Pasar al contenido principal

Amenaza persistente avanzada (APT)

Las amenazas persistentes avanzadas (Advanced Persistent Threato APT, por sus siglas en inglés) son aquellas que se caracterizan por realizarse con sigilo y permanecer activas y ocultas de forma continuada durante largos periodos de tiempo. Su objetivo es infiltrarse en una red para espiar, obtener datos o modificar recursos de una organización. A menudo están patrocinados por agencias gubernamentales u organismos dependientes de un Estado.

La amenaza persistente avanzada:

  • Dispone de recursos económicos y tecnológicos avanzados, normalmente ofrecidos por una organización gubernamental.
  • Persigue sus objetivos de manera reiterada durante un período de tiempo prolongado.
  • Se adapta a las acciones y medidas de protección y detección.

Los ataques APT normalmente se dirigen a empresas y entidades de sectores estratégicos que gestionan información de gran valor, como la defensa nacional, la industria manufacturera, la investigación científica o la industria financiera. Cada vez es más habitual que los atacantes comprometan a empresas que son parte de la cadena de suministros de su objetivo final, ya que en ocasiones sus medidas de protección son más laxas.

En un ciberataque simple, el atacante trata de entrar lo más rápidamente y conseguir su objetivo de infectar los sistemas o exfiltrar la información pertinente. En un ataque APT, sin embargo, el objetivo no es simplemente entrar, sino lograr un acceso continuo que permita conseguir un objetivo determinado. Para mantener ese acceso sin ser descubierto, el intruso se vale de diferentes técnicas, como utilizar herramientas propias, reescribir el código del software utilizado, o el empleo de sofisticadas técnicas de evasión. Las consecuencias de estas intrusiones suelen ser:

  • Robo de propiedad intelectual (por ejemplo, secretos comerciales o patentes).
  • Información confidencial comprometida (por ejemplo, datos privados de empleados y usuarios).
  • Sabotaje de infraestructuras organizativas críticas (por ejemplo, eliminación de bases de datos).
  • Adquisiciones totales de sitios corporativos (por ejemplo, un sitio web o una intranet).

Un ataque APT suele tener varias etapas:

  1. Acceso: Normalmente se consigue a través del compromiso de servicios expuestos en Internet, de la infección de algún sistema o del compromiso de cuentas de usuario legítimas. Esto puede conseguirse por ejemplo a través de la explotación de vulnerabilidades o a través de ingeniería social.
  2. Infiltración: Una vez conseguido el acceso, se implanta malware que permita el acceso remoto del atacante. En ocasiones se utilizan técnicas como la reescritura del código del software utilizado para ocultar el rastro.
  3. Mejora del acceso: Una vez realizada la infiltración, se intenta aumentar los privilegios dentro de los sistemas mediante distintas técnicas, como el crackeado de contraseñas.
  4. Desplazamiento lateral: Una vez se ha conseguido privilegios en los sistemas, pueden ser utilizados para intentar acceder a otros sistemas o zonas de la red.
  5. Permanecer, observar y recopilar información: Una vez se ha conseguido acceso a la red, y teniendo siempre en mente el objetivo de no ser detectados, los atacantes intentan comprender el funcionamiento de los sistemas y conseguir la información o el impacto deseado. La idea es mantener ese acceso de forma indefinida, o retirarse después de conseguir un objetivo específico.

Aunque, se trata de ataques sofisticados y muy difíciles de detectar, estas son algunas señales de que un sistema ha sido víctima de un ataque APT:

  • Inicios de sesión inesperados
  • Movimientos de datos sospechosos o no autorizados
  • Envío de correos electrónicos fraudulentos

En 2020 y 2021, la pandemia de COVID-19 favoreció el incremento de las campañas de grupos APT contra organizaciones vinculadas a la investigación científica o la gestión de la salud. Algunas acciones tuvieron como objetivo el robo de propiedad intelectual, información corporativa y datos sensibles.

Compartir

Compartir en Linkedin