¿Qué es una amenaza persistente avanzada (APT)?

Descubra el mundo de las APT, cuyas sofisticadas estrategias y tácticas no dejan de evolucionar para plantear nuevos desafíos a la seguridad informática mundial.

Información general

Definición
Cómo funciona
Tipos de APT
Fases de un ataque
Detección y respuesta

Soluciones de seguridad

Una APT (amenaza persistente avanzada) es un tipo de ataque dirigido contra una organización concreta, en el que se accede a su entorno y se la espía, pasando desapercibido, para filtrar datos o aguardar el momento adecuado para poner en marcha un ataque de mayor calado. Los parámetros que definen estos tipos de amenazas son sus blancos estratégicos y su persistencia, además de las tácticas, técnicas y procedimientos avanzados de los que hacen uso.

El objetivo principal de un ataque de APT es el beneficio económico. A veces, los intrusos extraen datos, mientras que en otras ocasiones esperan hasta que mejoren las condiciones para completar su ciberataque. Por lo general, su objetivo final es dificultar al máximo la prevención, protección, detección y respuesta frente a ataques posteriores. En pocas palabras, los atacantes no quieren que usted sepa que están en su entorno.

Frecuentemente, estos ataques se dirigen contra entidades de gran valor, normalmente poseedoras de datos importantes y confidenciales o que desempeñan un papel importante en la seguridad nacional o la estabilidad económica. Las organizaciones sufren ataques por su valor estratégico y por el impacto potencial de que se vean comprometidas, como sería el caso de organismos gubernamentales, infraestructuras críticas, contratistas de defensa y proveedores de la cadena de suministro de las organizaciones objetivo.

Las grandes corporaciones y las organizaciones gubernamentales también constituyen un objetivo debido al enorme volumen de datos valiosos en su poder. Cada vez con mayor frecuencia, se ataca a empresas de menor tamaño porque forman parte de la cadena de suministro de una organización mayor. Al final, esto permite al atacante infiltrarse en el objetivo principal, que es el más grande.

Los responsables de las APT lanzan sus amplias redes para pescar en diversos sectores. Los objetivos de gran valor incluyen los de los sectores financiero, legal, industrial, defensa, telecomunicaciones y bienes de consumo.

¿Cómo funciona?

Las amenazas persistentes avanzadas (APT) destacan respecto a otras amenazas digitales por su sofisticación y complejidad, pues combinan técnicas avanzadas con tácticas sociales más comunes, como el phishing o el spam. Se planifican y ejecutan meticulosamente, centrándose en un único objetivo tras una investigación exhaustiva de la superficie de ataque de la víctima. Durante la ejecución de una APT, el objetivo del atacante es permanecer el mayor tiempo posible dentro de la red sin ser detectado. Puede suceder durante semanas o incluso años.

Haciendo uso de recursos de inteligencia tanto comerciales como de código abierto, las APT aplican un gran número de técnicas de recopilación de inteligencia, desde el malware básico hasta herramientas de espionaje de nivel gubernamental. La naturaleza práctica de las APT se refleja también en los métodos que emplean. Prefieren la ejecución manual a los scripts automatizados, dado que buscan personalizar los ataques, y aplican métodos como los ataques sin archivos y el “living-off-the-land” (introducción mediante software aparentemente legítimo).

Frecuentemente, se emplean técnicas de ataque comunes y muy eficaces, como RFI (inclusión de archivos remotos), inyección de código SQL y XSS (scripts de sitios). Entre las señales que alertan de un ataque de APT se hallan los troyanos de puerta trasera, las actividades inusuales de las cuentas y las anomalías en los flujos de datos cuando el atacante ha logrado afianzarse y está activo en el entorno.

Las APT suelen implementar malware personalizado (malware de APT) diseñado para que eluda la detección y proporcione mando y control remotos de los sistemas comprometidos. Las herramientas, tácticas, técnicas y procedimientos suelen actualizarse para eludir su detección. Hasta en el caso de que se descubrieran parcialmente sus actividades, los responsables de la amenaza podrían llegar a recuperar el acceso. Esta filosofía “lenta y discreta” se debe a que tienen objetivos estratégicos a largo plazo, como el espionaje, las alteraciones puntuales o el robo de datos, en lugar de pretender lanzar un torrente incesante de ataques o asestar un único golpe fatal, como sucede con el ransomware.

Tipos de amenazas persistentes avanzadas

Las APT se clasifican en función de diversos criterios, desde su origen y sus métodos hasta cómo se infiltran o cuál es su presencia geográfica.

Aunque no existe una serie definida de características aplicables a las amenazas persistentes avanzadas, a continuación se exponen las categorías de APT halladas y analizadas más frecuentemente:

• APT gubernamentales: Con un enorme presupuesto y con acceso a las últimas tecnologías, además de disfrutar de cobertura legal, los responsables de estas amenazas llevan a cabo algunas de las misiones más sofisticadas. Se incluyen en este apartado las de espionaje a largo plazo, robo de datos, manipulación de la opinión pública, etc. Tienen objetivos políticos o militares perfectamente establecidos y actúan contra organizaciones gubernamentales, instalaciones militares, infraestructuras críticas, actores económicos y, básicamente, contra cualquier persona o cosa que pueda ayudarles a lograr sus objetivos a largo plazo.

• APT criminales: Algunos de los grupos participantes en las APT tienen como objetivo robar dinero u otros datos valiosos, como propiedad intelectual, o bien comprometer datos para poder llevar a cabo un chantaje o extorsión. Frecuentemente, el objetivo final de los responsables de estas amenazas es introducir ransomware en redes de gran valor, cometer fraudes bancarios, robar y vender información de tarjetas de crédito o incluso realizar minería de criptomonedas aprovechando la infraestructura de sus víctimas.

• APT hacktivistas: Existen grupos que utilizan sus capacidades informáticas para impulsar agendas políticas, promover cambios sociales o impulsar ideologías mediante ataques que tienen como objetivo silenciar las voces críticas, difundir propaganda o destruir a la oposición. Entre sus tácticas se cuentan los ataques de denegación de servicio distribuido (DDoS), alteración de sitios web y filtración de información confidencial. Estos grupos buscan publicidad y a menudo se expresan a través de manifiestos o mensajes públicos.

• APT corporativas/empresariales: Estas APT, con el patrocinio de organizaciones empresariales, generalmente grandes corporaciones, espían a sus competidores. Con la aparición de las APT como servicio, los grupos de delincuentes informáticos más cualificados ofrecen ahora sus servicios de espionaje industrial. Los responsables de las amenazas de esta categoría se mueven por el afán de obtener ventaja sobre la competencia, beneficios económicos o conseguir información valiosa de espionaje corporativo.

Fases de un ataque persistente avanzado

1. Infiltración (afianzamiento): Durante la primera fase, los atacantes aprovechan las vulnerabilidades o aplican técnicas de ingeniería social para conseguir el acceso no autorizado. Sus métodos van desde explotar vulnerabilidades de día cero o debilidades de la red hasta el phishing selectivo dirigido contra empleados clave de la organización. Su objetivo es establecer un punto de entrada discreto, desde el cual preparar el escenario para su ataque.

2. Expansión (exploración para lograr la persistencia): Tras triunfar en su infiltración inicial, los atacantes se mueven lateralmente por la red para ampliar su control y profundizar su acceso. Habitualmente, buscan cuentas que tengan privilegios elevados para mejorar su acceso a sistemas críticos y datos confidenciales. Los atacantes pueden basarse en el malware para establecer una red de puertas traseras y túneles, lo que facilita sus movimientos en el sistema sin que sean detectados. Los esfuerzos de los atacantes van dirigidos a lograr una posición mejor para la consecución de sus objetivos principales.

3. Extracción (preparar su huida): A menudo, llegados a esta fase, los atacantes ya conocen las vulnerabilidades del sistema y su forma de trabajar. Estos conocimientos les permiten recopilar la información necesaria y, quizás, almacenarla en una ubicación segura dentro de la red. Para evitar su detección durante esta extracción, los responsables de las amenazas lanzan distracciones como ataques de DDoS (denegación de servicio distribuido).

En algunos casos, la finalidad de las APT no es obtener información. En vez de eso, orientan sus recursos a socavar un proyecto, misión o programa importante de la organización objetivo.

Sea cual sea su objetivo, los atacantes intentan siempre cubrir sus huellas para mantener el acceso a la red sin ser detectados, de cara a futuros ataques.

Detectar y responder a las APT

La detección de una amenaza persistente avanzada requiere una estrategia de seguridad integral que abarque la búsqueda de amenazas en los procesos, cargas de trabajo y plataformas, una minuciosa monitorización de todo el entorno y el análisis del tráfico de red entrante y saliente. Los equipos de seguridad informática deben ser capaces de reconocer los sutiles rastros de las actividades de las APT, como por ejemplo los patrones de tráfico de mando y control. Estos tenues indicadores deben consolidarse en un análisis de amenazas al que un profesional pueda acceder rápidamente y actuar en consecuencia. Sin esto, puede ponerse muy cuesta arriba que los equipos implementen una respuesta oportuna y eficaz.

Una vez efectuada la detección, la respuesta ha de ser inmediata y focalizada. El objetivo será identificar qué sistemas se han visto afectados, eliminar cualquier puerta trasera y evitar el movimiento lateral. Las organizaciones también deben dedicar tiempo y esfuerzo a un análisis meticuloso tras el incidente, con el fin de reforzar sus defensas contra futuros ataques. Es fundamental analizar tanto los aspectos técnicos de la vulneración como los procedimientos operativos para reducir el perfil de riesgo de la organización.

Existen ciertas recomendaciones que puede seguir una organización para reducir las vulnerabilidades de seguridad que suelen aprovechar las APT, como por ejemplo las siguientes:

· Reducir la superficie de ataque actualizando con regularidad y mediante parches de software, aplicaciones y dispositivos.

· Implementar una monitorización integral del tráfico de red, aplicaciones y dominios, así como adoptar medidas sólidas de control de acceso, lo que incluye la autenticación en dos fases, para proteger los puntos clave de acceso a la red.

· Cifrar todas las conexiones remotas.

· Inspeccionar los mensajes de correo electrónico recibidos, con el fin de mitigar los riesgos vinculados al phishing.

· Analizar y registrar inmediatamente los eventos de seguridad, para facilitar la rápida identificación y respuesta ante las amenazas.

Medidas de seguridad y prevención existen contra las APT

Empezando por lo más básico, una formación periódica puede reducir notablemente el riesgo aparejado al factor humano. Los usuarios suelen ser el eslabón más débil de la seguridad informática y las APT acostumbran a explotarlo mediante técnicas de ingeniería social. Disponer de un plan formal y ensayado de respuesta ante incidentes permitirá una acción eficaz y coordinada durante una violación de la seguridad.

Las amenazas persistentes avanzadas (APT) no paran de evolucionar, lo que supone un auténtico reto para los equipos de seguridad. Esta evolución desafía su capacidad para rastrear y mitigar amenazas, así como para ser resilientes ante su impacto. Los equipos de seguridad pueden detectar y responder ante amenazas avanzadas mediante el marco MITRE ATT&CK, una base de conocimientos global de tácticas y técnicas de atacantes.

Las restricciones presupuestarias y la persistente escasez de profesionales cualificados arrebatan los recursos necesarios a los centros de operaciones de seguridad (SOC), los proveedores de servicios de seguridad administrados (MSSP) y los equipos de seguridad internos. El continuo crecimiento de los ataques informáticos sofisticados ha conducido a un aumento de los equipos de seguridad que integran datos de herramientas de detección estándar con inteligencia práctica sobre amenazas.

La inteligencia sobre amenazas se convierte en un poderoso aliado si se combina con sistemas de detección y respuesta en los endpoints (EDR). Ampliar la EDR para que incluya fuentes de datos (XDR, detección y respuesta ampliadas) ayuda a las organizaciones a aprovechar la visibilidad de todos los activos y dispositivos de la red para detectar posibles puntos de entrada de las APT.

El análisis profundo de los registros que realice un equipo no es capaz de distinguir las actividades maliciosas de las legítimas en tiempo real. Por ello, una buena protección es una solución de ciberdefensa inteligente y automatizada que aproveche la inteligencia sobre amenazas digitales y los mecanismos de defensa avanzados para la búsqueda del atacante.

Muchas organizaciones colaboran con empresas de seguridad informática para desarrollar estrategias de defensa avanzadas, implementar sensores y utilizar inteligencia sobre amenazas, indicadores de compromiso (IoC) y cortafuegos de aplicaciones web (WAF). Estas colaboraciones son cruciales para proporcionar resultados comprensibles para los profesionales encargados de la búsqueda de amenazas y que localicen proactivamente indicadores de actividades de APT en la nube híbrida o múltiple de una organización.

Preguntas frecuentes

¿Por qué sintió el mundo de la ciberseguridad la necesidad de diferenciar las amenazas persistentes avanzadas de las amenazas digitales en general?

Las APT son una categoría de amenazas significativamente más complejas, metódicas y con mayor uso de recursos que los típicos incidentes informáticos.

El nacimiento de esta clasificación surge de la necesidad de identificar y afrontar los retos particulares que plantean los atacantes cuyas campañas no son meramente oportunistas o con motivación económica, sino también estratégicas y persistentes.

Otros factores diferenciadores que popularizaron el término APT son sus estrategias de infiltración a largo plazo, una importante financiación y, frecuentemente, sus orígenes en entidades gubernamentales.

¿Existe alguna forma de que los responsables de las APT no me consideren su objetivo?

Debido a su naturaleza a menudo impredecible y estratégica, es casi imposible garantizar que los responsables de las APT no consideren como blanco a cualquier organización o persona. Con solo poseer huella digital, se está expuesto a posibles ataques.

Ni siquiera las pequeñas empresas están a salvo en la economía interconectada actual, dado que podrían ser el escalón en la cadena de suministro para infiltrarse en organizaciones más grandes. Así pues, la vigilancia constante, la evaluación periódica de los riesgos y la implementación de prácticas de seguridad informática son las únicas herramientas que realmente permiten minimizar las posibilidades de convertirse en blanco de las APT.

¿Es posible que la infiltración de APT se produzca mediante la colocación intencionada de una amenaza interna en una organización?

El apelativo de “amenazas internas” se aplica a las personas de una organización que, aprovechando puestos de confianza, ponen en marcha las amenazas. Puede que se trate de empleados descontentos movidos por razones políticas o económicas, o incluso agentes introducidos intencionadamente. Estas amenazas internas pueden ser extremadamente difíciles de detectar y mitigar, dado que cuentan con acceso legítimo a la red y pueden tener un profundo conocimiento de sus prácticas de seguridad.

Para minimizar el riesgo de infiltraciones de APT, las organizaciones pueden fomentar una cultura de la seguridad basada en la formación periódica de sus empleados, comprobaciones rigurosas de los antecedentes, aplicación del principio de concesión de privilegios mínimos en el control de acceso (confianza cero) y monitorización del comportamiento del personal mediante SIEM (administración de eventos e información de seguridad).