Introducción a las APT o Amenazas Persistentes Avanzadas. ¿Cómo funcionan y cómo protegerse?

Los ciberataques en México, y en el mundo, aumentan en fuerza y sofisticación. Es una realidad que cualquier especialista en ciberseguridad podrá verificar. Sin embargo, es el ámbito empresarial el que se encuentra más vulnerable. La última tendencia en ataques dirigidos son las APT, o Amenazas Persistentes Avanzadas. Pero, ¿Qué son? ¿Qué estrategias pueden tomar las empresas e industrias para protegerse? Lo veremos en este artículo. 

¿Qué es APT o Amenazas Persistentes Avanzadas?

APT son las siglas correspondientes a advanced persistent threat. Conocidas en español como Amenazas Persistentes Avanzadas. 

Pero, ¿Qué son? Se trata de un conjunto de técnicas avanzadas y acciones sigilosas que penetran un sistema informático, generalmente pertenecientes a empresas y agencias gubernamentales. Se caracterizan por implementar la inteligencia y ser altamente organizadas, contando con los mejores especialistas para cada tarea. Estos ataques APT pueden estar operativos durante meses sin ser detectados por el software de ciberseguridad, mientras colaboran en la filtración de datos e información confidencial. 

Es importante destacar que las APT no son una herramienta específica, si no una planificación de inteligencia enfocada a los usuarios. Este ataque se basa en la planificación y la explotación de debilidades. Y muchas veces, no precisa de recursos o técnicas sofisticadas.  

Características de las amenazas APT

Veamos algunas de las características de las APT para aprender a identificarlas. 

Posee objetivos definidos

A diferencia de los tradicionales malware, las APT tienen muy en claro cuál es su objetivo y cómo llegar a ellos. Es poco probable que gasten recursos y tiempo en viralizar un ataque cuando este no es su propósito. 

Como adelantamos anteriormente, el objetivo de estos grupos suelen ser empresas o agencias gubernamentales. Pero, ¿Qué buscan en estos? Tratan de dar con activos digitales. Como información sobre prototipos o documentos confidenciales, que les aseguren una ventaja competitiva o una alta prima de dinero. 

Realizados por grupos APT altamente organizados

Los miembros de un grupo APT son profesionales en materia de hacking. Inclusive pueden tener altos cargos en organismos públicos o empresas prestigiosas. Lo que les asegura un acceso directo e ilimitado a recursos sofisticados para respaldar su ataque.  

Suelen durar en el tiempo 

Una empresa u organismo puede ser víctima de una ataque APT durante años sin saberlo. Esto es gracias a la persistencia que posee el grupo para acceder al sistema, y la libertad que le permite su invisibilidad para evolucionar en sus métodos. 

Utilizan técnicas evasivas

¿Cómo logran mantenerse invisibles ante cualquier método o técnica de seguridad? Lo logran gracias a herramientas administradoras del tráfico de entrada y salida de la red. De esta forma, pueden moverse a lo largo y ancho del sistema sin saltar ninguna alarma por volúmenes altos de tráfico. 

¿Por qué son tan peligrosas las APT?

Ya hemos mencionado que son técnicas sigilosas y que son difíciles de detectar. También mencionamos que estas amenazas APT afectan a objetivos de alto valor. Lo que puede provocar pérdidas monetarias que asciendan a montos de millones de dólares. 

Pero, conviene advertir sobre un peligro aún peor. Luego de permanecer tanto tiempo en el sistema, los grupos APT lo conocen completamente. Por lo que erradicar la amenaza y reforzar las brechas de seguridad que se abrieron no suelen ser suficientes. Los cibercriminales conocen las vulnerabilidades de la arquitectura de seguridad IT de la organización. Y, seguramente, han dejado algunas puertas traseras abiertas para reingresar. 

Etapas de una Amenaza Persistente Avanzada (APT)

El éxito de estas amenazas APT radica en su alto nivel de organización y planificación. Veamos la estructura de ataque que poseen. 

El Factor Humano en las APT. ¿Por qué este ataque se orienta a los empleados de las empresas?

Las amenazas APT están enfocadas en afectar a los usuarios y no al sistema informático en sí. Por eso, utilizan técnicas basadas en la psicología para explotar la información de la víctima y lograr el acceso al sistema. 

Ese fue el caso de los empleados del mismo Google. Mediante información que compartieron en redes sociales, un grupo APT logró crear perfiles de personas allegadas a los empleados por los cuales enviaron links con exploits. Estos fueron abiertos por los miembros del equipo de Google, confiando en la seguridad de la fuente. Se creó, así,  la apertura de una brecha de seguridad en el sistema que les dió acceso a los propios servidores corporativos de la multinacional. 

1 | Reconocimiento de los sistemas

Para el primer paso, los grupos APT buscarán información de forma exhaustiva. Tanto de la organización en sí, como de los empleados claves y los aspectos técnicos del sistema. Esto les ayudará a identificar las vías de acceso más rápidas al sistema, con lo que crearán una planificación de ataque. Normalmente contienen varios vectores, que les permiten adaptar el plan, a medida que este se desarrolla.  

Para ello utilizarán herramientas como:

• Ingeniería social

• OSINT Framework

2 | Infiltración de la amenaza APT en el sistema

Con el plan en marcha, se lanzará el primer exploit que abrirá la puerta del sistema. Pueden realizarse mediante:

• Intrusión Directa mediante técnicas de ingeniería social. Por ejemplo mediante el envío de archivos adjuntos en correos electrónicos.
• Infiltración indirecta mediante la explotación de vulnerabilidades de sitios de confianza de la víctima.

En caso de realizarse el exploit mediante la última opción, utilizarán técnicas de footprinting para cubrir sus huellas. En nuestro artículo sobre Nmap explicamos esta técnica. 

3 | Toma de posesión del control absoluto del sistema

Para el tercer paso de una APT, los atacantes procurarán abrir una puerta trasera en el sistema con el cual puedan entrar sin ser detectados cada vez que sea necesario. 

Para ello utilizarán herramientas de acceso remoto (RAT) como TOR, entre otros. Estos les permitirán una conexión con los sistemas afectados, a la par que cubrirán sus huellas para no ser detectados. 

4 | Obtención de Credenciales

Una vez que se obtuvo la comunicación mediante una conexión de entorno de red anónimo, los atacantes necesitarán las credenciales de acceso privilegiado. Las credenciales les permitirán acceder a los principales centros de información. Con este objetivo en mente, utilizarán métodos como:

• Ataques de Diccionario
• Ciberataque de Fuerza Bruta
• Secuestro de Cuentas de Usuario
• Keylogger

5 | Instalación de Herramientas

El quinto paso es que suele tardar más tiempo. Con el acceso al sistema, el atacante deberá recopilar la mayor cantidad posible de información. Para ello realizará un inventario de todos los activos disponibles y sus datos pertinentes. Se suelen utilizar herramientas profesionales de seguridad TI lo que les asegura ser irrastreables. 

6 | Extracción de información confidencial

Finalmente estamos ante el último paso. Ahora el atacante podrá extraer los datos, pero necesitará planificar con cuidado este paso. Ya que cualquier error se traducirá en un tráfico de red masivo, y un rastreo de la dirección IP a donde se envía la información.

Es común que los grupos APT utilicen botnet que le permiten dispersar la información en múltiples saltos y direcciones antes de llegar a destino. 

¿Cómo detectar las amenazas APT?

• Actividad inusual en las cuentas de administradores. 
• Concentración de ataques de troyanos en algún equipo. 
• Aumento creciente de la actividad en las bases de datos o cualquier operación que implique el tratamiento de datos.  
• Detección de archivos sospechosos. Por ejemplo, paquetes de datos agrupados para facilitar su transferencia. 

¿Cómo proteger las infraestructuras IT de mi empresa ante una APT?

Ejemplos de APT: Los casos más conocidos

Operación Aurora

Durante el 2010, varias organizaciones de alto rango como Google, Adobe o Juniper recibieron el ataque de la Operación Aurora. Se cree que el grupo atacante provenía de China y que el objetivo era recopilar datos de propiedad intelectual.

En un principio se creyó que la brecha de seguridad se produjo por un archivo PDF. Pero lo cierto es que se produjo por una vulnerabilidad zero day de una versión no actualizada de Internet Explorer. 

Stuxnet

Stuxnet era un gusano informático que reprogramaba y replicaba sistemas SCADA. Muy comunes en el área nuclear, para el control y monitorización de procesos. Se llevó a cabo durante el 2010 y afectó principalmente a Irán, donde llegó a afectar a más de 60 mil equipos de empresas industriales. Basaba su funcionamiento en las vulnerabilidades de Windows pero inició la infestación mediante memorias USB infectadas.

Conclusión

En este artículos hemos visto que son las Amenazas Persistentes Avanzadas (APT) y hemos aprendido cómo funcionan y cómo detectarlas. Se trata de una problemática que ha crecido en importancia y en complejidad. Y qué puede significar un compromiso crítico de la seguridad de los datos y sistemas. Una parte fundamental para evitar estas incidencias, es la capacitación empresarial sobre ciberseguridad mientras que otra estrategia fundamente es la actualización de los antivirus y el sistema operativo.