Qué son los Advanced Persistent Threats y cómo protegernos de los APT

Qué son los Advanced Persistent Threats y cómo protegernos de los APT

Lorena Fernández

Los cibercriminales ponen cada vez más esfuerzo y creatividad a la hora de llevar a cabo los ataques. Por tanto, prefieren targets mucho más atractivos como las organizaciones. Los Advanced Persistent Threats (APT) son prueba de ello. ¿Sabes en qué consiste? ¿Cuál es el impacto que podría tener en tu organización? Te comentaremos todo lo que debes saber.

¿Qué es un Advanced Persistent Threat o APT?

Advanced Persistent Threat o también conocido como Amenaza Persistente Avanzada, sin embargo, es normal referirse a este como APT. Es un tipo de ciberataque que se ejecuta a gran escala con el propósito de robo de datos y/o espionaje de sistemas. Su particularidad radica en que se ejecuta por un período extenso de tiempo, principalmente porque los cibercriminales responsables son muy dedicados. Se encargan de investigar al objetivo y definir la razón por la cual se ataca. Además, invierten muchos en recursos económicos para preparar su infraestructura y así lograr que el ataque se lleve a cabo de manera exitosa. Los ataques que se llevan a cabo mediante los APT incluyen malware completamente personalizado de acuerdo al objetivo elegido.

La motivación para la creación de un APT va mucho más allá del mero perjuicio a una víctima o varias víctimas. Este tipo de ataques se enfocan en organizaciones y/o personas que pueden generar un alto nivel de ganancias. Ya sea en cuanto a lo financiero, por ejemplo, si es que se busca ganar muchísimo dinero de una vez. Por otro lado, la motivación también puede ser política. El espionaje político es uno de los motivadores para la creación de los ataques APT.

En los primeros tiempos de los APTs, estos eran asociados con protagonistas políticos en general que querían apropiarse de datos sensibles del gobierno de turno o bien, datos que tengan que ver con determinada industria. Hoy en día, estos ataques se han ampliado en cuanto a su aplicación y son utilizadas para el robo de datos sensibles o de propiedad intelectual que posteriormente sean vendidos o monetizados de alguna manera.

Lo que más llama la atención y no debería sorprender, por obvias razones, es lo rápido en que se vuelven cada vez más sofisticados. En consecuencia, a nivel global existen expertos en seguridad informática que trabajan a tiempo completo y por mucho dinero, que se encargan de diseñar, crear e implementar los APTs. Estas personas están respaldadas por importantes organizaciones y personalidades con intereses específicos, por lo que casi siempre los ataques se ejecutan de manera más que exitosa. Algunas de las tareas que hacen son el acceso a información confidencial, creación e inserción de código malicioso. Un ejemplo recurrente son los backdoors, que garantizan el acceso permanente a los sistemas del objetivo.

Características de un APT

Este tipo de ataques tienen mucho éxito, principalmente por los cibercriminales dedicados y responsables, no desean hacer las cosas rápido, sino más bien prefieren tomarse su tiempo para cumplir con la misión apropiadamente. Así también, optan por hacerlo con todo el tiempo necesario porque algún paso en falso podría dejarlos al descubierto.

Un dato interesante, es que la mayoría de estos ataques empiezan por vulnerabilidades ya conocidas, y que no han sido parcheadas. ¿Por qué? Porque de esa forma, la víctima tendrá dificultades para darse cuenta de que se trata justamente de un APT y no de un ataque tradicional. Sin embargo, ¿cómo podemos distinguir a un ataque APT?

Aumento de registros de inicios de sesión por la noche

Una de las características de los ataques APT es que desde el momento en que se apropia de un ordenador, logra expandirse a otros en cuestión de horas. Lo hacen mediante la lectura de una base de datos con autenticaciones, de la cual roban las credenciales y las utiliza para iniciar sesión en todos los ordenadores que va localizando. Los APTs reconocen y «van aprendiendo» qué cuentas de usuario o servicios cuentan con altos niveles de permisos y privilegios. Por lo que prefieren acceder a ese tipo de cuentas para comprometer los activos más importantes de la organización objetivo.

Ahora bien, mencionamos que debemos prestar atención a altos volúmenes de inicio de sesión por las noches, porque una buena parte de los autores de APTs viven en zonas en donde la diferencia horaria es considerable. Sin embargo, cada responsable de IT sabe en qué horarios deberían registrarse altos volúmenes de inicios de sesión y otras actividades relacionadas a su red. En consecuencia, es bueno realizar una monitorización permanente de esta actividad en busca de accesos sospechosos.

Presencia de backdoors de tipo Troyano

Un hábito es la instalación de backdoors de tipo Troyano en los ordenadores afectados. Lo hacen para asegurar el acceso permanente al entorno de la organización objetivo siempre que lo deseen. Incluso mantendrán estos accesos si los usuarios comprometidos llegan a cambiar los datos de sus credenciales.

Hoy en día, la Ingeniería Social es uno de los principales vectores responsables por los cuales se logra insertar estos backdoors Troyanos. Millones de personas todos los años, son víctimas de esto. Ya que son contactadas por teléfono o correo electrónico para realizar acciones supuestamente de manera urgente. Esa urgencia a la cual nos referimos y el cierto temor que nos da el no obedecer una «orden», hace que varias personas caigan en la trampa.

Flujo de datos mayor que el normal

Es importante prestar atención a los flujos de datos que sean de gran tamaño. Especialmente si es que tienen como origen a dispositivos que se encuentran dentro de la red o bien, dispositivos externos cuyo origen desconozcas. Dichos flujos de datos pueden ser de servidor a servidor, servidor a cliente o bien, de red a red.

Estos flujos de datos pueden tener un origen en particular y ese origen, a su vez, tiene como destino un target en particular. Existen clientes de correo electrónico como Gmail que cuentan con la posibilidad de informarte respecto a cuál fue el último inicio de sesión de los usuarios y desde dónde se ha accedido a determinado mensaje por última vez. Sin embargo, esto último se complica un poco más de lo debido a raíz de las conexiones vía túneles VPN.

Hoy en día, muchas organizaciones bloquean o interceptan cualquier tipo de tráfico HTTPS no definido o no aprobado mediante dispositivos de inspección de seguridad. Dichos dispositivos deconstruyen el tráfico HTTPS mediante un proxy, inspeccionan el tráfico y posteriormente lo vuelven a cifrar antes de enviar al destino original. Por lo que es recomendable adoptar este tipo de medidas.

Transporte de datos sospechosos

Una muy buena pero preocupante señal de que tu red podría verse comprometida por un APT es un alto volumen de datos en lugares en donde no debería estar. Otra señal es el formato con la cual se comprimen, si es un formato que no reconoces o si es conocido, pero no es adoptado usualmente en tu organización, debes estar alerta.

Campañas de phishing muy específicas (Spear Phishing)

No hay nada más frustrante que pensar que toda una organización podría venirse abajo por unos correos electrónicos. Existe un tipo de phishing que es el Spear Phishing, el cual se crea y se ejecuta de manera muy específica. Es decir, las víctimas son bastante bien seleccionadas de acuerdo a las intenciones e intereses del atacante. Las mismas reciben correos electrónicos con archivos adjuntos, aunque también pueden pedir que hagas clic en determinado enlace para ingresar datos personales o de la organización.

Los archivos adjuntos pueden tener formatos conocidos como .docx, .xslsx, .pdf y muchos más. Aunque también, pueden ser ejecutables de tipo .exe o simplemente, formatos que no conocemos. Por el lado de los enlaces, éstos aparentan tener el formato de una URL benigna, unas letras más y otras menos. Por eso, es de vital importancia que prestemos atención a los correos que recibimos. ¿Realmente esperamos un mensaje cómo este? ¿Es necesario que acceda a cierto enlace para mantener activa mi cuenta, supuestamente? Un minuto extra de atención marca la diferencia.

¿Cómo protejo a mi empresa de los APTs?

  • Conciencia de Seguridad. Es fundamental que todos los trabajadores o colaboradores estén lo suficientemente concienciados de la seguridad, y que sean conscientes de sus actividades dentro de la red. Es importante instar a la creación de estrategias para que todas las lecciones en ciberseguridad, seguridad de la información y privacidad de datos puedan tener un verdadero impacto positivo en las personas.
  • Un buen plan de respuesta a incidentes. No solamente ayuda a prevenir potenciales ataques APT sino también, a minimizar los daños si llega a ocurrir un evento como este. Además de tener bien definido quién hace cada actividad, es muy importante asegurar que se mantenga toda evidencia de eventos de seguridad que puedan ocurrir, ya sean APTs o cualquier otro ataque. Una herramienta de apoyo es tener conocimiento del Cyber Kill Chain, el cual te indica con alto nivel de detalle cada paso de un ciberataque.
  • Implementación de la defensa por capas. Cuando hablamos de este punto, nos referimos a controlar tanto los puntos de entrada como de salida de red mediante firewalls de última generación. También se deben implementar sistemas de detección (IDS) y prevención (IPS) de intrusiones y los sistemas de tipo SIEM para una gestión eficaz de eventos de seguridad. No debemos olvidar a los sistemas de gestión de vulnerabilidades, para tener un control y panorama completo de cada uno de ellos. En definitiva, hay que tener especial atención a los usuarios de la red, administrando adecuadamente sus credenciales mediante los sistemas de gestión de identidad (IAM) y autenticación. Todo tipo de software debe estar al día con las actualizaciones y cada uno de los endpoints debe contar con sus correspondientes sistemas de protección.
  • Técnicas de monitorización y detección. No hay que dejar atrás las actividades de monitorización en donde podemos tener acceso a los logs. Los cuales nos permitirán detectar tráfico o cualquier otra actividad sospechosa. La red debe ser monitorizada permanentemente, tanto el tráfico de entrada como de salida, así como los dispositivos que se conectan. Todo registro que se tenga sobre el tráfico en la red, puede servir de evidencia forense si es que ocurre algún ataque.
  • Optar por servicios de inteligencia de amenazas. Estos servicios adicionales son ofrecidos por las distintas empresas especializadas en seguridad de la información y ciberseguridad. La inteligencia de amenazas se encarga de analizar raw data (datos en bruto) en busca de amenazas, todos estos datos tienen diversas fuentes y una vez que éstos fueron analizados, se cuenta con información útil y que lleve a una toma de decisiones exitosa. Así, todas las personas de la organización que sean responsables de la seguridad de la red tendrán la capacidad de identificar rápidamente amenazas de muy alto riesgo.

Tal y como habéis visto, los APT son una amenaza muy peligrosa, pero existen medidas que nos permitirán mitigar los efectos e intentar controlar que no nos vulneren nuestra seguridad.