Una amenaza persistente avanzada (APT) es un ciberataque prolongado y dirigido mediante el cual los piratas informáticos obtienen acceso a una red y permanecen en ella sin ser detectados durante un período de tiempo prolongado.
A diferencia de la mayoría de ataques convencionales que acostumbran a ser indiscriminados, las APT tienen como objetivo una víctima en concreto.
Para poder perpetrar una ATP con garantías de éxito hay que dedicar una gran cantidad de recursos, por ello, los piratas informáticos suelen apuntar a objetivos que almacenan datos de alto valor, como gobiernos y grandes corporaciones.
Las amenazas persistentes avanzadas son particularmente peligrosas, ya que los delincuentes tienen acceso de forma silenciosa y continuada a datos confidenciales.
Para evitar ser detectadas, no acostumbran a causar daños en los terminales ni en las redes de la organización objetivo.
Los atacantes utilizan exploits de vulnerabilidades de día cero, spear phishing dirigido a personas clave dentro de la organización y otras formas de ingeniería social.
Para mantener el acceso continuado a la red objetivo se valen de métodos de ofuscación, como la reescritura continua del código malicioso y otras técnicas sofisticadas para evadir la detección por parte de los programas de seguridad.
Algunas APT son tan complejas que requieren administradores trabajando a tiempo completo para mantener los sistemas comprometidos bajo control.
El ataque suele perpetrarse en varias fases:
- Establecer el objetivo y buscar una debilidad (muchas veces aprovechan el error humano) o vulnerabilidad en el sistema que les permita acceder a la red.
- Entregar el malware mediante una campaña de spear phishing u otros métodos como dispositivos USB infectados, ataques de inyección de SQL, rootkits y otras herramientas.
- Piratear la red.
- Mapear los datos de la empresa para determinar dónde pueden ser más accesibles.
- Escalar en los niveles de acceso para conseguir los privilegios necesarios y obtener acceso a la información deseada.
- Empaquetar los archivos obtenidos a menudo en archivos RAR cifrados.
- Exfiltrar la información del objetivo de forma lenta y silenciosa para poder volver a hacerlo de nuevo en un futuro.
- Borrar cualquier información que pueda permitir encontrar el origen del ataque.
Cuáles son los objetivos más comunes de las amenazas persistentes avanzadas
Como hemos dicho antes, las APT apuntan a objetivos que almacenan datos de alto valor como gobiernos o corporaciones.
Sin embargo, en última instancia, cualquier individuo puede ser el objetivo de este tipo de ataque.
Los datos que suelen robarse son:
- Propiedad intelectual (secretos comerciales, patentes, diseños, etc.).
- Datos clasificados.
- Información de identificación personal.
- Información financiera.
- Datos de infraestructuras críticas que proporcionan servicios esenciales: redes de energía, salud, transportes, comunicaciones etc.
- Credenciales de acceso.
- Información que puede incriminar a un individuo, gobierno u organización.
Detección de APT
Los ataques APT pueden ser difíciles de detectar, ya que una vez que los delincuentes han conseguido infiltrarse en una red, pueden pasar por cualquier usuario remoto, lo que complica la vida a los administradores de TI a la hora de identificar al intruso.
Sobre todo, cuando se trata de gestionar grandes cantidades de usuarios dentro de una red corporativa, en sitios con una alta rotación de personal.
Otro problema es que muchos profesionales no se conectan siempre mediante los dispositivos de la empresa, sino que lo hacen desde su móvil, o el ordenador de casa.
Aunque las soluciones de seguridad pueden ayudar de una forma bastante parcial, la exfiltración de datos puede ser la única pista de que se está produciendo un ataque.
La detección de anomalías en los datos salientes es probablemente la mejor manera en que los profesionales de seguridad pueden determinar si una red ha sido el objetivo de un ataque APT.
La presencia inusual de carpetas de datos en el servidor, también puede sugerir que la información robada se ha agrupado en archivos para facilitar su exfiltración.
Prevención
A continuación, se muestran algunas cosas que las organizaciones pueden hacer para minimizar el riesgo de verse comprometidas por una amenaza persistente avanzada.
Ejecución de análisis de vulnerabilidades y pruebas de penetración.
Muchas APT se introducen de contrabando en una red aprovechando las vulnerabilidades en los sistemas de una organización.
Para evitar esto, es importante ejecutar análisis de vulnerabilidades y pruebas de penetración para identificar posibles brechas de seguridad.
Una vez identificadas deben cerrarse lo más rápido posible.
Mantenerse al tanto de las actualizaciones de software.
Los desarrolladores de software están mejorando constantemente sus productos en respuesta a errores y vulnerabilidades de seguridad recién descubiertos.
Estas actualizaciones de seguridad, entre otras cosas, ayudan a evitar ataques mediante expolits de día cero.
Por lo tanto, mantener el sistema operativo y las aplicaciones actualizadas, es una táctica de ciberseguridad fundamental para evitar las amenazas.
Defensa en profundidad y políticas de privilegios mínimos.
Si bien algunos pueden decir que la defensa en profundidad es impotente frente a una amenaza persistente avanzada, esto no es del todo exacto.
Los firewalls internos ayudan a evitar que los atacantes se muevan a su aire entre las bases de datos del servidor, retrasando el robo de información y ganando tiempo para que el ataque sea detectado y detenido.
Además, el uso de una política de privilegios mínimos para las cuentas de usuario ayuda a evitar que los atacantes utilicen credenciales robadas mediante ingeniería social para comprometer todas las bases de datos y sistemas de una red.
