Los ciberataques parecen estar en aumento, en los últimos tiempos no es raro oír que tal empresa o administración o servicio público han sufrido alguna clase de ataque informático; desde ransomware hasta ataques de denegación de servicio, las ciberamenazas que pueblan la Red son muchas. En este artículo nos vamos a centrar en un tipo de ciberataque que funciona a largo plazo, nos referimos a la amenaza persistente avanzada (APT).
En este artículo hablamos de:
¿Qué es una amenaza persistente avanzada (APT)?
Una amenaza persistente avanzada o APT (por sus siglas en inglés, advanced persistent threat) es un tipo de ciberataque a gran escala, que tiene como objetivo el robo de datos a empresas u organismos públicos o llevar a cabo el espionaje de sus sistemas.
A diferencia de otros tipos de ciberataques que consisten en entrar rápido y salir rápido, la APT es un ataque a largo plazo. Además, es un ataque complejo, que emplea diferentes tipos de recursos y frentes para llevarse a cabo.
El National Institute of Standards and Technology (NIST) nos ofrece esta definición de amenaza avanzada persistente:
«(…) es un adversario que posee niveles sofisticados de experiencia e importantes recursos que le permiten crear oportunidades para lograr sus objetivos utilizando múltiples vectores de ataque (cibernéticos, físicos y engaños). Estos objetivos, normalmente, incluyen establecer y extender los puntos de apoyo dentro de la infraestructura de IT de las organizaciones atacadas con el propósito de extraer información, perjudicar o dificultar los aspectos críticos de un programa u organización; posicionarse para llevar a cabo estos objetivos en el futuro. Las amenazas persistentes avanzadas buscan sus objetivos repetidamente durante un periodo de tiempo prolongado, se adaptan a los esfuerzos de los defensores para resistirlo y se proponen mantener el nivel de interacción necesaria para ejecutar sus objetivos».
Así que una APT es un ciberataque dirigido a una entidad en concreto, que emplea diferentes recursos, como malware, ataques de ingeniería social o vulnerabilidades desconocidas, incluso recursos diseñados específicamente para atacar el objetivo seleccionado, entre otros con el fin de permanecer dentro de los sistemas del objetivo todo el tiempo que estime necesarios para alcanzar sus propósitos. Como decíamos, los recursos empleados están diseñados para llevar un ataque a largo plazo, capaces de burlar las medidas de ciberseguridad del objetivo o lograr que el atacante y las acciones que lleve a cabo pasen desapercibidas.
Objetivos habituales de este ciberataque
Dada la complejidad y sofisticación que se requiere para llevar a cabo un ataque de amenaza persistente avanzada, los objetivos de estos ciberdelincuentes suelen ser grandes empresas o incluso gobiernos. Es decir, las APT buscan introducirse en los sistemas de objetivos de alto valor y quedarse dentro de ellos el tiempo necesario para conseguir su meta final, sea el robo de datos e información, el robo de secretos o conocer todos los puntos débiles del sistema para dañarlo en el futuro o llevar a cabo sabotajes de industrias o servicios estratégicos.
Que los objetivos principales sean grandes corporaciones o instituciones públicas, no quiere decir que empresas más pequeñas no deban estar atentas a este tipo de amenaza cibernética, porque en muchas ocasiones se las suele escoger como punto de entrada a las grandes compañías de las que pueden ser subcontratas o tener algún tipo de relación comercial.
¿Cómo funciona la amenaza persistente avanzada?
La amenaza persistente avanzada sigue una serie de fases estructuradas que determinan el progreso del ataque en el tiempo. Aunque cada objetivo requerirá diferentes tipos de herramientas e instrumentos para llevar a cabo el ataque de APT, lo cierto es que todos ellos comparten estas fases.
Punto de entrada: el factor humano
Aunque hemos dicho que se emplean recursos en muchos casos sofisticados, es cierto que el inicio del ataque no tiene por qué recurrir a un ataque complejo, puesto que muchas veces el vector de entrada de las APT se encuentra en el usuario, que suele ser el eslabón débil de toda la cadena de seguridad informática en una organización.
Fases de una APT
En cualquier caso, el ciclo de vida de una APT se puede dividir en las siguientes fases:
Identificación y reconocimiento
En la primera fase, el o los atacantes se dedicarán a observar a su objetivo para recabar toda la información posible respecto al mismo, para lo que recurrirán a todo tipo de fuentes que tengan a su disposición.
Especialmente, se centrarán en los equipos e infraestructura informática del objetivo, sus características tecnológicas y de ciberseguridad, así como los tipos de protocolos que emplea. También procurarán identificar a usuarios clave, de forma no muy diferente a cómo se lleva a cabo un ataque de spear phishing (de hecho, este es uno de los métodos empleados para lograr acceso) e incluso a otras compañías o entidades con las que se colabore.
Con toda la información que consigan reunir (y procurarán ser exhaustivos, una APT es un ataque en el que se invierten muchos recursos), se diseñará una herramienta de software que permita poder acceder a la red o sistemas del objetivo, explotando para ello alguna vulnerabilidad detectada.
Obtener acceso
En la segunda fase, se despliega la herramienta diseñada para vulnerar el sistema y ganar acceso a la red interna del objetivo. Es habitual infectar algún dispositivo de la red objetivo con algún tipo de malware que permite seguir ejecutando las siguientes fases del ataque.
Crear un punto de apoyo
Entre las funciones que cumple el malware con el que se ha infectado la red en el punto anterior, se encuentra la de crear puertas traseras (o backdoors) y «caminos» ocultos que permitan a los atacantes moverse dentro de la red sin ser detectados y seguir teniendo acceso a ella a lo largo del tiempo.
En esta fase también se suele recurrir a técnicas de camuflaje que ayuden a ocultar la presencia y acciones del atacante en el sistema. Es decir, que uno de los peligros de la APT es precisamente esa capacidad de pasar desapercibidos de los atacantes una vez han conseguido entrar en la red interna.
Profundizar el acceso
El siguiente paso de los atacantes cuando ya han ganado acceso, es profundizar dicho acceso, es decir, desplegar otras herramientas, como spyware, que les permitan descifrar y hacerse con contraseñas de usuarios, encontrar dónde se almacena la información confidencial que están buscando, así como seguir aumentando el control que tienen sobre el sistema.
En esta fase sobre todo estarán interesados en conseguir contraseñas de administradores del sistema o personal con un alto nivel de acceso, como pueden ser directivos o mandos medios y altos.
Movimiento lateral
Conseguido el acceso general al sistema, pasarán a moverse a través de él con las contraseñas y privilegios que hayan conseguido descifrar; es lo que se conoce como movimiento lateral, puesto que los atacantes podrán recorrer el sistema y buscar el acceso a todos sus rincones.
Robar información
Es aquí donde consiguen el acceso a toda la red interna y cuando pueden empezar a robar información o llevar a cabo otros objetivos que tengan planeados. Se han hecho con las credenciales y el control necesario del sistema para poder encontrar la información o datos que anden buscando.
Quedarse y aprender
Finalmente, los atacantes, afianzan su presencia en el sistema, se mantienen ocultos y a través de la observación, siguen aprendiendo sobre su funcionamiento, sus medidas de seguridad y sus vulnerabilidades, para poder seguir explotándolas.
Alcanzado este punto, los atacantes pueden mantener su presencia si no han sido descubiertos indefinidamente en el sistema o, una vez logrado el objetivo, irse, dejando, eso sí, las puertas traseras abiertas para poder acceder en el futuro al sistema, si así lo desean.
Y es que una de las consecuencias graves para la ciberseguridad de la APT es que, incluso si se descubre el ataque y se elimina la amenaza inmediata, es muy posible que no se encuentren todas esas puertas traseras, lo que representa una vulnerabilidad muy importante para la entidad objetivo.
Ejemplos de amenaza persistente avanzada
Un ataque de estas características es la pesadilla de cualquier sistema de ciberseguridad, pudiendo ir mucho más allá de robar en el trabajo, hacerse con datos o información confidencial, como muestran algunos de los ejemplos de amenaza persistente avanzada que vamos a citar a continuación:
- Careto es un malware detrás del ataque a oficinas diplomáticas y embajadas, muy sofisticado, que contaba con un programa de puerta trasera y la capacidad de interceptar eventos del sistema, operaciones de archivos y realizar acciones de vigilancia. Además, era muy sigiloso, lo que lo hacía difícil de detectar. Su vector de entrada resultó ser mayoritariamente un enlace de spear phishing que conducía a sitios web fraudulentos que imitaban webs de periódicos.
- El malware conocido como Flame o Flamer, descubierto en 2012 y que afectaba a ordenadores con Windows, se usó para llevar a cabo acciones de ciberespionaje en Oriente Medio. Se propagaba por los sistemas a través de LAN y memorias USB y se empleaba, entre otras cosas, para grabar audio, vídeo, pulsaciones de teclado y tráfico de red, grabar conversaciones de Skype y controlar el Bluetooth. Entre sus víctimas había organizaciones gubernamentales, centros educativos y usuarios particulares. Los países más afectados fueron Irán, Egipto, Israel, Siria, Líbano, Sudán y Arabia Saudí.
- Detectado en 2003 y en activo hasta 2013, el malware Skypot APT aprovechaba un exploit en Adobe Reader y Acrobat para infectar a sus objetivos, que fueron principalmente agencias gubernamentales, contratistas de defensa y compañías de telecomunicaciones estadounidenses y británicas. Para poder infiltrarse, se recurrió a ataques de phishing a través de correos electrónicos que contenían enlaces y archivos adjuntos maliciosos para llevar a cabo ataques de día cero.
Señales para detectar una posible APT
Aunque las APT se basan en el sigilo y en pasar desapercibidas, es posible detectar algunas señales que indican que una entidad puede estar siendo víctima de este tipo de ciberataque:
- Inicios de sesión y actividad inusual en las cuentas de usuario, especialmente si ocurren fuera del horario laboral.
- Aumento en la actividad de la base de datos, por ejemplo, movimientos masivos de datos, creación de grandes lotes de datos, traslados a equipos externos, etc.
- Presencia de puertas traseras o backdoors.
- Se encuentran datos agrupados y listos para exportarse en lugares donde no deberían estar o archivos comprimidos con extensiones que no se usan habitualmente.
- Se detectan correos fraudulentos para llevar a cabo ataques de spear phishing.
¿Cómo protegernos ante una amenaza persistente avanzada?
La amenaza persistente avanzada puede hacer mucho daño durante un largo periodo de tiempo y aunque se basa en herramientas sofisticadas y, en muchas ocasiones hechas «a medida» del objetivo que se pretende atacar, eso no quiere decir que no podamos protegernos ante ella.
A continuación dejamos algunos consejos para reforzar la seguridad de vuestra organización ante este tipo de ataque.
Concienciación de los empleados sobre este tipo de amenaza
Como dijimos, el eslabón más débil en cualquier sistema de ciberseguridad es el usuario, por lo que es importante formar y concienciar a los empleados sobre las amenazas persistentes avanzadas. Se debe explicar qué son y cuáles son sus vectores de entrada más habituales, por ejemplo, explicando qué es el phishing y su variante más dirigida, el spear phishing, y cómo detectarlos, para evitar caer en ellos y abrir la puerta de entrada a la red interna de la compañía.
Mantener actualizados los equipos y programas
Muchas APT explotan vulnerabilidades presentes en hardwares y softwares, razón por la que es fundamental mantener equipos y programas siempre actualizados a su última versión, puesto que si se detectan vulnerabilidades en ellos, estas se parchean mediante actualizaciones.
Un software o un hardware desactualizado es una puerta de entrada para el malware.
Esto también implica llevar a cabo análisis de riesgos en los propios sistemas informáticos de la entidad y su red interna, para evaluar la existencia de puntos débiles y corregirlos.
Implantar un sistema de autenticación multifactor
Puesto que uno de los primeros pasos de una APT es hacerse con las credenciales de algún empleado, implantar un sistema de autenticación multifactor puede ayudar a minimizar este riesgo notablemente. Aunque el atacante se haga con la contraseña, aún tendrá que conseguir dos factores más de autenticación que, idealmente, no estarán guardados en ninguna parte del propio sistema.
En ese sentido, y volviendo al primer consejo, es importante que los empleados o miembros de la organización no faciliten de forma inconsciente información que permita averiguar estas claves o las guarden en sitios accesibles.
Además, también es recomendable limitar privilegios de administrador solo a los usuarios imprescindibles.
Monitorización
Tener implantados sistemas de monitorización de eventos de seguridad, que vigilen la red interna y la escaneen en busca de posibles amenazas o intrusos y que alerten de movimientos o accesos no autorizados a archivos o bases de datos.
Contar con un plan de ciberseguridad
A través de un plan de ciberseguridad las entidades podrán establecer protocolos de seguridad y actuación en caso de detención de ataques, a la vez que se implantan medidas de seguridad de acuerdo a evaluaciones y análisis de riesgos realizados con periodicidad sobre los sistemas y la red interna.
Este plan también debe contemplar soluciones y medidas de seguridad flexibles, capaces de adaptarse a cualquier tipo de ataque, porque las APT no utilizan medios convencionales y conocidos normalmente, sino que emplean herramientas desarrolladas en torno al objetivo seleccionado y sus posibles vulnerabilidades.
Además, un plan de ciberseguridad contará con un apartado destinado a la formación de los empleados en esta materia.
Si la entidad no cuenta con su propio departamento IT, siempre se puede recurrir a compañías externas especializadas en ciberseguridad para diseñar un plan adecuado a las necesidades y sistemas de la entidad.