Un ataque de amenaza persistente avanzada es un tipo de ciberataque en el que un atacante obtiene acceso no autorizado a su red. Procederá a invadirla y permanecerá sin ser detectado durante un periodo prolongado de tiempo. El objetivo de un ataque APT es robar datos valiosos, realizar un reconocimiento de amenazas e interrumpir la continuidad del negocio de su organización a lo largo del tiempo. Los ataques APT están bien diseñados y su ejecución lleva mucho tiempo.
Son lanzados por grupos de hackers expertos, actores estatales y organizaciones criminales organizadas. Se sabe que estos grupos crean una base sólida y luego se mueven lateralmente por diferentes partes de las redes para recopilar información. Los ataques APT son difíciles de defender porque permanecen bien ocultos y los adversarios pueden adaptar y evolucionar sus tácticas a medida que pasa el tiempo para poder eludir con éxito las crecientes defensas de la organización. 
¿Qué es una amenaza persistente avanzada (APT)?
Los ataques de amenazas persistentes avanzadas son ciberataques basados en el sigilo y son encubiertos. Permanecen ocultos hasta que el atacante ha recopilado suficiente información sobre su organización. La cantidad de tiempo que un adversario dedicará a investigar su infraestructura es alucinante, y usted ni siquiera se dará cuenta. Sabrá que un ataque APT ha tenido éxito cuando no lo vea venir.
Los ataques APT son peligrosos porque son persistentes, lo que significa que el atacante vigila al objetivo e intenta comprometerlo de cualquier forma posible. El atacante también explorará diferentes ángulos de explotación y verá si su objetivo puede comprometerse aún más. Esto es lo que diferencia a los ataques de amenazas persistentes avanzadas de los ciberataques habituales.
¿Cómo funcionan las APT?
Los ataques APT pueden ser por capas, lo que los hace tan únicos en comparación con otros tipos de ciberataques. El atacante adaptará sus tácticas para recopilar información sobre sus objetivos. Dedica mucho tiempo y gran detalle a su planificación. En otros ciberataques, el adversario puede limitarse a plantar algún malware genérico y distribuirlo ampliamente, con la esperanza de infectar tantos sistemas como sea posible. Pero un ataque APT puede dividirse en múltiples capas y etapas.
Pueden utilizar diferentes técnicas para entrar en su red y moverse lateralmente dentro de ella. El atacante podría utilizar una combinación de ingeniería social y el phishing para engañar a los usuarios y que revelen su información confidencial. Pueden aprovechar las vulnerabilidades del software o del hardware y obtener acceso a la red.
Los ataques APT son difíciles de combatir porque son adaptables, cambian constantemente y pueden adoptar ángulos diferentes a los esperados. No tienen patrones predecibles, por lo que las organizaciones deben implementar una estrategia de ciberseguridad sólida y versátil. Esa es la única forma de dominar cómo prevenir los ataques de amenazas persistentes avanzadas y defenderse de ellos.
¿Cómo detectar amenazas persistentes avanzadas?
Puede detectar y aprender a prevenir los ataques de amenazas persistentes avanzadas estando atento a las señales de advertencia. A continuación se indican algunos aspectos a los que hay que prestar atención:
- Los grandes picos en los volúmenes de tráfico o los flujos de datos inusuales desde dispositivos internos a redes externas y otras redes pueden ser una señal de que su comunicación se está viendo comprometida. Si se accede a sus cuentas de trabajo fuera del horario laboral habitual y observa inicios de sesión sospechosos, entonces ya sabe la respuesta.
- Las APT pueden funcionar ocultas en segundo plano y seguir recopilando información valiosa.
- Las infecciones recurrentes de malware que crean puertas traseras son otra señal. Permiten a los actores de las APT aprovechar la oportunidad en el futuro. Busque puertas traseras que propaguen malware, especialmente aquellas que siguen reapareciendo y se infiltran en las redes.
- Los paquetes repentinos de gigabytes de datos que aparecen en lugares donde no deberían estar son un claro indicador de un ataque APT inminente. Si los datos están comprimidos en formatos archivados que la organización no suele utilizar, es necesario empezar a investigar.
- Si algunos empleados de su organización están recibiendo correos electrónicos extraños, es posible que estén siendo objeto de un ataque. Los correos electrónicos de spear phishing son utilizados habitualmente por los atacantes APT y constituyen la fase inicial de intrusión, que es uno de los componentes más críticos de la cadena de ataque APT.
- Los atacantes también dedicarán mucho tiempo a investigar sus puntos finales y analizarlos. También pueden buscar vulnerabilidades en sus políticas de seguridad y tratar de explotar cualquier fallo o debilidad, como hacer que sus sistemas incumplan la normativa.
Prácticas recomendadas para prevenir y mitigar los ataques APT
El primer paso para aprender a detener un ataque de amenaza persistente avanzada es comprender qué categorías de datos son su objetivo y cómo se pueden clasificar. Un ataque APT robará secretamente información sobre su propiedad intelectual, provocará delitos financieros y robos, y tratará de destruir su organización.
Los hacktivistas también tratan de exponer su negocio y filtrar información. Hay tres etapas en un ataque de amenaza persistente avanzada: infiltración, escalada y movimiento lateral, y exfiltración. La exfiltración de datos es la última fase, en la que extraen información de documentos y datos sin ser detectados. Pueden generar mucho ruido blanco utilizando cuellos de botella y tácticas de distracción para despistar a las víctimas. Es necesario detectar el túnel DNS, lo que dificulta su localización.
Estas son las mejores prácticas para prevenir y mitigar los ataques APT:
- Comience por supervisar los parámetros de su red y utilice las mejores soluciones de seguridad para puntos finales. Debe analizar el tráfico de entrada y salida para evitar la creación de puertas traseras y bloquear los intentos de extracción de datos robados.
- Instale los últimos cortafuegos de aplicaciones web, actualice los sistemas y manténgalos al día. Le ayudarán a proteger las superficies de ataque vulnerables y a minimizar el área de cobertura.
- A la hora de hacer frente a estas amenazas, los cortafuegos pueden aislar los ataques a la capa de aplicación y evitar los intentos de RFI e inyección SQL. Las herramientas de supervisión del tráfico interno le proporcionarán una visión detallada que le ayudará a detectar comportamientos anormales en el tráfico.
- Puede supervisar el acceso a los sistemas y evitar el intercambio de archivos confidenciales. Elimine los shells de puerta trasera y detecte las debilidades de su infraestructura impidiendo que pasen las solicitudes remotas del atacante.
- Las listas de permitidos pueden ayudarle a gestionar sus dominios y a incluir en la lista blanca las aplicaciones que sus usuarios pueden instalar. Puede reducir la tasa de éxito de los ataques APT limitando las instalaciones de aplicaciones y otras superficies de ataque a las que tienen acceso. Sin embargo, es posible que este método no siempre funcione, ya que incluso los dominios altamente fiables pueden verse comprometidos.
- Los atacantes podrían camuflar archivos maliciosos como software legítimo. Para que la lista de permitidos funcione, debe aplicar políticas de actualización estrictas para que sus usuarios sean conscientes de que deben utilizar la versión más reciente de todas las aplicaciones de sus listas blancas.
Ejemplos reales de ataques APT
Estos son algunos ejemplos reales de ataques APT:
- Un ejemplo clásico de ataque APT en el mundo real es el caso de la filtración de datos de Target mediante el ataque RAM Scraper. Ocurrió hace una década, pero se convirtió en uno de los ataques de amenazas persistentes avanzadas más exitosos de la historia. El malhechor había aprovechado la vulnerabilidad de un proveedor y había obtenido acceso no autorizado al ecosistema del objetivo. Se introdujeron en los dispositivos POS del objetivo y se mantuvieron en sus redes durante aproximadamente tres semanas, robando información suficiente sobre 40 000 millones de tarjetas de crédito. Los autores del ataque sacaron discretamente ese volumen de datos, y lo hicieron en una sola transferencia.
- KasperSky descubrió nuevos ataques de amenazas persistentes avanzadas lanzados por un subgrupo de Lazarus. Los atacantes modificaron un conocido malware llamado DTrack y utilizaron un nuevo ransomware llamado Maui. Los objetivos eran organizaciones de alto perfil de todo el mundo. El grupo había ampliado su geografía de ataque y había afectado a organizaciones públicas y sanitarias con su variante de ransomware. El malware se desplegó y ejecutó como un código shell incrustado. Cargó una carga útil final de Windows In-Memory. DTrack recopiló datos del sistema y el historial del navegador a través de una serie de comandos de Windows. El tiempo de permanencia en las redes objetivo duró meses antes de que se detectara su actividad.
- El grupo LuckyMouse utilizó una variante troyana del servicio de mensajería Mimi para obtener acceso trasero a las organizaciones. Se centraron en dispositivos macOS, Windows y Linux, y secuestraron al menos 13 empresas en Taiwán y Filipinas.
- Un grupo respaldado por Rusia que se hacía llamar SEABORGIUM también llevó a cabo actividades de espionaje en Europa durante cinco años. Utilizaron una serie de correos electrónicos de phishing para infiltrarse en cuentas de OneDrive y LinkedIn.
Mejore su inteligencia sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónConclusión
Unos controles de acceso sólidos serán su primera línea de defensa contra las amenazas persistentes avanzadas (APT). También debe utilizar soluciones de detección y respuesta en los puntos finales (EDR) y soluciones de detección y respuesta extendidas (XDR) para combatir las amenazas APT y obtener visibilidad en tiempo real de su infraestructura. Las pruebas de penetración y la supervisión del tráfico son fundamentales. Al mejorar la capacidad de su organización para detectar, reaccionar y defenderse de los ataques APT, puede reducir la probabilidad de futuros ataques. Considere la seguridad como un todo y asegúrese también de que se aplican las prácticas adecuadas de ciberhigiene, de modo que los atacantes no puedan aprovecharse de la credulidad de sus usuarios ni explotar los posibles fallos y vulnerabilidades del sistema, ya que usted los detectará a tiempo por sí mismo.
"FAQs
Una APT es una amenaza cibernética oculta que se cuela en las redes y evita ser detectada rápidamente. Los atacantes pueden estudiar su negocio durante semanas o meses, buscando puntos débiles antes de atacar. Pueden robar datos, interferir en las operaciones o recopilar información secreta.
Una APT se denomina "persistente" porque nunca desaparece por completo. Permanece al acecho, lista para actuar de nuevo cuando menos lo espera.
Son difíciles de detener porque los atacantes tienen mucho tiempo para planear y saben cómo eludir las normas de seguridad habituales. Pueden camuflar su código o saltar de una parte a otra de la red sin dejar casi ningún rastro. Además, se adaptan rápidamente cuando mejoran las defensas, lo que les ayuda a permanecer ocultos. Como son pacientes, tienen la oportunidad de obtener más datos o causar daños aún mayores.
Los grupos APT suelen actuar como espías sigilosos. Se cuelan a través de correos electrónicos de phishing o aplicaciones débiles y luego se mueven con cuidado por los sistemas internos. Buscan archivos valiosos, recopilan secretos y se preparan para lanzar ataques más profundos.
A veces se ocultan en software cotidiano, por lo que nadie sospecha que haya un problema. Para cuando alguien se da cuenta de que algo no va bien, estos grupos ya han identificado los activos clave del objetivo.
Las amenazas persistentes avanzadas se centran en la paciencia, el sigilo y los ataques inteligentes. A menudo eligen objetivos específicos, como grandes empresas o grupos gubernamentales. Estas amenazas permanecen activas durante largos periodos de tiempo, recopilando información privilegiada antes de actuar.
Utilizan diversos métodos, como malware oculto e inicios de sesión falsos, para mezclarse con el tráfico normal. Una vez que se instalan, se adaptan a cualquier mejora de seguridad, por lo que siguen siendo un peligro constante.
Los grupos pueden combatir un APT aumentando su vigilancia y actuando con rapidez. Necesitan una supervisión cuidadosa de la red para detectar flujos de datos extraños o intentos de inicio de sesión sospechosos. Pueden bloquear los correos electrónicos sospechosos y actualizar todo el software para detener los errores conocidos. Si encuentran una amenaza, deben aislar los sistemas afectados e investigar qué ha fallado. Este enfoque ayuda a cortar el paso a los atacantes y a proteger los datos vitales de daños futuros.
Las empresas deben vigilar sus redes en todo momento y establecer reglas estrictas para las contraseñas. También pueden buscar nuevos parches e instalarlos de inmediato, lo que cierra las brechas de riesgo en los sistemas.
Algunos grupos contratan a evaluadores de seguridad para encontrar agujeros en las defensas antes de que lo hagan los delincuentes. La formación del personal también es útil, ya que los empleados que detectan correos electrónicos y enlaces sospechosos pueden detener un ataque antes de que se produzca.
Los atacantes APT se basan en métodos sigilosos como el phishing, el spear phishing o los exploits de día cero. Se cuelan engañando a las personas para que abran archivos infectados o hagan clic en enlaces sospechosos. Una vez dentro, se ocultan como procesos normales del sistema y evitan ser detectados rápidamente. Pueden crear puertas traseras para mantener el acceso o pasar los datos robados a través de canales ocultos. Con el tiempo, mejoran sus tácticas para eludir las actualizaciones y mantener su control sobre el objetivo.
