Individuo relativamente inexperto que utiliza scripts o programas como un web shell, desarrollados por otros para atacar sistemas y redes informáticas y desfigurar sitios web, según las culturas de programación y hacking.
Habitualmente son jóvenes cuyo objetivo es tratar de impresionar o demostrar que tienen capacidad de realizar un ataque tanto en sus círculos cercanos como en comunidades de aficionados a la ciberseguridad, aunque aún no tienen la capacidad de escribir programas complejos o exploits por sí mismos. Por lo tanto, el término se considera despectivo y no se refiere a la edad real de la persona.
Al no disponer de los conocimientos necesarios para crear sus propias herramientas, los script kiddies suelen buscar programas de creación de virus o kits de ataque que son fácilmente descargables y capaces de vulnerar ordenadores y redes. El problema para ellos es que carecen de conocimientos de programación, sistemas o informática en general suficientes para comprender los efectos secundarios de sus acciones, ya que utilizan herramientas sin comprender el camino a seguir, dejando por lo tanto rastros significativos que conducen a su detección, o comenzando ataques a organizaciones que ya cuentan con detección y contramedidas que los dejan completamente expuestos.
Habitualmente, los script kiddies utilizan ataques de ingeniería social, que engañan al objetivo para que comparta información o realice acciones que habitualmente no llevaría a cabo. Para ello se manipulan sitios web o se crean correos que suplantan entidades confiables para el usuario y que no levantan sospecha cuando solicitan usuarios o contraseñas, permitiendo al script kiddie acceder a estos datos y, por lo tanto, a la cuenta.
El grave ataque a Dyn ocurrido el 21 de octubre de 2016 se atribuyó a unos script kiddies. En este ataque se dejó sin servicio a Twitter, Amazon, Spotify, el New York Times, la BBC, Paypal, Visa, PlayStation Network y Xbox Live, entre otras empresas y servicios. Los investigadores consideraron que no fue orquestado por ningún país (China, Rusia o Corea del Norte) y se habló de un grupo no fijo.
Según ellos, el ataque fue una especie de ensayo para otro mayor y se realizó colapsando servidores de conexiones masivas (ataque DDOS).Se hizo utilizando el exploit Mirai, un programa que se difundió en un foro de hackers y anime que fue usado por primera vez contra la web del experto en ciberseguridad Brian Krebs. Después se ha usado al menos otras dos veces en un mes y medio: contra la mayor empresa de almacenamiento web en Europa, OVH, y contra Dyn, un gran proveedor de DNS.
En los tres casos, los saboteadores infiltraron Mirai en dispositivos domésticos conectados que no eran ordenadores, como descodificadores de televisión de pago o videocámaras, pero además lograron amplificar su efecto gracias a un fallo básico pero desconocido hasta entonces (lo que se llama un ”error de día cero”, el más grave tipo de vulnerabilidad por no tener aún forma de ser reparada) en el protocolo de comunicaciones.
El hecho de que los atacantes no tengan experiencia o conocimientos suficientes no los convierte en menos peligrosos ya que, independientemente de que puedan dejar un rastro más obvio que ciberdelincuentes expertos, siguen teniendo capacidad para dañar sistemas, comprometer información o detectar vulnerabilidades que puedan ser explotadas en el futuro.
