Domingo, 22 Marzo 2020 17:15

Qué son los Advanced Persistent Threats y cómo protegernos de los APT ^Destacado

Escrito por José M. Concepción

tamaño de la fuente disminuir el tamaño de la fuente aumentar tamaño de la fuente
Imprimir
Email
¡Escribe el primer comentario!

Valora este artículo

(0 votos)

Qué son los Advanced Persistent Threats y cómo protegernos de los APT

Los cibercriminales ponen cada vez más esfuerzo y creatividad a la hora de llevar a cabo los ataques. Por tanto, prefieren targets mucho más atractivos como las organizaciones. Los Advanced Persistent Threats (APT) son prueba de ello. ¿Sabes en qué consiste? ¿Cuál es el impacto que podría tener en tu organización? Te comentaremos todo lo que debes saber.

Qué es un Advanced Persistent Threat o APT?

Advanced Persistent Threat o también conocido como Amenaza Persistente Avanzada, sin embargo, es normal referirse a este como APT. Es un tipo de ciberataque que se ejecuta a gran escala con el propósito de robo de datos y/o espionaje de sistemas. Su particularidad radica en que se ejecuta por un período extenso de tiempo, principalmente porque los cibercriminales responsables son muy dedicados. Se encargan de investigar al objetivo y definir la razón por la cual se ataca. Además, invierten muchos en recursos económicos para preparar su infraestructura y así lograr que el ataque se lleve a cabo de manera exitosa. Los ataques que se llevan a cabo mediante los APT incluyen malware completamente personalizado de acuerdo al objetivo elegido.

La motivación para la creación de un APT va mucho más allá del mero perjuicio a una víctima o varias víctimas. Este tipo de ataques se enfocan en organizaciones y/o personas que pueden generar un alto nivel de ganancias. Ya sea en cuanto a lo financiero, por ejemplo, si es que se busca ganar muchísimo dinero de una vez. Por otro lado, la motivación también puede ser política. El espionaje político es uno de los motivadores para la creación de los ataques APT.

En los primeros tiempos de los APTs, estos eran asociados con protagonistas políticos en general que querían apropiarse de datos sensibles del gobierno de turno o bien, datos que tengan que ver con determinada industria. Hoy en día, estos ataques se han ampliado en cuanto a su aplicación y son utilizadas para el robo de datos sensibles o de propiedad intelectual que posteriormente sean vendidos o monetizados de alguna manera.

Lo que más llama la atención y no debería sorprender, por obvias razones, es lo rápido en que se vuelven cada vez más sofisticados. En consecuencia, a nivel global existen expertos en seguridad informática que trabajan a tiempo completo y por mucho dinero, que se encargan de diseñar, crear e implementar los APTs. Estas personas están respaldadas por importantes organizaciones y personalidades con intereses específicos, por lo que casi siempre los ataques se ejecutan de manera más que exitosa. Algunas de las tareas que hacen son el acceso a información confidencial, creación e inserción de código malicioso. Un ejemplo recurrente son los backdoors, que garantizan el acceso permanente a los sistemas del objetivo.

Características de un APT

Este tipo de ataques tienen mucho éxito, principalmente por los cibercriminales dedicados y responsables, no desean hacer las cosas rápido, sino más bien prefieren tomarse su tiempo para cumplir con la misión apropiadamente. Así también, optan por hacerlo con todo el tiempo necesario porque algún paso en falso podría dejarlos al descubierto.

Un dato interesante, es que la mayoría de estos ataques empiezan por vulnerabilidades ya conocidas, y que no han sido parcheadas. ¿Por qué? Porque de esa forma, la víctima tendrá dificultades para darse cuenta de que se trata justamente de un APT y no de un ataque tradicional. Sin embargo, ¿cómo podemos distinguir a un ataque APT?

Aumento de registros de inicios de sesión por la noche

Una de las características de los ataques APT es que desde el momento en que se apropia de un ordenador, logra expandirse a otros en cuestión de horas. Lo hacen mediante la lectura de una base de datos con autenticaciones, de la cual roban las credenciales y las utiliza para iniciar sesión en todos los ordenadores que va localizando. Los APTs reconocen y «van aprendiendo» qué cuentas de usuario o servicios cuentan con altos niveles de permisos y privilegios. Por lo que prefieren acceder a ese tipo de cuentas para comprometer los activos más importantes de la organización objetivo.

Ahora bien, mencionamos que debemos prestar atención a altos volúmenes de inicio de sesión por las noches, porque una buena parte de los autores de APTs viven en zonas en donde la diferencia horaria es considerable. Sin embargo, cada responsable de IT sabe en qué horarios deberían registrarse altos volúmenes de inicios de sesión y otras actividades relacionadas a su red. En consecuencia, es bueno realizar una monitorización permanente de esta actividad en busca de accesos sospechosos.

Presencia de backdoors de tipo Troyano

Un hábito es la instalación de backdoors de tipo Troyano en los ordenadores afectados. Lo hacen para asegurar el acceso permanente al entorno de la organización objetivo siempre que lo deseen. Incluso mantendrán estos accesos si los usuarios comprometidos llegan a cambiar los datos de sus credenciales.

Hoy en día, la Ingeniería Social es uno de los principales vectores responsables por los cuales se logra insertar estos backdoors Troyanos. Millones de personas todos los años, son víctimas de esto. Ya que son contactadas por teléfono o correo electrónico para realizar acciones supuestamente de manera urgente. Esa urgencia a la cual nos referimos y el cierto temor que nos da el no obedecer una «orden», hace que varias personas caigan en la trampa.

Visto 446 veces Modificado por última vez en Miércoles, 22 Julio 2020 18:58