Advanced Persistent Threat (APT), las grandes ligas del cibercrimen

¿Recuerda cuando el principal problema de seguridad eran los hackers? Los Advanced Persistent Threats (APT) los hacen quedar en pañales. Descubra qué sucede cuando los cibercriminales se asocian con mega organizaciones y amenazan Estados.

Puede que usted ya conozca las APT, Advanced Persistent Threats o amenazas persistentes avanzadas, sin saberlo. ¿Le suenan nombres como Lazarus Group o Stuxnet, el gusano informático que atacó el programa de energía nuclear iraní en 2010?

O tal vez no conozca el término, porque las APT, a diferencia de otros eventos y tendencias cibercriminales, no buscan la fama. Por el contrario, mientras un ransomware tiene como objetivo robar información y extorsionar a su propietario apenas tenga la oportunidad de hacerlo, las APT prefieren pasar desapercibidas.

Uno de los primeros y más notables ejemplos es Titan Rain, una serie de ataques dirigidos contra contratistas militares estadounidenses (Lockheed Martin, Redstone Arsenal y la NASA) entre 2003 y 2007, originados desde la provincia de Guangdong en China. Aunque el gobierno asiático negó cualquier vínculo, esto generó toda clase de sospechas que aún se mantienen.

Y es que los colectivos asociados a las amenazas persistentes avanzadas suelen relacionarse con grupos financiados o favorecidos por Estados como Corea del Norte, Rusia o China, por mencionar solo tres casos, dada la inmensa cantidad de recursos que usan. Las APT juegan a largo plazo y van por objetivos mucho más valiosos que el dinero: la información.

Métodos y modus operandi de las APT

El término APT se le adjudica al coronel estadounidense Greg Rattray en 2006, para referirse a una nueva serie de adversarios emergentes y más organizados que amenazaban las grandes entidades.

Y es que las APT no se refieren a un malware específico o a un tipo de ataque en especial; por el contrario, suelen incluir varias de estas herramientas en su arsenal. Algunas de las técnicas más usadas por estos grupos son:

• Spear phishing: utilizan correos electrónicos de phishing selectivo para engañar a los usuarios y hacerles revelar información personal o hacer clic en enlaces dañinos que pueden ejecutar código malicioso en sus sistemas.
• Ataques de día cero: estos colectivos suelen aprovechar vulnerabilidades de día cero en software o hardware que han sido descubiertas recientemente, pero que aún no han sido parcheadas.
• Ataques de infiltración: los APT utilizan el ataque watering hole, que consiste en infectar sitios web legítimos que son visitados por un grupo objetivo de usuarios. Cuando lo hacen, se infectan descargando malware.
• Ataques a la cadena de suministro: atacan la red de las organizaciones buscando los eslabones más débiles de toda su cadena de producción, comprometiendo el software o el hardware antes de que llegue al destinatario objetivo.

Además, emplean sofisticadas técnicas de evasión y control de servidores para mantenerse escondidos el mayor tiempo posible. La pregunta entonces es, ¿cómo combatirlo?

Algunos consejos

Aunque la ciberseguridad es un tema extenso y que debe ser abordado por expertos, algunas buenas prácticas por donde comenzar son:

• Fortalezca los mecanismos de detección: lo ideal es prevenir el ataque en lugar de remediarlo.
• Reduzca la exposición: limité los accesos y privilegios de dispositivos que pueda.
• Use buena tecnología: empiece por cortafuegos a nivel de red y de aplicación para impedir la entrada de tráfico no deseado.
• Establezca soluciones de seguridad en puntos de acceso.

En caso de presentarse un ataque, es importante mitigar el daño usando prácticas de gestión de derechos de datos (DRM) para controlar y hacer seguimiento del uso de los datos, además del uso de fuertes soluciones de encriptación, entre otras opciones.

Si quieres saber cómo desde Movistar Empresas te podemos ayudar a proteger la integridad de tus proyectos ingresa aquí.

Foto de macrovector en Freepik