Un grupo APT (Amenaza Persistente Avanzada, por sus siglas en inglés Advanced Persistent Threat) es un grupo de ciberdelincuencia que desarrolla una amenaza muy sofisticada, persistente, con objetivos concretos y, además, con una gran cantidad de recursos tanto informáticos como económicos. Las APT se caracterizan por ser amenazas reales sofisticadas, sin embargo, no en todos los casos son complejas técnicamente. Estas amenazas se realizan con premeditación y persistencia para ser completamente eficaces contra los sistemas objetivos. Las APT normalmente realizan ataques a largo plazo.
Los objetivos de los grupos APT suelen tratarse de grandes empresas o gobiernos debido a la complejidad de los ataques realizados. La finalidad del grupo APT durante un ataque es introducirse en los sistemas de los objetivos con gran valor y mantenerse allí el tiempo necesario hasta obtener su objetivo final. Este objetivo puede ser el robo de datos e información, el robo de secretos, conocer los puntos débiles del sistema para poder dañarlo en un futuro o realizar sabotajes a servicios estratégicos. Por otro lado, las empresas más pequeñas deben estar atentas ya que en muchas ocasiones los grupos APT también las establecen como objetivo para introducirse en otra empresa o conocer información sensible.
Las APT son difíciles de encontrar, incluso los ataques que realizan son difíciles de asociar a cada grupo APT. Existen varios grupos APT asociados a distintos países como pueden ser APT1 asociado a China, APT29 asociado a Rusia o APT38 asociado a Corea del Norte. Además, cada grupo APT tiene unos objetivos específicos que pueden ser consultados. En el caso de APT29 tiene como objetivo redes del gobierno en Europa, países miembros de la OTAN e institutos de investigación.
Cada grupo APT realiza diferentes técnicas o tácticas que son asociadas a dichos grupos y que pueden consultarse en la web de Mitre Att&ck. Estas técnicas son las utilizadas (y conocidas) por cada grupo cuando han realizado un ataque y además se les ha podido asociar a dicho ataque.
Para detectar si una APT está atacando a una empresa u organización, dicha empresa debe ser capaz de monitorizar las redes y los sistemas y observar si ocurren comportamientos anormales como inicios de sesión y actividad inusual en las cuentas de algunos usuarios, movimiento masivo de datos, etc.
En el caso de que se quiera prevenir de un ataque se debe concienciar a las personas que forman parte de la plantilla de la organización objetivo. El factor humano es el vector por el que más fácilmente se entra a los sistemas. Se debe proporcionar formación en buenas prácticas de ciberseguridad a todo el personal. Por otro lado, se deben mantener actualizados todos los equipos y programas de la organización ya que en muchas ocasiones se explotan las vulnerabilidades de los programas que no están actualizados.
Otros sistemas utilizados y fáciles de implantar en una empresa son los sistemas de autenticación multifactor. Estos sistemas suelen incrementar de manera exponencial la seguridad, además, existen muchos sistemas multifactor en los que se puede incluir autenticación biométrica.
Se recomienda para una correcta detección y prevención contra APT tener implantados sistemas de monitorización de eventos de seguridad, vigilando la red, además, es muy importante contar con un plan de ciberseguridad que ayude a establecer protocolos de seguridad y actuación en caso de que se detecten ataques.
