Índice de temas
Qué son las amenazas persistentes avanzadas (Advanced Persistent Threat)
Las Amenazas Persistentes Avanzadas (APT) constituyen una de las formas más sofisticadas de ataque a la seguridad empresarial. Se trata de ataques complejos y multinivel que buscan comprometer las redes empresariales, abordándolas de múltiples formas y en diferentes frentes, manteniendo un acceso prolongado y sin ser detectado. Juegan con el sigilo y el anonimato, y se amparan en las sombras para asestar sus golpes cuando la víctima menos se lo espera.
Objetivos de las amenazas persistentes avanzadas
Las APT comienzan con la intrusión de ciberdelincuentes en la red objetivo. La estrategia abarca múltiples niveles para explorar y explotar vulnerabilidades en las infraestructuras, atacando identidades y privilegios de acceso, y lanzando ataques que pueden incluir robos de datos, bloqueos de servicios o daños permanentes a los sistemas, ya sean servidores, dispositivos fijos o móviles, aplicaciones o información en la nube o local.
Las APT a menudo se apoyan en técnicas de ingeniería social y cuentan con infraestructura de comando y control (C&C) para dirigir sus operaciones y extraer información sin levantar sospechas
Quién está detrás de las amenazas persistentes avanzadas (los grupos APT)
Podría pensarse que al hablar de APT se exagera sobre su procedencia. No se trata de una invención fruto de amantes de tramas descabelladas de espionaje. Por el contrario, los grupos APT suelen estar respaldados por actores muy organizados y financiados, y los expertos los agrupan en tres grandes categorías:
Grupos patrocinados por Estados
Son equipos de hackers que operan bajo la dirección de un gobierno o una agencia estatal. Sus objetivos suelen ser políticos, militares o económicos, buscando robar secretos de Estado, obtener acceso a información estratégica o causar desestabilización en infraestructuras críticas de otros países.
Lazarus Group
Sin duda el más conocido y alineado a Corea del Norte, este grupo ha llevado a cabo robos financieros masivos, incluido el ataque al Banco Central de Bangladesh y el famoso ciberataque a Sony Pictures en 2014 tras el estreno de la película ‘La entrevista’ que ridiculizaba al líder norcoreano.
APT28 (Fancy Bear)
Se le asocia con Rusia, se lo ha vinculado a ciberataques contra instituciones militares de la OTAN y también se cree que participó en la interferencia en las elecciones presidenciales de EEUU en 2016
APT29 (Cozy Bear)
Otro grupo que defiende los turbios intereses de Rusia, también dirigido a objetivos gubernamentales y diplomáticos, conocido por sus ataques contra el Departamento de Estado de Estados Unidos y otras instituciones clave.
APT40
De origen presumiblemente chino, ha sido implicado en operaciones de ciberespionaje que apuntan a universidades, compañías de defensa y otras organizaciones en el sudeste asiático y EEUU.
Estos actores persiguen lucrarse económicamente y suelen estar motivados por el robo de información financiera, la extorsión mediante ransomware o el robo de propiedad intelectual para su venta en la deep web
Crimen organizado
Estos actores persiguen lucrarse económicamente y suelen estar motivados por el robo de información financiera, la extorsión mediante ransomware o el robo de propiedad intelectual para su venta en la deep web. Sectores como banca, sanidad y tecnología son sus principales objetivos. Los grupos de APT utilizan técnicas sofisticadas, como ingeniería social, exploits de día cero y backdoors, para infiltrar redes y mantener su presencia sin ser detectados durante largos períodos de tiempo. Cada grupo suele especializarse en ciertos tipos de objetivos y técnicas, lo que los hace únicos y, a menudo, vinculables a ciertos actores geopolíticos o económicos.
Carbanak
Carnabak es un grupo que opera principalmente en el ámbito financiero, mediante una herramienta con el mismo nombre, responsable de robar millones de dólares mediante ataques a bancos y sistemas de puntos de venta. Se le emparente con FIN7, si bien este está especializado en el sector minorista y hotelero.
Darkside
Un grupo famoso por sus ataques de ransomware, y muy concretamente el Colonial Pipeline, lo que provocó un colapso en el suministro de petróleo en América del Norte.
Hacktivistas y ciberguerra
Estos grupos tienen motivaciones ideológicas o políticas y pueden atacar a gobiernos, empresas o instituciones para exponer injusticias, realizar actos de protesta o influir en la opinión pública. Suelen operar de forma descentralizada y no siempre están vinculados a estados o buscan un beneficio económico. Estos grupos de APT utilizan técnicas sofisticadas, como ingeniería social, exploits de día cero y backdoors, para infiltrar redes y mantener su presencia sin ser detectados durante largos períodos de tiempo.
Anonymous
Anonymous es el gran exponente del hacktivismo global, que abandera la libertad de expresión y los derechos humanos. Entre sus especialidades están los ataques DDoS, los defacement (modificar páginas web) y filtración de datos sensibles. Ha participado activamente en la ciberguerra contra Rusia tras su invasión a Ucrania.
Syrian Electronic Army (SEA)
Grupo alineado con el régimen sirio de Bashar al-Assad, conocido por atacar a medios de comunicación occidentales y opositores del gobierno sirio.
Cómo funcionan las APT: características principales
Las APT suelen seguir una secuencia común: obtener acceso, mantenerlo y expandirlo, evitando ser detectados hasta lograr sus objetivos. Además, se caracterizan por establecer múltiples puntos de compromiso, lo que permite a los atacantes mantener el acceso incluso si se detecta una parte de la actividad maliciosa.
A diferencia de los ataques masivos, las APT están diseñadas para robar información valiosa o realizar espionaje a lo largo del tiempo. Los atacantes utilizan múltiples vectores como phishing dirigido, exploits de día cero y malware personalizado para comprometer las redes. Su enfoque es gradual, avanzando por fases como reconocimiento, intrusión, escalamiento de privilegios y exfiltración de datos, todo mientras intentan evadir las medidas de seguridad.
El objetivo principal de las APT es lograr la persistencia, estableciendo backdoors para mantener su acceso incluso después de que se descubra la vulnerabilidad inicial. Estos ataques son difíciles de detectar debido a su capacidad para operar de manera discreta y sofisticada, utilizando técnicas de evasión para ocultar sus actividades. Además, las APT a menudo se apoyan en técnicas de ingeniería social y cuentan con infraestructura de comando y control (C&C) para dirigir sus operaciones y extraer información sin levantar sospechas.
Fases y etapas de una Amenaza Avanzada Persistente (APT)
Para entender mejor qué son y cómo funcionan las APT, primero hay que entender que son una estrategia muy planificada, que implica una serie de acciones maliciosas a corto, medio y largo plazo. Las 7 fases de un ataque APT son:
Fase 1: Reconocimiento
Los hackers utilizan fuentes públicas y metodologías cibernéticas para obtener direcciones de correo electrónico o referencias de mensajería instantánea, identificando a las personas que serán el objetivo de sus ataques.
Fase 2: Intrusión en la red
El atacante envía un correo de phishing que infecta el equipo, logrando así su primer acceso a la infraestructura de la empresa. Otras técnicas de intrusión pueden ser exploits, ataques de fuerza bruta, inyección de malware, etc.
Fase 3: Robo de identidad
Los hackers interceptan y clonan credenciales válidas de los usuarios, accediendo en promedio a unos 40 sistemas distintos dentro de la empresa. Utilizando estas credenciales, los hackers pueden acceder a sistemas y recursos a los que el usuario legítimo tiene acceso, eludiendo las medidas de seguridad diseñadas para detectar accesos no autorizados
Fase 4: Instalación de malware
Instalan utilidades maliciosas para administrar el sistema, instalar puertas traseras, robar contraseñas o monitorear procesos en ejecución. Basta con insertar código malicioso en el sistema, agregando una función oculta que permita el acceso no autorizado.
Fase 5: Creación de una puerta trasera (backdoor)
Los cibercriminales consiguen credenciales de administrador del dominio, permitiéndoles moverse transversalmente por la red e instalar más malware. Se puede crear una puerta trasera de varias formas: modificando el software o firmware, creación de malware personalizado a través de troyanos, o creando cuentas ocultas.
Fase 6: Exfiltración de datos
Los hackers interceptan correos, archivos y otros datos, enviándolos a servidores intermedios antes de su destino final. Pueden realizar estas transferencias a servidores remotos utilizando protocolos estándar de red como HTTP o FTP; o también usar canales de comunicación encubiertos en la nube.
Fase 7: Persistencia
La persistencia es el gran rasgo distintivo de una ATP. Aun cuando se descubren algunos ataques, los ciberdelincuentes intentan mantenerse presentes en las redes comprometidas. Este proceso refleja la complejidad y sofisticación de los ataques APT, que pueden pasar meses sin ser detectados debido a la dificultad de su identificación.
Tipos de amenazas avanzadas persistentes
Sabotaje o interrupción
Este tipo de ataques ATP son los de mayor nivel de complejidad, pues requiere que la víctima no sea consciente de que está produciendo un fallo en su sistema de fabricación o de funcionamiento del negocio. El caso más legendario es el de Stuxnet, un virus creado presuntamente por Israel para dañar las centrifugadoras en una planta iraní.
Extorsión
Las amenazas avanzadas persistentes (APT) enfocadas en obtener beneficios financieros suelen involucrar actividades delictivas como ransomware, robo de datos financieros o fraude. Un ejemplo notable es Ryuk, un ransomware que, aunque no siempre está asociado con un grupo APT específico, se destaca por realizar ataques dirigidos que cifran archivos y exigen un rescate para su liberación, generando así beneficios económicos para los atacantes a través de la extorsión.
Infiltración y exfiltración
Las APT de infiltración y exfiltración persiguen mantener un acceso prolongado y encubierto a redes para extraer datos de forma permanente. Un ejemplo es APT32 (Ocean Buffalo), asociado con Vietnam, que utiliza técnicas avanzadas para infiltrarse en sistemas de empresas y organizaciones en Asia y el extranjero, exfiltrando datos sin ser detectado. Otro caso ilustrativo es APT37 (Redbanc), vinculado a Corea del Norte, que se enfoca en recopilar información política y económica al infiltrarse en redes durante largos períodos y extraer datos sensibles.
Cadena de suministro
Las APT de ataques en la cadena de suministro comprometen a proveedores o terceros para alcanzar a sus clientes o asociados. El ejemplo más mediático es el hackeo de SolarWinds (APT29), donde un ataque sofisticado comprometió el software de gestión de TI, permitiendo a los atacantes infiltrarse en las redes de numerosos clientes, incluidas agencias gubernamentales y grandes corporaciones. Otro caso es NotPetya, que se propagó a través de una actualización de software comprometida, afectando globalmente a muchas empresas bajo la apariencia de un ransomware.
Cómo detectar las amenazas persistentes avanzadas
Aunque las amenazas avanzadas persistentes (APT) resultan complicadas de detectar debido a su sofisticación y a la capacidad de evadir mecanismos de seguridad, existen señales de advertencia que pueden indicar un posible compromiso. Una de las posibles alertas es la actividad inusual en cuentas de usuario, como accesos a horas inesperadas o desde ubicaciones geográficas atípicas, lo que podría sugerir que un atacante ha obtenido credenciales de manera ilícita. Además, el uso intensivo de malware tipo troyano es otro indicio, ya que estos programas maliciosos están diseñados para infiltrarse y operar de manera encubierta dentro del sistema, facilitando el acceso no autorizado y la exfiltración de datos.
Otra irregularidad es la actividad anormal en las bases de datos, especialmente si se observa un aumento repentino en las operaciones que manejan grandes volúmenes de datos, lo cual puede ser indicativo de una transferencia masiva de información hacia un destino no autorizado. La presencia de archivos de datos inusuales o de gran tamaño también puede ser un síntoma de exfiltración de información, ya que los atacantes a menudo crean y almacenan archivos que posteriormente extraen para recopilar datos confidenciales. Estar atento a estas señales puede ayudar a las organizaciones a identificar y mitigar los ataques APT antes de que causen un daño significativo.
Cómo responder a las amenazas persistentes avanzadas
Las empresas deben contar con una metodología bien coordinada y estructurada para poder responder con garantías ante el ataque de una APT. El proceso de debe comenzar con la identificación y evaluación, mediante el uso de herramientas avanzadas de monitoreo y análisis de comportamiento de los archivos del sistema. Una vez detectada una posible amenaza, se realiza una evaluación exhaustiva para confirmar el ataque y comprender su alcance haciendo uso de análisis forenses y revisión de logs. Posteriormente, en la fase de contención, los sistemas comprometidos se aíslan para evitar la propagación del malware, mientras que se restringen accesos y se cambian credenciales afectadas.
En las etapas de erradicación y recuperación, se eliminan las herramientas de ataque y se corrigen vulnerabilidades, restaurando los sistemas a partir de copias de seguridad no comprometidas. Debe implementarse una monitorización continua para detectar cualquier actividad residual. Finalmente, en la fase de análisis y mejora, se revisa el incidente para actualizar políticas y procedimientos de seguridad, y es preciso comunicar el incidente de forma transparente a las partes interesadas, documentando todo el proceso para futuras auditorías y aprendizajes.
Medidas de seguridad contra una APT: estrategias de prevención
La prevención ante un ATP resulta tan compleja como el propio ataque. Debe abarcar una estrategia integral que cubra todos los flancos: el perímetro, las redes, los accesos, los endpoints y la monitorización.
Los expertos lo resumen perfectamente: “Prevenir ataques de amenazas avanzadas persistentes (APT) requiere una combinación de estrategias proactivas y medidas de seguridad sólidas para protegerse contra la sofisticación y persistencia de estos ataques”.