La gente suele pensar en las APT de la misma forma que en el espionaje: es un problema serio, sin duda, pero no nos va a afectar a los simples mortales, ¿verdad? La mayoría de nosotros no escondemos importantes secretos industriales o gubernamentales en nuestros teléfonos ni tampoco trabajamos con información clasificada en nuestras computadoras, por tanto ¿por qué íbamos a ser de su interés?
Y, claro, esto es cierto. Es muy poco habitual que una persona común sea objeto de un autor malicioso patrocinado por el estado, pero sí puede sufrir daños colaterales de las APT. Daniel Creus, del equipo de análisis e investigación global de Kaspersky (GReAT), habló sobre este tema hace poco en Barcelona. Y en esta publicación vamos a resumir su teoría y describir las tres formas en las que una persona común puede verse en medio de un ataque de APT.
Daños colaterales de las APT, situación 1: el sitio web incorrecto en el momento incorrecto
En comparación con autores más pequeños, las APT cuentan con el dinero suficiente como para asumir exploits de día cero, incluidos aquellos que posibilitan los ataques watering hole (o de abrevadero) remotos. La investigación de Proyecto Cero de Google en el 2019reveló que un autor utilizaba 14 vulnerabilidades diferentes en 5 cadenas de exploits diferentes para infectar sus objetivos con spyware.
Algunas de estas vulnerabilidades se utilizaron para infectar a usuarios de iOS de forma remota que visitaban sitios web específicos relacionados con la política. En consecuencia, acababan con spyware en sus teléfonos. El problema es que el autor no diferenciaba entre los visitantes de los sitios web, por lo que todos los usuarios de iOS que visitaban el sitio acababan infectados, independientemente de si eran o no de interés para el autor malicioso.
Y ese no fue el único ataque de APT que utilizó el watering hole. Por ejemplo, uno de los vectores de ataque del famoso NotPetya (también conocido como ExPetr) comenzó con la infección de un sitio web gubernamental. Cuando los usuarios visitaban el sitio web, el malware se descargaba y ejecutaba en sus computadoras. Seguramente recuerdes que NotPetya generó graves daños colaterales.
Por tanto, uno de los problemas de las APT es que, aunque los autores de las amenazas no tengan un interés especial en dirigirse a ti, si visitas el sitio web incorrecto o descargas la aplicación incorrecta, acabarás infectado de todas formas y la información privada de tu dispositivo se verá expuesta (o dañada) en los casos de ransomware en los que estén involucradas las APT, como NotPetya.
Daños colaterales de las APT, situación 2: herramientas peligrosas en manos de los cibercriminales
Entre otras cosas, las APT buscan a menudo los secretos de otras APT. Se intentan hackear entre ellas y a veces filtran las herramientas que usan sus enemigos. Los autores más pequeños y menos avanzados recogen estas técnicas y las utilizan para crear malware, que a veces acaba saliéndose de control. ¿Recuerdas que el famoso borrador WannyCry se creó mediante EternalBlue, uno de los exploits filtrado por ShadowBrokers cuando decidieron publicar el arsenal de armas cibernéticas de Equation Group?
Otras amenazas, como NotPetya/ExPetr, Bad Rabbit o EternalRocks, también dependen del exploit EternalBlue. Un exploit filtrado dio lugar a una serie de epidemias graves y muchos eventos más pequeños que afectaron en conjunto a cientos de miles de computadoras e interrumpieron el trabajo de una gran cantidad de empresas y agencias gubernamentales de todo el mundo.
En resumen, el segundo problema al que se tiene que enfrentar la gente normal con las APT es que los autores de las amenazas crean herramientas muy peligrosas y a veces no saben cómo contenerlas. Como resultado, estas armas podrían acabar en manos de los cibercriminales (de varios grados de competencia) quienes no dudarían en utilizarlas, lo cual afecta en ocasiones a inocentes.
Daños colaterales de las APT, situación 3: filtración de los datos recopilados
Como hemos mencionado anteriormente, los autores de las APT tienen una tendencia a hackearse el uno al otro. A veces publican no solo las herramientas que saquean, sino también cualquier información que sus enemigos han recopilado con dichas herramientas. Por ejemplo, así es cómo los datos recopilados por la famosa herramienta de ciberespionaje ZooPark se hicieron públicos.
En los últimos dos años, hasta 13 proveedores de stalkerware sufrieron un hackeo o la información que recopilaban acabó expuesta online, en un servidor web público y desprotegido. Estas filtraciones de datos también afectan a los autores más importantes, por ejemplo, entre estas víctimas de hackeo destacan los creadores del famoso FinFisher e incluso el aún más famoso Hacking Team, que desarrollaba herramientas de vigilancia.
Por tanto, este es el tercer problema: aunque una APT no tenga nada que ver con el usuario normal, y solo almacene su información sin utilizarla contra él, si la APT filtra datos, los peces más pequeños se alimentarán de esa información para extorsionar o buscar datos privados, desde numeraciones de tarjetas bancarias y documentos escaneados hasta información de contacto y fotos comprometedoras.
Cómo mantenerte protegido de las APT
Aunque las APT son mucho más sofisticadas que el malware normal, las mismas técnicas que utilizamos contra las amenazas comunes ayudan a protegerse contra las APT.
- Desactiva la instalación de aplicaciones de terceros en teléfonos Android. Si necesitas instalar una aplicación de confianza que no aparezca en Google Play, puedes volver a habilitarla, pero no te olvides de cambiar los ajustes una vez que hayas terminado.
- Comprueba de forma regular los permisos de las aplicaciones que has instalado en tu dispositivo y anula cualquier permiso que no consideres necesario para una aplicación en concreto. También es una buena idea que compruebes la lista de permisos de las aplicaciones antes de instalarlas. Puedes encontrar la lista en Google Play.
- Intenta no visitar sitios web sospechosos ni hacer clic en enlaces de fuentes en las que no confías por completo. Ningún desconocido te enviaría enlaces o aplicaciones con buenas intenciones. Algunas APT son capaces de infectar sitios web legítimos, pero la mayoría dependen de nuestro viejo amigo: el phishing.
- Utiliza una solución de seguridad de confianza que pueda analizar todo lo que se vaya a instalar o descargar en el dispositivo y comprueba cada enlace y paquete. Considéralo como una última línea de defensa: aunque un autor malicioso te engañe o utilice un exploit para infiltrarse en tu dispositivo, la solución de seguridad contra APT te protegerá.