La ciberseguridad es crucial para el buen desarrollo de la sociedad conectada. En el ámbito corporativo, una de las mayores inquietudes para los profesionales del sector es la amenaza persistente avanzada, que utiliza técnicas combinadas para acceder a un sistema y hacerse con información vital para la empresa.
El desarrollo de la tecnología tiene enormes beneficios, pero también hay que ser conscientes de sus fallos y debilidades. Un ejemplo claro es internet de las cosas (IoT, por sus siglas en inglés), que protagoniza cada vez más los ataques de los ciberdelicuentes. Según los analistas, en los próximos meses veremos un aumento de hackeos a través de ‘SMSishing’ y aprovechando debilidades en los procesos de autenticación.
¿Qué es una amenaza persistente avanzada?
Si hay un tipo de ataque que inquieta a los expertos en ciberseguridad corporativa, esa es la amenaza persistente avanzada. Conocida también como APT, por sus siglas en inglés (‘Advanced Persistent Threat’), se caracteriza no tanto por la sofisticación de sus métodos como por la motivación del atacante. De hecho, es una técnica que busca algo más que el mero beneficio económico.
Esto se demuestra en que, aparte de los ciberdelicuentes, también algunos hacktivistas se decantan por ella, en ocasiones con el amparo e incluso la promoción de ciertos gobiernos. Una APT engloba un conjunto de diversos procesos informáticos, como, por ejemplo, vulnerabilidades de ‘día cero’ y ataques de ‘abrevadero’, cuyo objetivo es percutir de forma avanzada y continuada en el tiempo.
Características principales y objetivos comunes
El esfuerzo que requiere un ataque de este tipo hace que solo se emprenda cuando el objetivo tiene un altísimo valor, sea este una gran corporación o el gobierno de un país rival. En general, la intención no es la más habitual de adentrarse rápido en la red y salir antes de ser detectado. En cambio, pretende infiltrarse en ella y robar información sensible durante un periodo de tiempo prolongado.
Sería erróneo pensar que las pequeñas y medianas empresas están a salvo, ya que, en muchas ocasiones, por su menor protección, son el puente perfecto para que los ciberdelincuentes terminen alcanzando su target prioritario. Usando una terminología militar, las APT se basan en capacidades de inteligencia de señales (SIGINT, por sus siglas en inglés) en las cuales la adquisición se activa mediante ataques al objetivo (tácticas de ataque o CNA, dentro de las operaciones de red o CNO).
Etapas de una amenaza persistente avanzada
Para que su objetivo final de conseguir acceso continuo al sistema sea un éxito, los hackers que se embarcan en una amenaza persistente avanzada dividen el ataque en una serie de etapas distintas, cada una con su propósito particular, que explicamos a continuación.
- Obtención del acceso. Por ejemplo, al insertar malware dentro de la red gracias a un correo electrónico, un archivo infectado o explotando vulnerabilidades en una aplicación.
- Creación de una red de puertas traseras, túneles o código modificado para que la infiltración pase desapercibida.
- Una vez dentro, los hackers intensifican su acceso alterando los derechos de administración para aumentar su control sobre el sistema.
- Al poder moverse a voluntad por la red, le sucede una etapa de desplazamiento horizontal durante la cual intentan acceder a más servidores.
- La compresión del funcionamiento del sistema les permite mirar, aprender y permanecer, tras cumplir el objetivo inicial o de manera indefinida.
Algunos ejemplos reales de APT
Dada la gran operativa que necesita para ser completada con éxito, una amenaza persistente avanzada suele ser obra de grupos muy organizados y que disponen de grandes recursos. Por ejemplo, células terroristas, ejércitos, mafias profesionalizadas y hacktivistas. Se han identificado hasta 150 grupos distintos que operan con variados objetivos desde diferentes países, incluso Estados Unidos, cuya unidad de Tailored Access Operations (TAO) fue revelada en los ‘papeles de Snowden’.
Por su propia naturaleza, resulta muy complejo distinguir qué equipo puede estar detrás de una amenaza concreta. Tanto que para conocer los vinculados a Rusia hay hasta un mapa interactivo que incluye menciones a DragonFly, APT28 y SCADA, entre otros. A China se la ha relacionado con APT1, a Corea del Norte con Reaper, y en Irán, tras sufrir el ataque de Stuxnet, en teoría operarían APT33, APT34 y MuddyWater.
Cómo prevenir una amenaza persistente avanzada
Algunas señales clásicas de un ataque APT podrían ser inicios de sesión inesperados, movimientos de datos no autorizados y un aumento de correos electrónicos maliciosos y troyanos. Ante eso, hay que reforzar el control del acceso y monitorizar de forma continua el tráfico. Siempre ayudará mantener los equipos protegidos y actualizados. Y descargar solo de fuentes oficiales y evitar redes públicas inseguras.
Además, una APT suele requerir de la presencia de un atacante personal que, a modo de ‘palanqueta’ digital, utilice técnicas de ingeniería social como el whaling y el spear phishing. Por lo tanto, además de soluciones de seguridad avanzadas como las que promueve Orange, también hay que capacitar a los empleados para que utilicen el sentido común en todo momento y sean conscientes de la seriedad de una posible amenaza.
Por Pablo Vinuesa
Imágenes | Fotografías de Kevin Ku, Sigmund y Philipp Katzenberger, todas en Unsplash.