Cinco señales de advertencia de amenazas avanzadas persistentes

Los ciberataques son cada vez más comunes. Estos ataques se llevan a cabo contra empresas grandes y pequeñas. Además, los hackers suelen filtrar información confidencial o privada. Aproximadamente 668 casos de filtraciones de datos se llevaron a cabo en Estados Unidos durante el 2018, en los que se vieron afectados más de 22 millones registros, de acuerdo con Statista. Las filtraciones de datos constituyen un problema grave para empresas, proveedores y clientes; sin embargo, existe un tipo de amenaza mucho más relevante en el ciberespacio: las amenazas avanzadas persistentes o APT. En este artículo, se explica qué es una APT, cuáles son las señales de advertencia y cómo puede proteger su empresa y sus datos.

¿Qué es una amenaza avanzada persistente (APT)?

Una APT es un ataque a largo plazo destinado a detectar información confidencial y aprovecharse de ella. En estos ataques, un hacker irrumpe en la red informática e invierte mucho tiempo en ella, a fin de supervisar movimientos, además de datos y usuarios clave. Los hackers se esfuerzan para que no los detecten y suelen utilizar herramientas sofisticadas para ello.

Estos ataques no son aleatorios. Los hackers investigan minuciosamente y orientan sus ataques a víctimas específicas. Entre estas víctimas se encuentran organizaciones grandes o, incluso, entidades gubernamentales que manejan datos ultrasecretos, como planes militares, datos financieros o patentes.

Es importante tener en cuenta que los hackers pueden iniciar ataques y utilizar los métodos de selección que no son avanzados ni persistentes. Algunos cambian la persistencia por las actividades sigilosas, con la intención de que el carácter indetectable de sus tácticas pueda ocultar sus iniciativas y disminuir la necesidad de llevar a cabo ataques persistentes. Otros abusan de herramientas administrativas en lugar de utilizar herramientas avanzadas y personalizadas en la fase inicial de un ataque. El carácter cambiante de las maneras en que se llevan a cabo los ataques destaca la importancia de utilizar software de seguridad comprobados y confiables.

Cinco señales de advertencia de APT

Estos ataques pueden ser muy sofisticados y difíciles de detectar. ¿Cómo puede saber si su empresa es víctima de APT, específicamente bajo la premisa de que los cibercriminales hacen todo lo posible para que no los detecten? Es posible que una combinación de señales de advertencia sirva de aviso en caso de un APT. Sin embargo, también es fundamental asociarse con un proveedor experto en ciberseguridad y utilizar herramientas contra las APT diseñadas específicamente para ese propósito, a fin de detectar y eliminar los ataques clandestinos. Entre las señales de advertencia comunes se encuentran las siguientes:

1) Correos electrónicos de spear-phishing específicamente orientados

Los hackers necesitan tener un medio y, a menudo, usan los mensajes de correo electrónico como puntos de entrada. Por lo general, seleccionan asuntos de mensaje que despierten el interés de los empleados objetivo, basados en una labor de investigación que llevan a cabo antes del ataque. Los mensajes pueden incluir un archivo adjunto infectado o un vínculo que descarga un programa que proporciona acceso al sistema.

Este tipo de ataque se denomina estafa spear-phishing, debido a su carácter altamente selectivo. Se diferencian de los fraudes por phishing típicos, los cuales se distribuyen de forma indiscriminada, no son personalizados y tratan de engañar a un gran número de personas para que compartan información o datos personales. El spear-phishing se orienta al personal de empresas específicas y tiene como propósito usar la información personal de sus víctimas para que el mensaje tenga una mayor credibilidad. Los correos electrónicos con archivos adjuntos enviados a ejecutivos empresariales de alto nivel desde un remitente desconocido corresponden a una señal de alerta. Es fundamental que el personal esté al tanto de los peligros del phishing y los riesgos asociados con abrir archivos adjuntos y hacer clic en vínculos de mensajes no solicitados.

2) Inicios de sesión irregulares

Supervise y evalúe los movimientos de inicio de sesión de la red. Si se detecta una gran cantidad de registros de inicio de sesión después de concluido el horario laboral o se detectan otros registros de inicio de sesión inusuales, es un motivo de preocupación. Esto es especialmente verídico si los inicios de sesión corresponden a personas con cargos ejecutivos o con permisos de acceso de alto nivel en la red. Los cibercriminales pueden estar situados en otros países del mundo, lo que influye en los registros de hora inusuales. También intentan llevar a cabo sus operaciones cuando saben que hay muy pocas personas (o ninguna) en la oficina para atenuar la actividad sospechosa.

3) Troyanos backdoor de amplio alcance

Los hackers suelen implementar troyanos backdoor (de puerta trasera) con el fin de acceder a los equipos. Corresponden a un tipo de software que permite a los hackers conectarse de forma remota a los equipos de redes infectadas y enviar o recibir comandos. Es como dejar una puerta trasera abierta, por lo que siempre hay una manera de entrar, incluso si se cambian las credenciales de inicio de sesión.

4) Información que se encuentra en otro lugar

Los hackers irrumpen en su sistema para una razón: buscan información específica. Esté atento a cualquier lote de información que se encuentre en circulación. Es posible que algunos archivos se hayan cambiado de lugar o que algunos datos que se hayan transferido de un servidor a otro. Busque movimientos de datos entre equipos de las mismas redes internas y datos que se hayan transferido a equipos externos. Supervise las conexiones inusuales, incluidas las conexiones a recursos externos.

5) Datos agrupados listos para exportarse

Busque archivos de gran tamaño que no se encuentran en el lugar en que deberían estar. A menudo, los hackers agrupan y comprimen los datos en un solo lugar antes de exportarlos del sistema. Este proceso les facilita transferir grandes cantidades de datos al mismo tiempo. Otra señal de que los hackers se están preparando para exportar datos agrupados es que estos aparecen en un formato de archivo que su empresa no utiliza habitualmente. Preste especial atención a las extensiones de archivo de los datos agrupados.

Consejos para evitar APT

Pese a que las APT son sofisticadas, se pueden tomar medidas en su empresa para evitarlas. Siga estos cuatro consejos para protegerse contra los APT.

Capacite a todos los empleados sobre estafas de phishing

Muchas APT comienzan con un correo electrónico fraudulento que obtiene acceso a su sistema. Implemente un programa de capacitación en el que se enseñe a los empleados lo que deben detectar, lo que deben hacer y a quién notificar si encuentran algún elemento sospechoso. Detener un ataque antes de que se inicie es la mejor manera de mitigar los riesgos.

Asegúrese de que todos los parches de seguridad estén instalados

Los hackers que emplean las APT aprovechan las vulnerabilidades de los sistemas, lo cual constituye el motivo más importante para ejecutar actualizaciones en todos los programas de ciberseguridad. Si no ejecuta las actualizaciones e instala los parches o retrasa tales acciones, su empresa queda vulnerable a los ataques.

Proteja mejor los datos que tienen un mayor nivel de confidencialidad

Considere tomar medidas de seguridad adicionales en relación con la información que tiene un nivel de confidencialidad mayor. No asigne derechos de administrador de forma automática a las cuentas del personal si no es necesario. Limite el acceso a los datos y los permisos de edición de estos para reducir la probabilidad de que se realicen cambios accidentales. Tome las medidas necesarias para asegurarse de que los datos de los que se puede sacar más provecho sean difíciles de encontrar y copiar.

Trabaje junto con una empresa de ciberseguridad

¿Su empresa maneja material confidencial? Si es así, necesita una empresa de ciberseguridad que tenga experiencia en APT. Este tipo de empresas puede satisfacer sus necesidades, implementar medidas de seguridad y supervisar activamente su perfil digital para garantizar los niveles de seguridad más altos posibles.

Las APT pueden ser muy perjudiciales para una empresa. Si cree que la suya se encuentra en riesgo, la mejor forma de mitigar los riesgos es trabajar con una empresa experta en ciberseguridad. Busque una que cuente con APT Intelligence Reporting y el servicio de asistencia que necesita para identificar y detener las amenazas.

Otros artículos y vínculos relacionados:

Productos pertinentes:

Cinco señales de advertencia de amenazas avanzadas persistentes y cómo evitarlas

Kaspersky

Una amenaza avanzada persistente es un ataque a largo plazo que detecta información confidencial y se aprovecha de ella. Conozca cinco señales de advertencia de amenazas avanzadas persistentes y sugerencias sobre cómo evitarlas.