[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/09\/amenazas-persistentes-avanzadas\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/09\/amenazas-persistentes-avanzadas\/","headline":"Amenazas Persistentes Avanzadas (APT). Un peligro para la ciberseguridad","name":"Amenazas Persistentes Avanzadas (APT). Un peligro para la ciberseguridad","description":"\u00bfQu\u00e9 son las amenazas persistentes avanzadas (APT)? \u00bfCu\u00e1les son sus principales objetivos? \u00bfPor qu\u00e9 son tan peligrosas para la ciberseguridad?","datePublished":"2021-07-09","dateModified":"2021-11-29","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/ferkurt21\/#Person","name":"Fernando Tablado","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/ferkurt21\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/44a22e5e73783cc104da9c4ab11587bc?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/44a22e5e73783cc104da9c4ab11587bc?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/07\/amenazas-persistentes-avanzadas.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/07\/amenazas-persistentes-avanzadas.jpg","height":685,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/09\/amenazas-persistentes-avanzadas\/","about":["CIBERSEGURIDAD"],"wordCount":2145,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              Una de las grandes preocupaciones de las grandes empresas en materia de ciberseguridad es la protecci\u00f3n frente a las amenazas persistentes avanzadas. Este tipo de ataques pueden causar graves da\u00f1os a las organizaciones pero, \u00bfen qu\u00e9 consisten? \u00bfCu\u00e1les son sus objetivos? \u00bfC\u00f3mo detectar que se est\u00e1 siendo v\u00edctima de estas amenazas?\u00bfQu\u00e9 son las amenazas persistentes avanzadas?Caracter\u00edsticas\u00bfCu\u00e1les son sus objetivos?Etapas en una amenaza persistente avanzadaObtener accesoInfiltraci\u00f3nExpansi\u00f3n horizontalAprender desde dentroAumentar el control sobre el sistema\u00bfPor qu\u00e9 las APT son tan peligrosas?Ejemplos de amenazas avanzadas persistentes\u00bfC\u00f3mo detectar estos ciberataques?\u00bfC\u00f3mo protegerse frente a las APT?\u00bfQu\u00e9 son las amenazas persistentes avanzadas?Para entender el concepto de Amenaza Persistente Avanzada o Advanced Persistent Threat (APT), analicemos primero sus t\u00e9rminos por separado:Amenaza: en el sentido que supone un riesgo o un peligro para la v\u00edctima.Persistente: que no es puntual, sino que se extiende a lo largo del tiempo.Avanzada: emplea t\u00e9cnicas complejas y sofisticadas.Por tanto, se podr\u00eda decir que las amenazas persistentes avanzadas (APT) son t\u00e9cnicas de hackeo clandestinas y de alto nivel de sofisticaci\u00f3n que buscan penetrar en un sistema y permanecer all\u00ed el mayor tiempo posible, provocando graves consecuencias para la v\u00edctima.El NIST (National Institute of Stardarts and Technology), las define como amenazas \u00abcon niveles sofisticados de experiencia e importantes recursos que le permiten crear oportunidades para lograr sus objetivos utilizando m\u00faltiples vectores de ataque\u00bb.Pero veamos m\u00e1s a fondo cu\u00e1les son sus principales caracter\u00edsticas y objetivos.Caracter\u00edsticasLas APT o amenazas persistentes avanzadas son un tipo de ataque cibern\u00e9tico que cuenta con una serie de caracter\u00edsticas que las hacen muy peligrosas:Emplean t\u00e9cnicas avanzadas y complejas para los ataques. Esto no solo incluye malware como botnets o exploits de d\u00eda cero, sino tambi\u00e9n el empleo de sofisticadas t\u00e9cnicas de ingenier\u00eda social.Son complicadas de detectar, ya que uno de los objetivos de los ciberdelincuentes es pasar desapercibidos para los sistemas de seguridad de la v\u00edctima.Buscan permanecer en los equipos o sistemas de la v\u00edctima durante el mayor tiempo posible. Para ello, se adaptan a los esfuerzos o t\u00e9cnicas de ciberseguridad que implanta la v\u00edctima y mantienen un alto nivel de interacci\u00f3n y control de sus equipos.Se desarrollan a lo largo de diversas fases. Empieza por la obtenci\u00f3n del acceso y continua con la infecci\u00f3n de los equipos, la expansi\u00f3n del control y el aprendizaje \u00abdesde dentro\u00bb para descubrir nuevas vulnerabilidades.Requieren elevados conocimientos de t\u00e9cnicas de hackeo y una gran cantidad de recursos, por lo que suelen ser llevadas a cabo por grupos organizados, los cu\u00e1les tienen mucho inter\u00e9s (ya sea por motivos econ\u00f3micos o para obtener informaci\u00f3n valiosa) en la v\u00edctima del ataque.Las v\u00edctimas suelen ser grandes empresas y corporaciones, gobiernos u otras entidades encargadas de la seguridad nacional.\u00bfCu\u00e1les son sus objetivos?El objetivo general de las amenazas persistentes avanzadas es obtener acceso a un sistema y extender sus redes dentro de la estructura IT de una organizaci\u00f3n. Lo hacen a trav\u00e9s de t\u00e9cnicas sofisticadas que resultan dif\u00edciles de detectar, por lo que en muchas ocasiones la v\u00edctima ni siquiera se da cuenta que est\u00e1 siendo atacada. Esto permite que los cibercriminales permanezcan largo tiempo ocultos en el sistema y que puedan desarrollar actividades il\u00edcitas potencialmente muy peligrosas.Normalmente, este tipo de ataques se llevan a cabo en contra de corporaciones, grupos empresariales o gobiernos, y pueden tener como objetivo:Robo de informaci\u00f3n, espionaje de Estado o espionaje industrial.Provocar graves da\u00f1os econ\u00f3micos o en las infraestructuras IT de la v\u00edctima.Obtener un beneficios econ\u00f3mico.Por ejemplo, es frecuente que el uso de t\u00e9cnicas de ingenier\u00eda social avanzadas o de malware persistente tenga como objetivo empresas de distribuci\u00f3n de energ\u00eda, telecomunicaciones, infraestructuras, redes sociales, etc y que busquen obtener informaci\u00f3n valiosa o que pueda comprometer a estas corporaciones.Tampoco es ning\u00fan secreto que, en numerosos casos, este tipo de amenazas est\u00e1n auspiciadas por los propios gobiernos. Por ejemplo, para descubrir informaci\u00f3n secreta relacionada con la propiedad industrial en determinados sectores, la cual permita obtener una ventaja competitiva.Por supuesto, los grupos de crimen organizado tambi\u00e9n llevan a cabo este tipo de amenazas, habitualmente con el objetivo de desarrollar acciones criminales con \u00e1nimo de lucro.Etapas en una amenaza persistente avanzadaUna Advanced Persistent Threat es un tipo de ataque que se desarrolla a lo largo de una serie de fases. Los cibercriminales preparan y desarrollan cuidadosamente el ataque para evitar ser detectados y permanecer el mayor tiempo posible en la infraestructura IT de la v\u00edctima.Obtener accesoEl primer paso es obtener acceso a alg\u00fan equipo de la v\u00edctima. Para ello, es habitual que se recurra a diferentes tipos de malware, por ejemplo ransomware, troyanos, correos electr\u00f3nicos con archivos infectados, etc. En este punto, el grupo criminal act\u00faa de la misma manera que lo hace un ladr\u00f3n que fuerza una puerta o una ventana para entrar en una casa.Infiltraci\u00f3nUna vez que se ha obtenido acceso, los ciberdelincuentes implantan nuevo malware que les permita permanecer en el sistema de manera oculta. Por ejemplo, es habitual que reescriban el c\u00f3digo del malware para evitar ser detectados por los software de seguridad. Aparte, tambi\u00e9n llevan a cabo otras t\u00e9cnicas que les permiten conseguir un mayor control sobre el sistema, como por ejemplo el cambio de contrase\u00f1as y obtener derechos de administrador.Expansi\u00f3n horizontalCuando la infiltraci\u00f3n se ha realizado con \u00e9xito y cuentan con permisos de administrador, los hackers son libres para moverse por el sistema a voluntad. En este punto buscar\u00e1n expandir su control sobre las infraestructuras IT de la organizaci\u00f3n, por ejemplo infectando equipos y servidores a trav\u00e9s de botnets o redes de ordenadores zombie.Aprender desde dentroUna vez que tienen un control m\u00e1s amplio sobre los sistemas IT, los ciberdelincuentes tratar\u00e1n de permanecer ocultos en el sistema y seguir aprendiendo desde dentro. El objetivo es comprender su funcionamiento de forma profunda y detectar nuevas vulnerabilidades que les permitan llevar a cabo otras actividades il\u00edcitas sin ser descubiertos.Aumentar el control sobre el sistemaEste tipo de organizaciones cibercriminales suelen ser ambiciosas y tratar\u00e1n de obtener la mayor penetraci\u00f3n y control posible sobre la v\u00edctima. Permanecer\u00e1n en el sistema hasta ser descubiertos, y a menudo dejar\u00e1n puertas abiertas para volver a acceder a \u00e9l en el futuro.\u00bfPor qu\u00e9 las APT son tan peligrosas?En primer lugar, porque suelen ser llevadas a cabo por organizaciones cibercriminales formadas por expertos en hackeo que cuentan con importantes recursos para desarrollar sus actividades.Las amenazas persistentes avanzadas suelen dirigirse a objetivos de alto valor, caso de grandes corporaciones o gobiernos. Por ello, tienen la capacidad de provocar consecuencias desastrosas, ya no solo a nivel econ\u00f3mico, sino tambi\u00e9n relativas a la seguridad nacional o a la opini\u00f3n p\u00fablica.Por otro lado, otro de sus grandes peligros es que debido al uso de t\u00e9cnicas sofisticadas, pueden ser muy dif\u00edciles de detectar. En muchas ocasiones, la v\u00edctima ni siquiera sabe que sus equipos est\u00e1n siendo controlados por un grupo de hackers.Adem\u00e1s, hay que citar que el riesgo no termina una vez que se ha detectado a los intrusos. Aunque se les consiga echar del equipo y se tomen nuevas medidas de protecci\u00f3n, es probable que a lo largo de su permanencia en la infraestructura IT de la v\u00edctima, los atacantes hayan descubierto vulnerabilidades ocultas que les permitan volver a la carga en el futuroEjemplos de amenazas avanzadas persistentesLas APT tienen su origen a principios de los a\u00f1os 2000. Probablemente, el primer ejemplo de amenaza persistente avanzada que trascendi\u00f3 a nivel medi\u00e1tico tuvo lugar en el a\u00f1o 2003, cuando un grupo chino de hackers orquest\u00f3 una campa\u00f1a llamada Titan Rain cuyo objetivo era el robo de informaci\u00f3n confidencial y secretos de Estado en Estados Unidos. Para ello, lanzaron ataques continuados a sistemas de alta seguridad de diversas agencias, por ejemplo el FBI o la NASA.Hasta ese momento se hab\u00edan producido numerosos ataques de hackers con un alto potencial destructivo. Sin embargo, este tipo de ataques eran llevados a cabo por personas de forma individual, no por grupos organizados. Adem\u00e1s, hasta ese momento siempre se hab\u00eda tratado de virus o malware que supon\u00edan una amenaza puntual para los equipos, pero no se usaban t\u00e9cnicas avanzadas de ingenier\u00eda social que permitieran controlar las infraestructuras IT y permanecer en ellas indetectable el mayor tiempo posible.Desde entonces, las amenazas persistentes avanzadas han estado a la orden del d\u00eda. Por ejemplo, en 2013 un grupo de atacantes utiliz\u00f3 un malware de la familia Sykipot para lanzar ataques de larga duraci\u00f3n a numerosas organizaciones y corporaciones brit\u00e1nicas y estadounidenses. Este tipo de malware se aprovechaba de la vulnerabilidad de programas de Adobe para penetrar en los equipos.Otro caso muy c\u00e9lebre de amenaza persistente avanzada fue la del gusano Stuxnet. Todav\u00eda hoy sigue siendo considerado como uno de los malware m\u00e1s sofisticados jam\u00e1s desarrollado. Este malware se propag\u00f3 a trav\u00e9s de USB infectados y ten\u00eda como objetivo atacar y destruir el programa nuclear iran\u00ed. Se dice que detr\u00e1s de este malware estaban los servicios de inteligencia de Estados Unidos e Israel, aunque ninguno de los dos pa\u00edses lo ha admitido de forma oficial.\u00bfC\u00f3mo detectar estos ciberataques?Uno de los grandes problemas que presentan las amenazas persistentes avanzadas es que su detecci\u00f3n resulta complicada. Sin embargo, es posible citar algunos s\u00edntomas que pueden indicar que se est\u00e1 siendo v\u00edctima de uno de estos ataques.Las cuentas de administradores o usuarios presentan una actividad inusual.Elevada presencia de troyanos en alg\u00fan equipo, lo que puede ser uno de los m\u00e9todos de las APT para obtener y mantener el acceso a los equipos.Aumento exponencial en las actividades de las bases de datos, y la detecci\u00f3n de operaciones sospechosas que involucran el tratamiento masivo de datos.Archivos de datos sospechosos, por ejemplo paquetes de datos que han sido agrupados para facilitar el proceso de transferencia de informaci\u00f3n sensible fuera de la empresa.\u00bfC\u00f3mo protegerse frente a las APT?La protecci\u00f3n frente a este tipo de amenazas resulta muy complicado, y se podr\u00eda decir que ninguna empresa u organizaci\u00f3n est\u00e1 totalmente a salvo de ellas. La lucha contra las APT en ciberseguridad se basa en tomar una serie de medidas que les pongan las cosas lo m\u00e1s dif\u00edciles posible a los ciberdelincuentes:Contar con un equipo de ciberseguridad profesional y de alta cualificaci\u00f3n.Llevar a cabo auditor\u00edas y an\u00e1lisis de riesgos que permitan detectar brechas de seguridad y elaborar planes de seguridad eficientes.Realizar un correcto mantenimiento de los equipos y las infraestructuras IT.Desarrollar un sistema de acceso y permisos avanzado y que incluya la autenticaci\u00f3n de doble factor y medidas de identificaci\u00f3n seguras.Concienciar a todos los miembros de la empresa, desde altos directivos hasta el \u00faltimo trabajador, sobre la necesidad de proteger las infraestructuras IT de la empresa.Disponer de sistemas de detecci\u00f3n y alerta de fallos de seguridad, que avisen en el caso de que se produzca alg\u00fan acceso no autorizado.En todo caso, aunque puede que el art\u00edculo te haya generado algo de alarma, no deber\u00edas preocuparte en exceso si eres un usuario particular o tienes una peque\u00f1a empresa. Este tipo de amenazas requieren de muchos recursos y tienen objetivos mucho m\u00e1s ambiciosos. En todo caso, siempre es necesario tomar las mayores precauciones posibles."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/07\/09\/amenazas-persistentes-avanzadas\/#breadcrumbitem","name":"Amenazas Persistentes Avanzadas (APT). Un peligro para la ciberseguridad"}}]}]