Por definición, unaamenaza persistente avanzada (APT)es un ataque prolongado y dirigido contra una víctima específica con la intención de comprometer su sistema y obtener información de o sobre ese objetivo.
Hace aproximadamente una década, el término se utilizaba principalmente para referirse a los actores maliciosos patrocinados por el Estado. He utilizado aquí el término «actores maliciosos» porque, en el Estado desde el que operan y para el que trabajan, no se les considera ciberdelincuentes. Por supuesto, esa percepción cambia cuando uno es víctima de un ataque de este tipo.
Cuando se identificaron por primera vez estas amenazas, sus objetivos eran gobiernos y organizaciones militares. Hoy en día, el objetivo puede ser cualquier persona, organización o empresa. Es habitual ver ataques contra el sector sanitario, las telecomunicaciones, las finanzas, los MSP, las plataformas SaaS y los proveedores de la cadena de suministro.
«APT» se utiliza a menudo como etiqueta dramática para cualquier infracción grave, incluso si fue de corta duración u oportunista. Así pues, analicemos el nombre para ver qué es lo que realmente se considera una APT.
Avanzado
Advanced necesariamente piratería informática al nivel de Hollywood, pero sí significa que los atacantes son deliberados y están bien preparados. A menudo combinan varias técnicas: compran o descubren fallos de software nuevos y desconocidos (las llamadas vulnerabilidades de día cero), aprovechan errores antiguos sin parchear y crean correos electrónicos de phishing muy convincentes que parecen mensajes auténticos de compañeros de trabajo o socios. También pueden utilizar herramientas de administración legítimas que ya están presentes en la red, lo que hace que su actividad sea más difícil de detectar, ya que parece un trabajo informático normal, lasllamadas LOLbins(Living Off the Land Binaries).
En la práctica, «avanzado» no se refiere tanto al uso de la herramienta más sofisticada, sino más bien a la elección de la combinación adecuada de herramientas y tácticas para una víctima específica. Un grupo APT puede pasar semanas estudiando al personal, los sistemas y los proveedores de un objetivo y, a continuación, analizar esos datos con la ayuda de una IA. De ese modo, cuando finalmente actúan, tienen más posibilidades de que su plan funcione a la primera.
Persistente
La persistencia es lo que hace que las APT sean tan peligrosas. A estos atacantes no les interesa realizar un ataque rápido y fugaz. Quieren entrar, permanecer dentro y seguir volviendo mientras el acceso les resulte útil. Si los defensores descubren su actividad y los expulsan de un sistema, pueden utilizar otra puerta trasera que hayan preparado anteriormente, o simplemente se reagruparán y buscarán una nueva forma de entrar.
Ser persistentes también significa que se mueven lenta y silenciosamente. Los atacantes pueden pasar meses explorando la red, creando múltiples puntos de entrada ocultos y comprobando regularmente qué nuevos datos han aparecido que merecen ser robados. Desde el punto de vista del defensor, esto convierte el incidente de un evento único en una campaña continua. Hay que asumir que los atacantes lo volverán a intentar, incluso después de creer que se les ha eliminado.
Amenaza
La palabra «amenaza» no implica que solo haya un tipo demalwareinvolucrado. Una APT suele incluir varios tipos de ataques. Se refiere a toda la operación: las personas, sus herramientas y su infraestructura, no solo un elemento de malware.
Un APT puede implicar phishing, explotación de vulnerabilidades, instalación de herramientas de acceso remoto y robo o uso indebido de contraseñas. En conjunto, estas actividades constituyen una amenaza para los sistemas y los datos de la organización.
Detrás de la amenaza hay un equipo con un objetivo (por ejemplo, robar diseños confidenciales, espiar comunicaciones o prepararse para futuras perturbaciones) y con la paciencia y los recursos necesarios para seguir presionando hasta alcanzar ese objetivo.
Cómo mantenerse seguro
Para evitar ser víctima de un APT, asuma que podría enfrentarse a un adversario formidable.
- Ten cuidado con los correos electrónicos, mensajes y archivos adjuntos inesperados, no solo en el trabajo.
- Utilice claves de acceso siempre que sea posible y contraseñas seguras y únicas cuando no lo sea, así como un gestor de contraseñas.
- Active la autenticación multifactorial (MFA) siempre que sea posible.
- Mantenga actualizados su software y hardware, especialmente los equipos de red de acceso público.
- Utilice una solución antimalware actualizada y en tiempo real, preferiblemente con un componente de protección web.
- Tome nota de cualquier actividad fuera de lo común y reporte, ya que incluso los detalles más pequeños pueden resultar importantes más adelante.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
