Una de las grandes preocupaciones de las grandes empresas en materia de ciberseguridad es la protección frente a las amenazas persistentes avanzadas. Este tipo de ataques pueden causar graves daños a las organizaciones pero, ¿en qué consisten? ¿Cuáles son sus objetivos? ¿Cómo detectar que se está siendo víctima de estas amenazas?
¿Qué son las amenazas persistentes avanzadas?
Para entender el concepto de Amenaza Persistente Avanzada o Advanced Persistent Threat (APT), analicemos primero sus términos por separado:
- Amenaza: en el sentido que supone un riesgo o un peligro para la víctima.
- Persistente: que no es puntual, sino que se extiende a lo largo del tiempo.
- Avanzada: emplea técnicas complejas y sofisticadas.
Por tanto, se podría decir que las amenazas persistentes avanzadas (APT) son técnicas de hackeo clandestinas y de alto nivel de sofisticación que buscan penetrar en un sistema y permanecer allí el mayor tiempo posible, provocando graves consecuencias para la víctima.
El NIST (National Institute of Stardarts and Technology), las define como amenazas «con niveles sofisticados de experiencia e importantes recursos que le permiten crear oportunidades para lograr sus objetivos utilizando múltiples vectores de ataque».
Pero veamos más a fondo cuáles son sus principales características y objetivos.
Características
Las APT o amenazas persistentes avanzadas son un tipo de ataque cibernético que cuenta con una serie de características que las hacen muy peligrosas:
- Emplean técnicas avanzadas y complejas para los ataques. Esto no solo incluye malware como botnets o exploits de día cero, sino también el empleo de sofisticadas técnicas de ingeniería social.
- Son complicadas de detectar, ya que uno de los objetivos de los ciberdelincuentes es pasar desapercibidos para los sistemas de seguridad de la víctima.
- Buscan permanecer en los equipos o sistemas de la víctima durante el mayor tiempo posible. Para ello, se adaptan a los esfuerzos o técnicas de ciberseguridad que implanta la víctima y mantienen un alto nivel de interacción y control de sus equipos.
- Se desarrollan a lo largo de diversas fases. Empieza por la obtención del acceso y continua con la infección de los equipos, la expansión del control y el aprendizaje «desde dentro» para descubrir nuevas vulnerabilidades.
- Requieren elevados conocimientos de técnicas de hackeo y una gran cantidad de recursos, por lo que suelen ser llevadas a cabo por grupos organizados, los cuáles tienen mucho interés (ya sea por motivos económicos o para obtener información valiosa) en la víctima del ataque.
- Las víctimas suelen ser grandes empresas y corporaciones, gobiernos u otras entidades encargadas de la seguridad nacional.
¿Cuáles son sus objetivos?
El objetivo general de las amenazas persistentes avanzadas es obtener acceso a un sistema y extender sus redes dentro de la estructura IT de una organización. Lo hacen a través de técnicas sofisticadas que resultan difíciles de detectar, por lo que en muchas ocasiones la víctima ni siquiera se da cuenta que está siendo atacada. Esto permite que los cibercriminales permanezcan largo tiempo ocultos en el sistema y que puedan desarrollar actividades ilícitas potencialmente muy peligrosas.
Normalmente, este tipo de ataques se llevan a cabo en contra de corporaciones, grupos empresariales o gobiernos, y pueden tener como objetivo:
- Robo de información, espionaje de Estado o espionaje industrial.
- Provocar graves daños económicos o en las infraestructuras IT de la víctima.
- Obtener un beneficios económico.
Por ejemplo, es frecuente que el uso de técnicas de ingeniería social avanzadas o de malware persistente tenga como objetivo empresas de distribución de energía, telecomunicaciones, infraestructuras, redes sociales, etc y que busquen obtener información valiosa o que pueda comprometer a estas corporaciones.
Tampoco es ningún secreto que, en numerosos casos, este tipo de amenazas están auspiciadas por los propios gobiernos. Por ejemplo, para descubrir información secreta relacionada con la propiedad industrial en determinados sectores, la cual permita obtener una ventaja competitiva.
Por supuesto, los grupos de crimen organizado también llevan a cabo este tipo de amenazas, habitualmente con el objetivo de desarrollar acciones criminales con ánimo de lucro.
Etapas en una amenaza persistente avanzada
Una Advanced Persistent Threat es un tipo de ataque que se desarrolla a lo largo de una serie de fases. Los cibercriminales preparan y desarrollan cuidadosamente el ataque para evitar ser detectados y permanecer el mayor tiempo posible en la infraestructura IT de la víctima.
Obtener acceso
El primer paso es obtener acceso a algún equipo de la víctima. Para ello, es habitual que se recurra a diferentes tipos de malware, por ejemplo ransomware, troyanos, correos electrónicos con archivos infectados, etc. En este punto, el grupo criminal actúa de la misma manera que lo hace un ladrón que fuerza una puerta o una ventana para entrar en una casa.
Infiltración
Una vez que se ha obtenido acceso, los ciberdelincuentes implantan nuevo malware que les permita permanecer en el sistema de manera oculta. Por ejemplo, es habitual que reescriban el código del malware para evitar ser detectados por los software de seguridad. Aparte, también llevan a cabo otras técnicas que les permiten conseguir un mayor control sobre el sistema, como por ejemplo el cambio de contraseñas y obtener derechos de administrador.
Expansión horizontal
Cuando la infiltración se ha realizado con éxito y cuentan con permisos de administrador, los hackers son libres para moverse por el sistema a voluntad. En este punto buscarán expandir su control sobre las infraestructuras IT de la organización, por ejemplo infectando equipos y servidores a través de botnets o redes de ordenadores zombie.
Aprender desde dentro
Una vez que tienen un control más amplio sobre los sistemas IT, los ciberdelincuentes tratarán de permanecer ocultos en el sistema y seguir aprendiendo desde dentro. El objetivo es comprender su funcionamiento de forma profunda y detectar nuevas vulnerabilidades que les permitan llevar a cabo otras actividades ilícitas sin ser descubiertos.
Aumentar el control sobre el sistema
Este tipo de organizaciones cibercriminales suelen ser ambiciosas y tratarán de obtener la mayor penetración y control posible sobre la víctima. Permanecerán en el sistema hasta ser descubiertos, y a menudo dejarán puertas abiertas para volver a acceder a él en el futuro.
¿Por qué las APT son tan peligrosas?
En primer lugar, porque suelen ser llevadas a cabo por organizaciones cibercriminales formadas por expertos en hackeo que cuentan con importantes recursos para desarrollar sus actividades.
Las amenazas persistentes avanzadas suelen dirigirse a objetivos de alto valor, caso de grandes corporaciones o gobiernos. Por ello, tienen la capacidad de provocar consecuencias desastrosas, ya no solo a nivel económico, sino también relativas a la seguridad nacional o a la opinión pública.
Por otro lado, otro de sus grandes peligros es que debido al uso de técnicas sofisticadas, pueden ser muy difíciles de detectar. En muchas ocasiones, la víctima ni siquiera sabe que sus equipos están siendo controlados por un grupo de hackers.
Además, hay que citar que el riesgo no termina una vez que se ha detectado a los intrusos. Aunque se les consiga echar del equipo y se tomen nuevas medidas de protección, es probable que a lo largo de su permanencia en la infraestructura IT de la víctima, los atacantes hayan descubierto vulnerabilidades ocultas que les permitan volver a la carga en el futuro
Ejemplos de amenazas avanzadas persistentes
Las APT tienen su origen a principios de los años 2000. Probablemente, el primer ejemplo de amenaza persistente avanzada que trascendió a nivel mediático tuvo lugar en el año 2003, cuando un grupo chino de hackers orquestó una campaña llamada Titan Rain cuyo objetivo era el robo de información confidencial y secretos de Estado en Estados Unidos. Para ello, lanzaron ataques continuados a sistemas de alta seguridad de diversas agencias, por ejemplo el FBI o la NASA.
Hasta ese momento se habían producido numerosos ataques de hackers con un alto potencial destructivo. Sin embargo, este tipo de ataques eran llevados a cabo por personas de forma individual, no por grupos organizados. Además, hasta ese momento siempre se había tratado de virus o malware que suponían una amenaza puntual para los equipos, pero no se usaban técnicas avanzadas de ingeniería social que permitieran controlar las infraestructuras IT y permanecer en ellas indetectable el mayor tiempo posible.
Desde entonces, las amenazas persistentes avanzadas han estado a la orden del día. Por ejemplo, en 2013 un grupo de atacantes utilizó un malware de la familia Sykipot para lanzar ataques de larga duración a numerosas organizaciones y corporaciones británicas y estadounidenses. Este tipo de malware se aprovechaba de la vulnerabilidad de programas de Adobe para penetrar en los equipos.
Otro caso muy célebre de amenaza persistente avanzada fue la del gusano Stuxnet. Todavía hoy sigue siendo considerado como uno de los malware más sofisticados jamás desarrollado. Este malware se propagó a través de USB infectados y tenía como objetivo atacar y destruir el programa nuclear iraní. Se dice que detrás de este malware estaban los servicios de inteligencia de Estados Unidos e Israel, aunque ninguno de los dos países lo ha admitido de forma oficial.
¿Cómo detectar estos ciberataques?
Uno de los grandes problemas que presentan las amenazas persistentes avanzadas es que su detección resulta complicada. Sin embargo, es posible citar algunos síntomas que pueden indicar que se está siendo víctima de uno de estos ataques.
- Las cuentas de administradores o usuarios presentan una actividad inusual.
- Elevada presencia de troyanos en algún equipo, lo que puede ser uno de los métodos de las APT para obtener y mantener el acceso a los equipos.
- Aumento exponencial en las actividades de las bases de datos, y la detección de operaciones sospechosas que involucran el tratamiento masivo de datos.
- Archivos de datos sospechosos, por ejemplo paquetes de datos que han sido agrupados para facilitar el proceso de transferencia de información sensible fuera de la empresa.
¿Cómo protegerse frente a las APT?
La protección frente a este tipo de amenazas resulta muy complicado, y se podría decir que ninguna empresa u organización está totalmente a salvo de ellas. La lucha contra las APT en ciberseguridad se basa en tomar una serie de medidas que les pongan las cosas lo más difíciles posible a los ciberdelincuentes:
- Contar con un equipo de ciberseguridad profesional y de alta cualificación.
- Llevar a cabo auditorías y análisis de riesgos que permitan detectar brechas de seguridad y elaborar planes de seguridad eficientes.
- Realizar un correcto mantenimiento de los equipos y las infraestructuras IT.
- Desarrollar un sistema de acceso y permisos avanzado y que incluya la autenticación de doble factor y medidas de identificación seguras.
- Concienciar a todos los miembros de la empresa, desde altos directivos hasta el último trabajador, sobre la necesidad de proteger las infraestructuras IT de la empresa.
- Disponer de sistemas de detección y alerta de fallos de seguridad, que avisen en el caso de que se produzca algún acceso no autorizado.
En todo caso, aunque puede que el artículo te haya generado algo de alarma, no deberías preocuparte en exceso si eres un usuario particular o tienes una pequeña empresa. Este tipo de amenazas requieren de muchos recursos y tienen objetivos mucho más ambiciosos. En todo caso, siempre es necesario tomar las mayores precauciones posibles.