¿Qué es una amenaza avanzada persistente (APT)?

Si hay algo que les quita el sueño a los profesionales de la ciberseguridad corporativa, es la idea de un ataque que se valga de una amplia gama de técnicas avanzadas diseñadas para robar información valiosa de la empresa.

Como el nombre “avanzado” lo sugiere, una amenaza avanzada persistente (APT) utiliza técnicas de hackeo continuas, clandestinas y avanzadas para acceder a un sistema y permanecer allí durante un tiempo prolongado, con consecuencias potencialmente destructivas.

Objetivos prioritarios

Debido al nivel de esfuerzo necesario para llevar a cabo un ataque de este tipo, las APT suelen asociarse con objetivos de alto valor, como países y grandes corporaciones, con el objetivo de robar información durante un largo período de tiempo, en lugar de simplemente “adentrarse” y salir rápido, como hacen muchos hackers de sombrero negro durante ciberataques de bajo nivel.

Las APT suponen un método de ataque que debería estar en el radar de las empresas de todo el mundo. Sin embargo, esto no significa que las pequeñas y medianas empresas puedan pasar por alto este tipo de ataque.

Los atacantes de APT utilizan cada vez más a las empresas más pequeñas que conforman la cadena de suministros de su objetivo final como una forma de acceder a las grandes organizaciones. Por ejemplo, utilizan a tales empresas como trampolines ya que, normalmente, cuentan con menos protección.

Un ataque en constante evolución

El propósito global de un ataque de APT es obtener acceso continuo al sistema. Los hackers lo logran en una serie de etapas.

Etapa 1: obtener acceso

Al igual que un ladrón fuerza una puerta con una palanqueta, para insertar malware en una red objetivo, los cibercriminales suelen obtener acceso a través de una red, un archivo infectado, el correo electrónico basura o la vulnerabilidad de una aplicación.

Etapa 2: infiltrarse

Los cibercriminales implantan malware que permite crear una red de puertas traseras y túneles utilizados para desplazarse por los sistemas de manera desapercibida. A menudo, el malware emplea técnicas como reescribir el código para ayudar a los hackers a ocultar sus rastros.

Etapa 3: intensificar el acceso

Una vez dentro, los hackers utilizan técnicas como el quebrantamiento de contraseñas para acceder a los derechos de administrador, aumentar el control sobre el sistema y obtener mayores niveles de acceso.

Etapa 4: desplazamiento horizontal

Con un mayor nivel de incursión dentro del sistema gracias a los derechos de administrador, los hackers pueden moverse por este a voluntad. También pueden intentar acceder a otros servidores y a otras partes seguras de la red.

Etapa 5: mirar, aprender y permanecer

Desde el interior del sistema, los hackers obtienen una completa comprensión de su funcionamiento y sus vulnerabilidades, lo que les permite hacer uso de la información que desean.

Los hackers pueden intentar mantener este proceso en funcionamiento, posiblemente de manera indefinida, o retirarse después de cumplir un objetivo específico. A menudo, dejan una puerta abierta para acceder al sistema de nuevo en el futuro.

El factor humano

Debido a que la ciberseguridad corporativa tiende a ser más avanzada que la de los usuarios particulares, los métodos de ataque a menudo requieren la participación activa de alguien en el interior para lograr el momento crucial e importantísimo de la “palanqueta”. Sin embargo, esto no significa que el personal participe a sabiendas en el ataque. Por lo general, esto implica un atacante que despliega una amplia gama de técnicas de ingeniería social, como el “whaling” o el “spear phishing”.

Una amenaza persistente

El principal peligro de los ataques de APT es que incluso cuando se descubren y la amenaza inmediata pareciera haber desaparecido, los hackers podrían tener varias puertas traseras abiertas que les permitan regresar cuando lo deseen. Además, muchas ciberdefensas tradicionales, como los firewalls y antivirus, no siempre pueden proteger contra estos tipos de ataques.

Para maximizar las posibilidades de una defensa continua exitosa, se debe implementar una combinación de varias medidas, que van desde soluciones de seguridad avanzadas como Kaspersky Enterprise Security, hasta una fuerza de trabajo capacitada y con conocimiento en técnicas de ingeniería social.