español tipifica con claridad la actividad propia del cracker. Los artículos relevantes son los siguientes.
Artículo 197 bis CP. Acceso ilegítimo a sistemas informáticos. Castiga a quien por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo. Pena de prisión de seis meses a dos años.
Artículo 197 ter CP. Castiga la producción, adquisición, importación o facilitación de programas informáticos concebidos o adaptados principalmente para cometer los delitos del artículo anterior, así como contraseñas o códigos de acceso obtenidos ilícitamente.
Artículo 264 CP. Daños informáticos. Castiga a quien por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas o documentos electrónicos ajenos. Pena de prisión de seis meses a tres años, con agravantes que pueden elevarla considerablemente cuando se afectan infraestructuras críticas o se causan perjuicios económicos relevantes.
España es además parte del Convenio de Budapest sobre Ciberdelincuencia del Consejo de Europa (en vigor desde 2010), que armoniza la persecución internacional de estos delitos y facilita la cooperación judicial. Esto permite a la Policía Nacional y a la Guardia Civil coordinarse con autoridades extranjeras en investigaciones transfronterizas, algo crítico porque la mayoría de operadores criminales actúan desde jurisdicciones distintas a la de sus víctimas.
Para un profesional de la seguridad ofensiva, el blindaje legal consiste en mantener siempre un contrato escrito previo a cualquier prueba, con alcance, autorización expresa del propietario, ventana temporal, técnicas permitidas y cláusulas de confidencialidad. Sin ese contrato, la misma acción técnica que un pentester ejecuta como servicio profesional encaja en los artículos citados.
Cómo detectar y defender frente a crackers
La defensa eficaz combina controles preventivos, detectivos y reactivos. Estos son los pilares que se exigen en cualquier organización con postura defensiva madura.
-
EDR o MDR gestionado. Endpoint Detection and Response con capacidad de detección por comportamiento, no solo por firma. La versión gestionada (MDR) añade analistas humanos 24x7 para validar y responder a alertas.
-
MFA universal. Autenticación multifactor obligatoria para todos los accesos remotos, administradores y servicios críticos. Idealmente con factores resistentes a phishing (FIDO2, llaves de hardware) en cuentas privilegiadas.
-
Gestión de vulnerabilidades. Escaneo continuo, priorización basada en explotabilidad real (no solo CVSS) y SLA de parcheo por criticidad. La mayoría de incidentes explotan vulnerabilidades conocidas con parche disponible desde hace meses.
-
Threat hunting proactivo. Búsqueda activa de indicadores de compromiso en logs y telemetría, sin esperar a que salte una alerta. Requiere equipo formado o servicio externo especializado.
-
Awareness y formación continua. Programa de concienciación con simulaciones reales de phishing y formación específica por rol (helpdesk, ejecutivos, administradores). El factor humano sigue siendo el vector más explotado.
-
Segmentación de red y zero trust. Reducción del radio de explosión mediante segmentación lógica, microsegmentación y principios de zero trust. Asume que el atacante ya está dentro y limita su movimiento lateral.
-
Red team interno periódico. Ejercicios adversariales recurrentes que validan capacidad real de detección y respuesta. Complementa el pentest tradicional con escenarios completos de cadena de ataque.
-
Monitorización de credenciales filtradas. Integración con servicios tipo Have I Been Pwned y monitorización de mercados clandestinos para detectar exposición de credenciales corporativas antes de que el atacante las use.
Errores comunes al hablar de crackers
La confusión terminológica genera errores recurrentes en comunicación corporativa, prensa y procesos de selección. Cinco de los más habituales.
"Todo hacker es delincuente". Falso. La inmensa mayoría de profesionales de seguridad ofensiva trabajan en marco contractual legítimo. Equiparar hacker a delincuente excluye candidatos válidos de procesos de selección y mantiene viva una caricatura periodística sin base técnica.
"Un cracker es alguien que rompe contraseñas". Confusión parcial. El password cracker es una herramienta o subdisciplina (cracking de hashes con John the Ripper o Hashcat) y existen también pentesters profesionales que las usan en su trabajo. Cracker en sentido amplio es atacante malicioso; cracker de contraseñas es solo un subset técnico.
"Hacker ético es sinónimo de pentester". Imprecisión. El pentester es una especialización del hacker ético, pero hay otros perfiles éticos: bug bounty hunter, investigador de CVEs, red teamer corporativo. La diferencia entre disciplinas tiene impacto en la contratación de servicios. Ver pentesting vs red team.
"Cracker de software es lo mismo que cracker informático". Subset histórico. El cracker de software (warez scene, años 90) se dedicaba a romper protecciones anticopia de programas comerciales para distribuirlos. Es una rama específica, no representa al cracker actual centrado en intrusión y exfiltración corporativa.
"Si alguien sabe hackear, mejor no contratarlo". Error de RRHH habitual. La habilidad técnica no presupone intención maliciosa. El control adecuado es verificación de antecedentes, referencias, certificaciones reconocidas y prueba técnica supervisada, no descartar candidatos por dominar herramientas ofensivas.
Preguntas frecuentes
¿Cuál es la diferencia exacta entre cracker y hacker?
Un hacker es alguien con habilidad técnica avanzada en sistemas informáticos, sin connotación moral implícita. Un cracker es un atacante malicioso que utiliza esa habilidad (o la de otros) para vulnerar sistemas sin autorización y con propósito ilegítimo. La diferencia clave está en la combinación de tres factores: autorización del propietario, finalidad y marco legal. Un mismo conjunto de técnicas puede ser servicio profesional legítimo (pentest con contrato) o delito (acceso ilegítimo), dependiendo únicamente del marco autorizado en el que se ejecute.
¿Un script kiddie es un cracker?
Sí, en sentido técnico. Aunque carezca de conocimiento profundo, si utiliza herramientas para acceder sin autorización a sistemas ajenos, encaja en la definición de cracker. El nivel técnico no determina la categoría; lo determinan la intención maliciosa y la falta de autorización. Que el daño potencial sea menor o que actúe por curiosidad no cambia la calificación legal del hecho. En España, el acceso ilegítimo se persigue penalmente con independencia del nivel técnico del autor.
¿Cómo se persigue legalmente a un cracker en España?
El procedimiento típico arranca con denuncia ante Policía Nacional (Brigada Central de Investigación Tecnológica) o Guardia Civil (Grupo de Delitos Telemáticos). La investigación reúne evidencias técnicas (logs, telemetría, análisis forense de sistemas afectados) que sustentan los cargos por los artículos 197 bis, 197 ter o 264 del Código Penal. Si el actor opera desde otra jurisdicción, se activan mecanismos de cooperación internacional bajo el Convenio de Budapest. La empresa víctima debe preservar evidencias correctamente desde el primer momento para que la investigación prospere.
¿Las empresas contratan crackers reformados?
Algunas sí, con matices. El sector tiene casos conocidos de antiguos atacantes que tras condena y reinserción han trabajado como investigadores o consultores. Es una decisión que requiere evaluación caso por caso, verificación rigurosa de antecedentes, cláusulas contractuales estrictas y supervisión cercana. En sectores regulados (financiero, defensa, infraestructura crítica) suele ser inviable por requisitos de habilitación. La práctica más común es contratar profesionales con formación ética desde el inicio y certificaciones reconocidas, no atajos.
¿Es ilegal aprender técnicas de cracker?
No. Aprender técnicas ofensivas, estudiar exploits públicos, hacer laboratorios controlados, participar en plataformas como Hack The Box o TryHackMe y obtener certificaciones como OSCP es completamente legal y forma parte de la carrera de cualquier pentester. Lo que es ilegal es ejecutar esas técnicas contra sistemas ajenos sin autorización formal del propietario. La línea no está en el conocimiento sino en el uso. La industria necesita profesionales con conocimiento ofensivo profundo para construir defensas eficaces.
¿Qué hago si descubro a un cracker dentro de mi empresa?
Activar el plan de respuesta a incidentes sin alertar al actor. Los pasos básicos: contener sin avisar (evitar comunicaciones internas en canales que pueda monitorizar), preservar evidencias correctamente (imágenes forenses, logs, captura de tráfico), involucrar a jurídico y, si procede, a Policía Nacional o Guardia Civil. Si hay datos personales afectados, valorar notificación a la AEPD en el plazo de 72 horas que exige el RGPD. Lo más crítico es no tocar el entorno sin método: una respuesta apresurada destruye evidencias y dificulta la investigación judicial posterior.
Recursos relacionados
- Qué es hacking ético: tipos de hackers, certificaciones y marco legal
- Qué es ingeniería social: técnicas, ejemplos y prevención
- Tipos de malware: clasificación completa y defensa
- Qué es ransomware: cómo funciona y cómo defenderse
- Qué es un Red Team: guía completa para empresas
- Pentesting vs Red Team: diferencias clave
- Qué es INCIBE: funciones y servicios para empresas
Defensa proactiva con Secra
La mejor forma de medir la exposición real frente a un cracker es replicar su modo de operar en un entorno controlado y con autorización formal. En Secra ejecutamos auditoría adversarial completa (red team), pentesting en modalidades caja blanca, gris y negra, revisión de superficie de ataque expuesta y validación de capacidad de detección y respuesta del equipo defensivo. Cada proyecto entrega informe técnico priorizado, sesión de transferencia con el equipo interno y plan de remediación con seguimiento. Si necesitas evaluar cómo aguantaría tu organización frente a los perfiles descritos en esta guía, contacta con nosotros y diseñamos el alcance adecuado para tu contexto.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.