Las Amenazas Persistentes Avanzadas (APT) son un tipo de ciberataque caracterizado por su sofisticación, sigilo y persistencia. A diferencia de las intrusiones mundanas, las APT suelen estar bien financiadas y son lanzadas por personas u organizaciones altamente cualificadas con la intención de filtrar datos confidenciales u obtener acceso a largo plazo a la red de una víctima. En los últimos años, las APT se han vuelto cada vez más frecuentes y suponen un gran riesgo para la seguridad de casi todas las organizaciones de todos los sectores.
¿Qué es una Amenaza Persistente Avanzada?
Las Amenazas Persistentes Avanzadas son sigilosas por naturaleza, lo que las hace increíblemente difíciles de detectar y aprovechan las vulnerabilidades de la red para pasar desapercibidas durante periodos prolongados. Los atacantes APT suelen disponer de recursos para dedicar a sus asaltos y, a menudo, dedican mucho tiempo a explorar y vigilar un objetivo determinado antes de realizar su movimiento.
Estos ataques pueden estar patrocinados por el Estado o por grupos de interés seriamente deshonestos, como organizaciones criminales sigilosas, que pretenden filtrar una gran cantidad de información valiosa de empresas, gobiernos u otros organismos de alto valor.
¿Cómo reconocer una APT?
Distinguir una APT de un ataque individual más sencillo y menos peligroso es todo un reto. Las APT están diseñadas para pasar desapercibidas en un intento de evitar su detección, lo que las hace aún más peligrosas. Ocultarán su conexión con el atacante, utilizarán el cifrado para proteger sus comunicaciones y tomarán medidas para esconder sus manipulaciones digitales de las herramientas analíticas del objetivo.
Para añadir complejidad, un ataque APT puede producirse durante un largo periodo en el que los ciberdelincuentes permanecen ocultos en la red durante meses o incluso años sin ser detectados. Sólo entonces realizarán un movimiento cuando sea necesario para lograr sus objetivos.
Técnicas comunes utilizadas en las APT
Para lograr sus objetivos, las APT pueden utilizar una amplia variedad de TTP (las Tácticas, Técnicas y Procedimientos que utilizan los atacantes para intentar permanecer ocultos en un sistema). Desde malware y bots personalizados hasta la utilización de vulnerabilidades no parcheadas pero bien conocidas para acceder; la sofisticación de las técnicas evoluciona sin cesar a medida que los ciberactores siguen innovando.
Malware personalizado
El malware personalizado diseñado para explotar las vulnerabilidades de un objetivo es quizás el enfoque más común de las APT. En la mayoría de los casos, los atacantes crean el malware personalizado para pasar totalmente desapercibidos.
Vulnerabilidades sin parchear
Las vulnerabilidades sin parchear, o “exploits de día cero”, también pueden utilizarse para lograr los objetivos de una APT. Los Einsteins del mundo cibernético buscan continuamente estas vulnerabilidades en el software y el hardware de las grandes empresas para acceder a sus redes y pasar desapercibidos el mayor tiempo posible.
¿Cómo defenderse de las APT?
La realidad de las APT supone un inmenso desafío para los equipos y sistemas de seguridad. Aun así, hay esperanza para quienes planifican las condiciones de un ataque APT. La mejor manera de defender una red contra una APT es supervisar cada entidad de la red (punto final, etc.), y tener la capacidad de analizar los datos con algoritmos avanzados de aprendizaje automático e IA. La monitorización continua es esencial en la defensa contra las APT. Además, un buen conocimiento de la red es un comienzo importante, y mantener actualizadas las aplicaciones y el sistema operativo es siempre útil para prevenir las APT.
Las Amenazas Persistentes Avanzadas son un peligro siempre presente para las organizaciones de todos los sectores. Son sigilosas, agresivas y se aprovechan de todo, desde las vulnerabilidades de seguridad del entorno informático hasta las vulnerabilidades no parcheadas del software. Dicho esto, hay algunas estrategias que pueden ayudar en la defensa y detección de un ataque APT. Una supervisión adecuada de la red, un software actualizado y algoritmos avanzados de aprendizaje automático e IA pueden ser de gran utilidad para rastrear y prevenir los ataques APT.
