SUSCRÍBETE
Miriam Barboza
Miriam Barboza

Ingeniera en Computación por la Universidad Autónoma Metropolitana. Maestra en Ingeniería en Seguridad y Tecnologías de la Información por el Instituto Politécnico Nacional. CISSP. CEH. Jefe de inteligencia de ciberseguridad en Banregio

El término Amenaza Persistente Avanzada o APT por sus siglas en inglés fue inicialmente usado en 2006 por las Fuerzas Aéreas de Estados Unidos (USAF) para poder discutir sobre las características de un ataque en presencia de civiles, sin revelar la identidad del atacante.
 
Desde entonces el término ha evolucionado y suele referirse a adversarios que poseen conocimientos y herramientas sofisticadas que les permiten crear múltiples oportunidades para conseguir su objetivo usando múltiples vectores de ataque. El principal objetivo de este tipo de actores de amenaza suele ser la filtración de información o causar algún daño a la organización, compañía, industria o gobierno objetivo.
 
Cada una de las palabras que componen este término (Amenaza Persistente Avanzada), describe las características de este tipo de actores de amenaza.
 

  • Amenaza: suele referirse a grupos bien organizados los cuales tienen un propósito bien definido y están motivados por éste. Suelen ser patrocinados por el crimen organizado o incluso por gobiernos de países que por razones políticas buscan tener alguna ventaja ante países considerados como una amenaza.
  • Persistente: persigue su objetivo de manera constante aun cuando éste le tome meses o incluso años. Tienen la capacidad de adaptarse a nuevas medidas de defensa implementadas por sus víctimas. Prefieren actuar de manera lenta y silenciosa.
  • Avanzada: El atacante está familiarizado con las herramientas y técnicas usadas en la intrusión. También son capaces de desarrollar sus propias herramientas para lograr su objetivo.

 
Existen varios modelos para describir el ciclo de vida de un ataque ejecutado por una APT; sin embargo, uno de los modelos más utilizado es el referido por la empresa Mandiant (ahora Fireeye) en su descripción de la APT1 en el año 2013. En este ciclo de vida se definen 8 etapas, las cuales se detallan a continuación.
 

  • Reconocimiento inicial. Realizan una investigación minuciosa sobre su objetivo para lograr un entendimiento de la arquitectura de red, tecnología utilizada y puntos vulnerables. También se enfocan en entender la cultura de la empresa e identificar posibles víctimas para realizar el compromiso inicial; por ejemplo, realizan búsquedas en redes sociales para identificar al personal de interés. 
  • Compromiso inicial. Describe los métodos utilizados para realizar la primera intrusión. Algunos de los métodos de compromiso inicial utilizados por las APTs son:
  1. Spear phishing (tipo de phishing dirigido a personal clave en una empresa u organización)
  2. Ataques tipo waterhole donde los atacantes colocan código malicioso en sitios web que suelen ser visitados por personal de la organización víctima.
  3. Búsqueda de servidores web expuestos a internet con vulnerabilidades que permitan la ejecución de webshells para ganar acceso a la red interna de la organización víctima.
  • Mecanismos de comando y control. Consiste en asegurar el control de uno o más equipos dentro de la red interna para poder establecer comunicación con los equipos de las víctimas. Para lograr este objetivo suelen hacer uso de puertas traseras previamente instaladas en los sistemas. Estas puertas traseras establecen comunicación con el atacante y suelen utilizar métodos avanzados de codificación y cifrado de la información transmitida para evitar ser detectados.
  • Escalada de privilegios. Permite a los atacantes ganar acceso a más recursos dentro de la organización; la mayoría de las veces consiste en obtener credenciales de acceso a otros recursos dentro de la red de la organización. Como regla general los atacantes prefieren obtener cuentas con accesos privilegiados.
  • Reconocimiento interno. El atacante recopila información sobre la red interna de la víctima para identificar información de interés como documentos, correos, credenciales de acceso y bases de datos.
  • Movimiento lateral. En la mayoría de los casos los sistemas que se comprometen de manera inicial no son el objetivo final de estos grupos; por lo cual deben de realizar movimientos laterales dentro de la red interna hasta conseguir su objetivo.
  • Mecanismos de persistencia. En esta etapa los atacantes ejecutan acciones para asegurar el control externo de los sistemas dentro de la red de la víctima a los cuales han ganado acceso. Para lograr este objetivo instalan puertas traseras diferentes a las instaladas en el compromiso inicial, utilizan diferentes sistemas de comando y control, hacen usos credenciales y certificados válidos para realizar conexiones remotas haciéndose pasar por usuarios válidos dentro de la organización
  • Filtración de datos. Este suele ser el objetivo principal de este tipo de amenazas, por lo cual una vez que han conseguido la información de interés suelen utilizar métodos de compresión antes de realizar la transferencia de información hacia sus centros de comando y control.

Las características antes mencionadas de las Amenazas Persistentes Avanzadas las convierten en un tipo de amenazas mucho más peligrosas que un “simple” malware o ataque cibernético común por lo cual las medidas de protección que se deben adoptar ante este tipo de amenazas deben considerar por lo menos los siguientes puntos:

  •  Considerar un enfoque de defensa en profundidad o en capas. Este enfoque permite que, aunque el atacante logre vulnerar algún control de seguridad, existen más capas o controles que el atacante debe vulnerar antes de lograr su objetivo.
  • Inspección de tráfico entrante y saliente. En especial se debe poner atención en el tráfico saliente ya que debemos recordar que el principal objetivo de este tipo de ataques es la filtración de información.
  • Concientización y capacitación continua al personal para que pueda identificar y prevenir ataques de ingeniería social. Es bien conocido que el factor humano suele ser el eslabón más débil en la cadena, por lo cual este punto debe considerarse como primordial en las medidas de prevención ante este tipo de ataques.
  • Estrategia de ciberseguridad que pueda permearse en todas las capas de la organización y contemple fases de preparación, identificación, contención, erradicación y manejo de incidentes de ciberseguridad.

Las Amenazas Persistentes Avanzadas suelen ser cada vez más comunes y los atacantes suelen planear por años este tipo de ataques dirigidos, por lo cual es imperativo que las empresas sobre todas aquellas de misión crítica conozcan este tipo de amenazas y sobre todo estén preparados para saber cómo actuar en caso de identificar ser víctimas de este tipo de ataques.

Protégete de estas amenazas con las soluciones de Sophos.

Lee también:


Visitas: 177

ARTICULOS RELACIONADOS

Seguridad en el Home Office

El trabajo remoto tiene grandes beneficios, pero también tiene riesgos en la ciberseguridad.

beneficios del teletrabajo cibersecurity trabajo remoto Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 57

Cómo gestionar la ciberseguridad con la norma ISO/IEC 27000

Esta norma es aplicable a todo tipo de riesgo, como los financieros.

idric make it simple iso 27000 it security Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 83

Alerta Campaña de fraude a inversores haciéndose pasar por la CNMV

Alerta sobre una campaña de fraude a inversores haciéndose pasar por la CNMV.

ciberataques cibersecurity phishing Seguir leyendo keyboard_arrow_right
Mar 2021 Visitas: 101

COMENTARIOS

SUSCRÍBETE

help_outline