APT: ¿Qué es?, ¿Cómo funciona?

En algunos casos, estos APT pueden ser representativos de Estados-Naciones con el objetivo de robar información o sabotear infraestructuras críticas de otras naciones “amigas” o “enemigas”.

Lo cierto es que los ataques informáticos, ya sean provocados por individuos, grupos de hackers u operativos de Estados-Naciones, se han sucedido desde décadas, pero ha sido más recientemente cuando se ha comenzado a hablar de los APT como una verdadera amenaza para empresas o instituciones, como se puede apreciar en los medios, donde prácticamente cada semana se puede leer alguna noticia de una organización comprometida.

Funcionamiento de los APT

Entendemos los APT, con independencia de su sofisticación, como atacantes que buscan permanencia en los sistemas comprometidos con el claro objetivo de sustraer información de manera continua, por lo que según esta definición no todos los ataques que suceden hoy en día son APT.

A lo largo de este artículo estudiaremos detalladamente esta tipología y cómo actúan, además de las malas prácticas empleadas por las organizaciones, que se convierten en presas fáciles.

Los APT son diferentes de los clásicos atacantes a los que la mayoría de organizaciones están acostumbradas. Los tiempos de los script-kiddies y la búsqueda de notoriedad de los jóvenes han pasado a la historia, y ahora hablamos de “sector ofensivo profesional”.

Un aspecto importante es que aunque los llamemos avanzados, -“advanced”-, no significa que utilicen los últimos exploits o herramientas hacker de última generación, sino que hace referencia a que son más avanzados por su sofisticación y profesionalización.

Por desgracia, en muchas ocasiones, los APT siguen utilizando técnicas de los años 80 y 90, pero con mayor eficiencia y sabiendo combinar ataques con éxito.

Las acciones avanzadas disponen de amplios recursos (humanos, tecnológicos, económicos y, además, tiempo) para llegar a buen puerto. Es ampliamente conocido que muchos Estados-Naciones invierten cientos de millones de euros en programas ofensivos, convirtiéndolo en todo un lucrativo negocio, en el marco de un escenario estratégico cada vez más organizado.

Ejemplos de ataques APT

En la última década se han identificado multitud de ataques avanzados contra importantes organizaciones y parece que esta tendencia se está agravando. En el gráfico se pueden ver algunos ejemplos reales de ataques considerados APT en los últimos tres años. Posiblemente resultarán familiares muchos de ellos.

En un amplio número de ocasiones, estos ataques fueron realizados mediante técnicas sobradamente conocidas, como ingeniería social, USB infectados y correos maliciosos.

Para más detalle se aconseja leer el documento “Advanced Persistent Threats: A Decade in Review”, por Command Five.

Los métodos empleados, que varían desde el uso de conocidos troyanos hasta usos más creativos de la infraestructura como la subversión de servicios Windows o la distribución de malware a través de actualizaciones, algunos de estos ataques posee una sofisticación muy elevada:

Instalación de servicios que detectan todos los ficheros, carpetas y correos nuevos y son enviados al atacante.

• Compromiso de la PKI y certificados.
• Subversión de los mecanismos de actualización.
• Espionaje mediante la activación de micrófonos y cámaras web en los sistemas comprometidos.

Un error garrafal sería caer en la falsa sensación de que esto sólo pasa en la plataforma de Microsoft Windows porque no es así, cualquier plataforma es susceptible de ser atacada por APT, como ya están apreciando otros grandes fabricantes de software.

En el último año, los smartphones han ganado popularidad como víctimas de ataques avanzados, tras el desarrollo de sofisticados troyanos, aprovechando otro vector de entrada en las organizaciones.

¿Por qué falla la Seguridad?

Es cierto que, en ocasiones, estas acciones son muy sofisticadas, lo que dificulta que organizaciones sin recursos profesionales de seguridad puedan defenderse adecuadamente, pero generalmente es más frecuente que estos ataques se produzcan mediante métodos más conocidos y existan mecanismos de seguridad efectivos. El lector se preguntará entonces: “¿Por qué la amenaza?”.

Podríamos hablar de multitud de razones sobre por qué falla la Seguridad corporativa, pero una razón principal es que hoy en día muchas compañías basan su estrategia únicamente en el uso de cortafuegos y antivirus.

Estos dos clásicos mecanismos son necesarios y, sin embargo, insuficientes para las nuevas amenazas. La Seguridad en muchas organizaciones está completamente obsoleta.

Tenemos que pensar que los APT son organizados y estratégicos, por lo que requieren una respuesta igualmente organizada y estratégica.

Las entidades tienen que entender que la Seguridad es una inversión y no un gasto. Aquellas empresas que no sepan valorar y proteger la información de su negocio serán proclives a convertirse en nidos de estos ataques avanzados que, a medio plazo, podrían hacerles perder su ventaja competitiva.

Las organizaciones deben invertir en Seguridad de forma anual, disponer de personal formado y cualificado y desarrollar un plan de seguridad multinivel, y sólo así se puede hacer frente a las amenazas.

Si analizamos detenidamente el coste que ello supone, vemos que es siempre inferior al precio que una organización paga por el robo de su información, deterioro de su imagen corporativa, gasto del proceso de incidencia y malestar entre sus empleados y clientes.

Mayor compromiso

A lo largo de este artículo hemos analizado y definido los APT, estudiado ejemplos reales de ataques y aclarado por qué las organizaciones no están preparadas para hacer frente a ellos de forma efectiva, con la esperanza de que esto cambie pronto.

Cualquier organización puede ser víctima de esta tipología de amenaza y pueden sufrir robo de información o servir de pasarela para atacar otros objetivos, por lo que no existe excusa alguna para no tomar las medidas pertinentes.

Los APT son un problema de todos y por eso debemos actuar en conjunto, mejorar los sistemas de alerta y respuesta, con una mayor conciencia en Seguridad y habilitando canales de comunicación transparentes.

A corto y medio plazo, la amenaza de los ataques no va a desaparecer y va seguir siendo noticia, pero esperemos que las organizaciones vayan adquiriendo conciencia de la gravedad del tema y establezcan las medidas oportunas para dificultar la vida a los APT, con el fin de que estos ataques pasen de ser habituales a puntuales.

Puedes ver más sobre éste y otros temas relacionados en mi blog personal poe.com.mx