11 características diferenciales de las amenazas persistentes avanzadas (APT)
Las amenazas persistentes avanzadas, o APT, son grupos de personas -organizaciones de ciberdelincuentes, grupos de activistas u organizaciones políticas- que llevan a cabo sofisticadas brechas de seguridad a largo plazo. Su propia naturaleza las hace difíciles de rastrear, y las organizaciones objeto de amenazas persistentes avanzadas a menudo nunca descubren quién está exactamente detrás de ellas. Las herramientas de seguridad tradicionales, como el software antivirus y los cortafuegos, no bastan para defenderse de una APT, por lo que debe tomar medidas adicionales para proteger a su organización de estos ataques.
11 Características de las amenazas persistentes avanzadas
Las amenazas persistentes avanzadas utilizan ataques multifase contra la red de una organización que se llevan a cabo durante largos periodos de tiempo. Los ataques APT pueden durar meses o años, permaneciendo sin ser detectados en su red y recopilando constantemente información sensible o valiosa. Son increíblemente complejos y diversos, lo que los hace difíciles de detectar y eliminar, pero hay características comunes de los ataques de amenazas persistentes avanzadas que puede identificar para prepararse y defenderse de los ataques.
1. Objetivos y motivos
El objetivo de un APT es recopilar tanta información sensible como sea posible de su red durante un largo periodo de tiempo. El motivo detrás del ataque podría ser puramente financiero, pero a menudo estos ataques están motivados por objetivos políticos o estratégicos. Por ejemplo, un APT podría estar buscando información incriminatoria sobre un candidato político rival, o tratando de robar secretos comerciales de un competidor empresarial.
2. Marco temporal
Aunque el marco temporal de los ciberataques convencionales, como el ransomware, es relativamente corto -días o semanas como mucho-, los ataques de amenazas persistentes avanzadas tienen lugar a lo largo de meses o años. Los ataques APT requieren mucho tiempo para investigar las vulnerabilidades de su organización, codificar el malware utilizado para penetrar en su red y mantener el acceso a los sistemas objetivo mientras se roban sus datos.
3. Dirigido a
Los ataques APT son muy selectivos y se desarrollan para explotar las vulnerabilidades específicas de su organización. Los piratas informáticos utilizan una investigación y un reconocimiento exhaustivos para descubrir sus puntos débiles y planificar su ataque.
4. Coste
Las amenazas persistentes avanzadas suelen ser grandes equipos de ciberdelincuentes, y la producción de los ataques puede costar millones de dólares. Los ataques APT son la forma más cara de ciberdelincuencia, razón por la cual este tipo de ataque suele ser montado por organizaciones grandes y bien financiadas.
5. Metodologías
Los ataques APT utilizan habilidades y metodologías muy sofisticadas para entrar en su red, evitar la detección y recopilar información. El malware es creado por equipos de desarrollo que utilizan procesos similares (por ejemplo, sprints e iteraciones ágiles) a los de cualquier otro gran proyecto de desarrollo de software. Además de los conocimientos avanzados de codificación necesarios para personalizar el malware, los ataques APT también requieren tácticas innovadoras de ingeniería social y espionaje.
6. Fases
Las APT utilizan ataques multifase que tienen lugar durante un largo periodo de tiempo. La mayoría de los ataques APT se producen en las siguientes fases:
- Investigación/Reconocimiento – recopilación de información sobre su organización y sondeo de vulnerabilidades mediante ingeniería social y otras tácticas secretas.
- Entrada – despliegue de malware personalizado utilizando métodos de explotación basados en sus vulnerabilidades conocidas.
- Mapeo – evitando la detección y el mapeo de su red.
- Captura de datos – recogida y transferencia de datos sensibles a lo largo de meses o años.
7. Tolerancia al riesgo
Los hackers y estafadores de bajo riesgo tienden a tener una alta tolerancia al riesgo porque están dispuestos a lanzar una amplia red sólo para atraer a un único objetivo. Debido a que los ataques de amenazas persistentes avanzadas son tan caros y están dirigidos a organizaciones específicas, los hackers detrás de las APT suelen tener una tolerancia al riesgo mucho menor y, por lo tanto, son capaces de permanecer sin ser detectados en su red durante más tiempo.
8. Tamaño
Los ataques de amenazas persistentes avanzadas suelen ser llevados a cabo por grandes organizaciones criminales que trabajan para su propio beneficio o en nombre de un individuo adinerado, una empresa o un grupo político. La escala del ataque también será grande, dirigiéndose a muchos sistemas host y recopilando una enorme cantidad de datos.
9. Puntos de entrada
Después de que una APT haya penetrado en tu red, normalmente abrirá múltiples conexiones a sus servidores de origen. Esto se hace para poder desplegar malware adicional si es necesario, y para que haya puntos de entrada redundantes en caso de que los administradores de su red encuentren y cierren uno de ellos.
10. Originalidad
Las herramientas de seguridad más comunes, como el software antivirus y los cortafuegos, utilizan la detección basada en firmas para reconocer patrones en el malware y evitar que los virus infecten sistemas y redes. Las APT suelen utilizar exploits de día cero, es decir, malware que nunca se ha utilizado antes y no coincide con ningún patrón conocido, o malware que se desarrolla teniendo en cuenta vulnerabilidades específicas de parches o filtros. Esto significa que las APT son capaces de eludir su cortafuegos y evadir la detección del software antivirus.
11. Síntomas
Una vez que una amenaza persistente avanzada ha comprometido su red, puede notar los siguientes síntomas:
- Actividades inusuales de cuentas de usuario
- Aumento repentino de la actividad en la base de datos
- Archivos grandes con extensiones inusuales
- Aumento de la detección de troyanos de puerta trasera
- Exfiltración de datos de su red
Las APT son muy difíciles de detectar una vez que están en su red, a menos que sepa qué buscar. La mayoría de los hackers de APT utilizan una infraestructura desechable e inmutable que les permite cambiar sus direcciones IP y otros indicadores de compromiso para evitar ser detectados. Por eso es tan importante prepararse y prevenir las amenazas persistentes avanzadas antes de que se produzcan.

Cómo prepararse para las amenazas persistentes avanzadas
Aunque históricamente las APT se han dirigido a grandes empresas y organizaciones gubernamentales, en los últimos años estos ataques se han vuelto más comunes y se están utilizando de forma más generalizada. Con la enorme cantidad de datos personales y financieros que procesan las empresas en la actualidad, incluso las más pequeñas tienen información valiosa que los ciberdelincuentes podrían monetizar, lo que significa que todo el mundo corre el riesgo de sufrir un ataque APT. Por suerte, hay medidas que puede tomar para prepararse -e incluso prevenir- el ataque de una amenaza persistente avanzada.
La seguridad de las operaciones, u OPSEC, es la base de cualquier programa eficaz de gestión de riesgos. OPSEC es una estrategia militar basada en la identificación de información crítica que podría ser explotada por un atacante potencial y el desarrollo de contramedidas para prevenir esta explotación. La OPSEC es crucial para evitar que las APT accedan a los datos más valiosos o perjudiciales de su red y los filtren, y no existen otras herramientas o estrategias que compensen la falta de seguridad de las operaciones. Los cinco pasos de OPSEC que se aplican a las amenazas persistentes avanzadas son:
- Identificar los datos que podrían utilizar las APT para dañar a su organización.
- Determinar quién podría ser el objetivo potencial de su organización. Es importante señalar que a menudo es muy difícil (y generalmente irrelevante) identificar al grupo responsable de un ataque APT que ya ha tenido lugar. Sin embargo, si identifica a los posibles atacantes con antelación, podrá anticipar los motivos de un APT y ajustar su estrategia de seguridad en consecuencia.
- Analizar las vulnerabilidades de seguridad utilizando, por ejemplo, pruebas de penetración y herramientas de evaluación de la seguridad.
- Evaluar el nivel de amenaza para determinar las prioridades y los objetivos más importantes.
- Desarrollar un programa de seguridad que aborde las vulnerabilidades específicas de su organización y proporcione contramedidas adecuadas para posibles ataques.
Una de las características identificativas de los ataques de amenazas persistentes avanzadas es que requieren una investigación y un reconocimiento exhaustivos, lo que se consigue principalmente mediante ingeniería social. Para evitar que su personal sea víctima de intentos de ingeniería social, necesitará que los buenos opsecs sean el punto de partida de su programa de gestión de riesgos. Tendrá que proporcionar una formación completa y coherente sobre cómo detectar y evitar las formas más comunes de ingeniería social. Una cosa importante a tener en cuenta es que la C-Suite son objetivos frecuentes de la ingeniería social, por lo que sus ejecutivos y altos directivos deben ser incluidos en su formación de seguridad.
Otra característica que identifica a las APT es que utilizan exploits personalizados de día cero que son indetectables para las herramientas de seguridad basadas en firmas, como cortafuegos y filtros de spam. Una de las mejores formas de detectar APTs es con herramientas de monitorización en tiempo real que puedan detectar actividad inusual en su red e identificar cambios en archivos críticos del sistema. Un buen SIEM, como Splunk o Elasticsearch, le ayudará a rastrear y eliminar la amenaza y remediar la vulnerabilidad de acceso antes de que la APT tenga tiempo de afianzarse en su red.
