Qué son los Advanced Persistent Threats y cómo protegernos

Qué son los Advanced Persistent Threats y cómo protegernos

Lorena Fernández

Los cibercriminales ponen cada vez más esfuerzo y creatividad a la hora de llevar a cabo los ataques. Por tanto, prefieren targets mucho más atractivos como las organizaciones. Los Advanced Persistent Threats (APT) son prueba de ello. ¿Sabes en qué consiste? ¿Cuál es el impacto que podría tener en tu organización? Te comentaremos todo lo que debes saber.

¿Qué es un Advanced Persistent Threat o APT?

Advanced Persistent Threat o también conocido como Amenaza Persistente Avanzada, sin embargo, es normal referirse a este como APT. Es un tipo de ciberataque que se ejecuta a gran escala con el propósito de robo de datos y/o espionaje de sistemas. Su particularidad radica en que se ejecuta por un período extenso de tiempo, principalmente porque los cibercriminales responsables son muy dedicados. Se encargan de investigar al objetivo y definir la razón por la cual se ataca. Además, invierten muchos en recursos económicos para preparar su infraestructura y así lograr que el ataque se lleve a cabo de manera exitosa. Los ataques que se llevan a cabo mediante los APT incluyen malware completamente personalizado de acuerdo al objetivo elegido.

La motivación para la creación de un APT va mucho más allá del mero perjuicio a una víctima o varias víctimas. Este tipo de ataques se enfocan en organizaciones y/o personas que pueden generar un alto nivel de ganancias. Ya sea en cuanto a lo financiero, por ejemplo, si es que se busca ganar muchísimo dinero de una vez. Por otro lado, la motivación también puede ser política. El espionaje político es uno de los motivadores para la creación de los ataques APT.

En los primeros tiempos de los APTs, estos eran asociados con protagonistas políticos en general que querían apropiarse de datos sensibles del gobierno de turno o bien, datos que tengan que ver con determinada industria. Hoy en día, estos ataques se han ampliado en cuanto a su aplicación y son utilizadas para el robo de datos sensibles o de propiedad intelectual que posteriormente sean vendidos o monetizados de alguna manera.

Lo que más llama la atención y no debería sorprender, por obvias razones, es lo rápido en que se vuelven cada vez más sofisticados. En consecuencia, a nivel global existen expertos en seguridad informática que trabajan a tiempo completo y por mucho dinero, que se encargan de diseñar, crear e implementar los APTs. Estas personas están respaldadas por importantes organizaciones y personalidades con intereses específicos, por lo que casi siempre los ataques se ejecutan de manera más que exitosa. Algunas de las tareas que hacen son el acceso a información confidencial, creación e inserción de código malicioso. Un ejemplo recurrente son los backdoors, que garantizan el acceso permanente a los sistemas del objetivo.

Cómo se llevan a cabo

Para llevar a cabo estos ataques, los ciberdelincuentes pueden utilizar varios métodos, en los cuales es muy sencillo caer si no se tiene algo de cuidado a la hora de utilizar internet. En todo caso, no todos están en nuestras manos detenerlos, pues hay alguno como vamos a ver, que simplemente realizan pruebas a ver cual es el momento en el que aciertan para poder atacar.

  • Phishing: Es uno de los métodos más comunes para realizar ataques. Pero no solo lo podemos encontrar en este tipo de ataques, si no en casi cualquiera que se puede realizar por internet. Para ello los ciberdelincuentes realizan el envío de un cebo a los usuarios, lo cual hace que en cuanto acceden a él o interactúan de alguna forma, se activa el robo de datos. Los métodos más comunes son los sms, correos electrónicos y ahora, las redes sociales.
  • Malware: Este se encuentra muy presente en este tipo de ataques, sobre todo cuando se utilizan en forma de keylogger. Esto lo que hace es detectar todo lo que se escribe en el equipo, con los que pueden averiguar una contraseña de forma sencilla. Por otro lado están los troyanos, la cual se encarga de abrir una puerta trasera en los equipos y permitir el acceso a los delincuentes. Con estos debemos tener especial cuidado, ya que muchos no son detectables por los antivirus, y tienen la capacidad de permanecer ocultos por mucho tiempo hasta que son utilizados.
  • Ataques de fuerza bruta: Es uno de los ataques más utilizados. Su función es muy sencilla, y es realizar todas las solicitudes que sean posibles hasta que encuentran la coincidencia que permite tener acceso a algo. Por esto se recomienda crear claves largas y con variedad de caracteres, ya que si estas son débiles, incluso con tarjetas gráficas actuales se pueden realizar ataques que permiten conocerlas en cuestión de unos pocos minutos, o incluso segundos.
  • Vulnerabilidades: Los sistemas que tenemos en nuestros equipos pueden contener fallos, y muchas veces estos son aprovechados por los ciberdelincuentes. Por lo general se utilizan bots que se dedican a rastrear equipos conectados a internet, para luego proceder con la explotación de los mismos. Para evitar esto, es recomendable tener todos los equipos totalmente actualizados a las últimas versiones.

Características de un APT

Este tipo de ataques tienen mucho éxito, principalmente por los cibercriminales dedicados y responsables, no desean hacer las cosas rápido, sino más bien prefieren tomarse su tiempo para cumplir con la misión apropiadamente. Así también, optan por hacerlo con todo el tiempo necesario porque algún paso en falso podría dejarlos al descubierto.

Un dato interesante, es que la mayoría de estos ataques empiezan por vulnerabilidades ya conocidas, y que no han sido parcheadas. ¿Por qué? Porque de esa forma, la víctima tendrá dificultades para darse cuenta de que se trata justamente de un APT y no de un ataque tradicional. Sin embargo, ¿cómo podemos distinguir a un ataque APT?

Aumento de registros de inicios de sesión por la noche

Una de las características de los ataques APT es que desde el momento en que se apropia de un ordenador, logra expandirse a otros en cuestión de horas. Lo hacen mediante la lectura de una base de datos con autenticaciones, de la cual roban las credenciales y las utiliza para iniciar sesión en todos los ordenadores que va localizando. Los APTs reconocen y «van aprendiendo» qué cuentas de usuario o servicios cuentan con altos niveles de permisos y privilegios. Por lo que prefieren acceder a ese tipo de cuentas para comprometer los activos más importantes de la organización objetivo.

Ahora bien, mencionamos que debemos prestar atención a altos volúmenes de inicio de sesión por las noches, porque una buena parte de los autores de APTs viven en zonas en donde la diferencia horaria es considerable. Sin embargo, cada responsable de IT sabe en qué horarios deberían registrarse altos volúmenes de inicios de sesión y otras actividades relacionadas a su red. En consecuencia, es bueno realizar una monitorización permanente de esta actividad en busca de accesos sospechosos.

Presencia de backdoors de tipo Troyano

Un hábito es la instalación de backdoors de tipo Troyano en los ordenadores afectados. Lo hacen para asegurar el acceso permanente al entorno de la organización objetivo siempre que lo deseen. Incluso mantendrán estos accesos si los usuarios comprometidos llegan a cambiar los datos de sus credenciales.

Hoy en día, la Ingeniería Social es uno de los principales vectores responsables por los cuales se logra insertar estos backdoors Troyanos. Millones de personas todos los años, son víctimas de esto. Ya que son contactadas por teléfono o correo electrónico para realizar acciones supuestamente de manera urgente. Esa urgencia a la cual nos referimos y el cierto temor que nos da el no obedecer una «orden», hace que varias personas caigan en la trampa.

Flujo de datos mayor que el normal

Es importante prestar atención a los flujos de datos que sean de gran tamaño. Especialmente si es que tienen como origen a dispositivos que se encuentran dentro de la red o bien, dispositivos externos cuyo origen desconozcas. Dichos flujos de datos pueden ser de servidor a servidor, servidor a cliente o bien, de red a red.

Estos flujos de datos pueden tener un origen en particular y ese origen, a su vez, tiene como destino un target en particular. Existen clientes de correo electrónico como Gmail que cuentan con la posibilidad de informarte respecto a cuál fue el último inicio de sesión de los usuarios y desde dónde se ha accedido a determinado mensaje por última vez. Sin embargo, esto último se complica un poco más de lo debido a raíz de las conexiones vía túneles VPN.

Hoy en día, muchas organizaciones bloquean o interceptan cualquier tipo de tráfico HTTPS no definido o no aprobado mediante dispositivos de inspección de seguridad. Dichos dispositivos deconstruyen el tráfico HTTPS mediante un proxy, inspeccionan el tráfico y posteriormente lo vuelven a cifrar antes de enviar al destino original. Por lo que es recomendable adoptar este tipo de medidas.

Transporte de datos sospechosos

Una muy buena pero preocupante señal de que tu red podría verse comprometida por un APT es un alto volumen de datos en lugares en donde no debería estar. Otra señal es el formato con la cual se comprimen, si es un formato que no reconoces o si es conocido, pero no es adoptado usualmente en tu organización, debes estar alerta.

Campañas de phishing muy específicas (Spear Phishing)

No hay nada más frustrante que pensar que toda una organización podría venirse abajo por unos correos electrónicos. Existe un tipo de phishing que es el Spear Phishing, el cual se crea y se ejecuta de manera muy específica. Es decir, las víctimas son bastante bien seleccionadas de acuerdo a las intenciones e intereses del atacante. Las mismas reciben correos electrónicos con archivos adjuntos, aunque también pueden pedir que hagas clic en determinado enlace para ingresar datos personales o de la organización.

Los archivos adjuntos pueden tener formatos conocidos como .docx, .xslsx, .pdf y muchos más. Aunque también, pueden ser ejecutables de tipo .exe o simplemente, formatos que no conocemos. Por el lado de los enlaces, éstos aparentan tener el formato de una URL benigna, unas letras más y otras menos. Por eso, es de vital importancia que prestemos atención a los correos que recibimos. ¿Realmente esperamos un mensaje cómo este? ¿Es necesario que acceda a cierto enlace para mantener activa mi cuenta, supuestamente? Un minuto extra de atención marca la diferencia.

¿Cómo protejo a mi empresa de los APTs?

  • Conciencia de Seguridad. Es fundamental que todos los trabajadores o colaboradores estén lo suficientemente concienciados de la seguridad, y que sean conscientes de sus actividades dentro de la red. Es importante instar a la creación de estrategias para que todas las lecciones en ciberseguridad, seguridad de la información y privacidad de datos puedan tener un verdadero impacto positivo en las personas.
  • Un buen plan de respuesta a incidentes. No solamente ayuda a prevenir potenciales ataques APT sino también, a minimizar los daños si llega a ocurrir un evento como este. Además de tener bien definido quién hace cada actividad, es muy importante asegurar que se mantenga toda evidencia de eventos de seguridad que puedan ocurrir, ya sean APTs o cualquier otro ataque. Una herramienta de apoyo es tener conocimiento del Cyber Kill Chain, el cual te indica con alto nivel de detalle cada paso de un ciberataque.
  • Implementación de la defensa por capas. Cuando hablamos de este punto, nos referimos a controlar tanto los puntos de entrada como de salida de red mediante firewalls de última generación. También se deben implementar sistemas de detección (IDS) y prevención (IPS) de intrusiones y los sistemas de tipo SIEM para una gestión eficaz de eventos de seguridad. No debemos olvidar a los sistemas de gestión de vulnerabilidades, para tener un control y panorama completo de cada uno de ellos. En definitiva, hay que tener especial atención a los usuarios de la red, administrando adecuadamente sus credenciales mediante los sistemas de gestión de identidad (IAM) y autenticación. Todo tipo de software debe estar al día con las actualizaciones y cada uno de los endpoints debe contar con sus correspondientes sistemas de protección.
  • Técnicas de monitorización y detección. No hay que dejar atrás las actividades de monitorización en donde podemos tener acceso a los logs. Los cuales nos permitirán detectar tráfico o cualquier otra actividad sospechosa. La red debe ser monitorizada permanentemente, tanto el tráfico de entrada como de salida, así como los dispositivos que se conectan. Todo registro que se tenga sobre el tráfico en la red, puede servir de evidencia forense si es que ocurre algún ataque.
  • Optar por servicios de inteligencia de amenazas. Estos servicios adicionales son ofrecidos por las distintas empresas especializadas en seguridad de la información y ciberseguridad. La inteligencia de amenazas se encarga de analizar raw data (datos en bruto) en busca de amenazas, todos estos datos tienen diversas fuentes y una vez que éstos fueron analizados, se cuenta con información útil y que lleve a una toma de decisiones exitosa. Así, todas las personas de la organización que sean responsables de la seguridad de la red tendrán la capacidad de identificar rápidamente amenazas de muy alto riesgo.

Tal y como habéis visto, los APT son una amenaza muy peligrosa, pero existen medidas que nos permitirán mitigar los efectos e intentar controlar que no nos vulneren nuestra seguridad.

¡Sé el primero en comentar!