Definition

Amenaza persistente avanzada o APT

Contribudor(es): Margaret Rouse

Una amenaza persistente avanzada (Advanced Persistent Threat o APT) es un ataque cibernético prolongado y dirigido en el que un intruso obtiene acceso a una red y permanece sin ser detectado por un período de tiempo. La intención de un ataque APT generalmente es monitorear la actividad de la red y robar datos en lugar de causar daños a la red u organización.

El contenido continua más abajo

Los ataques APT generalmente apuntan a organizaciones en sectores como la defensa nacional, la industria manufacturera y la industria financiera, ya que esas empresas manejan información de alto valor, incluida la propiedad intelectual, planes militares y otros datos de gobiernos y organizaciones empresariales.

El objetivo de la mayoría de los ataques APT es lograr y mantener el acceso continuo a la red objetivo en lugar de entrar y salir lo más rápido posible. Debido a que se requiere una gran cantidad de esfuerzo y recursos para llevar a cabo ataques APT, los piratas informáticos suelen apuntar a objetivos de alto valor, como los estados o naciones y las grandes corporaciones, con el objetivo final de robar información durante un largo período de tiempo.

Para obtener acceso, los grupos de APT a menudo usan métodos avanzados de ataque, que incluyen exploits avanzados de vulnerabilidades de día cero, así como el spear phishing y otras técnicas de ingeniería social. Para mantener el acceso a la red objetivo sin ser descubierto, los actores de amenazas utilizan métodos avanzados, incluida la reescritura continua de códigos maliciosos para evitar la detección y otras técnicas sofisticadas de evasión. Algunas APT son tan complejas que requieren administradores de tiempo completo para mantener los sistemas y el software comprometidos en la red objetivo.

Los motivos de los actores avanzados de amenazas persistentes son variados. Por ejemplo, los atacantes patrocinados por los estados nacionales pueden apuntar a la propiedad intelectual para obtener una ventaja competitiva en ciertas industrias. Otros objetivos pueden incluir servicios de distribución de energía y telecomunicaciones y otros sistemas de infraestructura, redes sociales, organizaciones de medios, así como objetivos electorales y otros objetivos políticos. Los grupos del crimen organizado pueden patrocinar amenazas persistentes avanzadas para obtener información que puedan usar para llevar a cabo actos criminales con fines de lucro.

Aunque los ataques APT pueden ser difíciles de identificar, el robo de datos nunca es completamente indetectable. Sin embargo, el acto de extraer datos de una organización puede ser la única pista que tienen los defensores de que sus redes están bajo ataque. Los profesionales de seguridad cibernética a menudo se centran en detectar anomalías en los datos salientes para ver si la red ha sido el objetivo de un ataque APT.

Cómo funciona un ataque APT

Los atacantes que ejecutan APT suelen adoptar el siguiente enfoque secuencial para obtener y mantener el acceso continuo a un objetivo:

  • Obtener acceso: los grupos APT obtienen acceso a un objetivo al enfocarse en los sistemas a través de internet, a través de correos electrónicos de suplantación de identidad (spear phishing) o mediante una vulnerabilidad de la aplicación con la intención de aprovechar cualquier acceso mediante la inserción de software malicioso en el objetivo.
  • Establecer un punto de apoyo: después de obtener acceso al objetivo, los atacantes usan su acceso para realizar más reconocimientos, así como para comenzar a explotar el malware que han instalado para crear redes de puertas traseras y túneles que pueden usar para moverse sin ser notados. Los APT pueden utilizar técnicas avanzadas de malware, como la reescritura de código para cubrir sus huellas.
  • Obtener un acceso aún mayor: una vez dentro de la red objetivo, los actores de APT pueden usar métodos como el descifrado de contraseñas para obtener derechos administrativos para poder controlar más del sistema y obtener niveles de acceso aún más profundos.
  • Moverse lateralmente: una vez que los atacantes han violado sus sistemas de destino, incluso obteniendo derechos de administrador, pueden moverse por la red empresarial a voluntad. Además, pueden intentar acceder a otros servidores, así como a otras áreas seguras de la red.
  • Organizar el ataque: en este punto, los piratas informáticos centralizan, encriptan y comprimen los datos para poder filtrarlos.
  • Extracción de los datos: los atacantes recolectan los datos y los transfieren a su propio sistema.
  • Permanecer hasta ser detectados: los ciberdelincuentes pueden repetir este proceso durante largos períodos de tiempo hasta que sean detectados, o pueden crear una puerta trasera para que puedan acceder nuevamente al sistema en algún momento.

A diferencia de los ataques cibernéticos más comunes, las amenazas persistentes avanzadas tienden a llevarse a cabo a través de métodos que se han personalizado para el objetivo en lugar de utilizar herramientas más generales que pueden ser más adecuadas para atacar a un gran número de víctimas. Los APT también se llevan a cabo generalmente durante un período de tiempo mucho más largo, a diferencia de los ataques comunes, que pueden ser más obvios y, por lo tanto, más fáciles de defender.

Ejemplos de una amenaza persistente avanzada

Los APT generalmente reciben nombres asignados por sus descubridores, aunque muchos ataques avanzados de amenazas persistentes han sido descubiertos por más de un investigador, por lo que algunos son conocidos por más de un nombre.

Algunos ejemplos de amenazas persistentes avanzadas incluyen:

  • La familia de malware Sykipot APT, la cual aprovecha las fallas en Adobe Reader y Acrobat. Se detectó en 2006 y, según los informes, continuaron los ataques con el malware hasta 2013. Los atacantes utilizaron la familia de malware Sykipot como parte de una serie de ataques cibernéticos de larga duración que apuntan principalmente a organizaciones estadounidenses y británicas, incluidas agencias gubernamentales, contratistas de defensa y compañías de telecomunicaciones. Los piratas informáticos utilizaron un ataque de suplantación de identidad que incluía enlaces y archivos adjuntos maliciosos que contenían ataques de día cero en correos electrónicos específicos.
  • La operación de ciberespionaje GhostNet fue descubierta en 2009. Ejecutados desde China, los ataques se iniciaron a través de correos electrónicos de suplantación de identidad que contenían archivos adjuntos maliciosos. Los ataques comprometieron computadoras en más de 100 países. Los atacantes se centraron en obtener acceso a los dispositivos de red de los ministerios y embajadas del gobierno. Estos ataques permitieron a los hackers controlar estos dispositivos comprometidos, convirtiéndolos en dispositivos de escucha y grabación al encender de forma remota sus cámaras y capacidades de grabación de audio.
  • El gusano Stuxnet utilizado para atacar el programa nuclear de Irán fue detectado por investigadores de ciberseguridad en 2010. Todavía se considera una de las piezas de malware más sofisticadas jamás detectadas. El malware apuntó a los sistemas SCADA (control de supervisión y adquisición de datos) y se propagó con dispositivos USB infectados. Los Estados Unidos e Israel han estado vinculados al desarrollo de Stuxnet, y aunque ninguna de las naciones ha reconocido oficialmente su papel en el desarrollo, ha habido confirmaciones no oficiales de que fueron responsables de Stuxnet.
  • APT29, el grupo ruso de amenaza persistente avanzada también conocido como Cozy Bear, se ha relacionado con una serie de ataques, incluido un ataque de spear phishing en 2015 en el Pentágono, así como los ataques de 2016 en el Comité Nacional Demócrata.
  • Los investigadores de Trend Micro identificaron al APT28, el grupo de amenaza persistente avanzado ruso también conocido como Fancy Bear, Pawn Storm, Sofacy Group y Sednit en 2014. APT28 se ha relacionado con ataques contra objetivos militares y gubernamentales en Europa del Este, incluyendo Ucrania y Georgia, así como campañas dirigidas a organizaciones de la OTAN y contratistas de defensa estadounidenses.
  • APT34, un grupo avanzado de amenazas persistentes vinculado a Irán, fue identificado en 2017 por investigadores de FireEye, pero ha estado activo desde al menos 2014. El grupo de amenazas se ha dirigido a compañías en el Medio Oriente con ataques contra finanzas, gobierno, energía, productos químicos y empresas de telecomunicaciones.
  • APT37, también conocido como Reaper, StarCruft y Group 123, es una amenaza persistente avanzada vinculada a Corea del Norte que se cree que se originó alrededor de 2012. APT37 se ha conectado a ataques de spear phishing que explotan una vulnerabilidad de día cero de Adobe Flash.

Las amenazas persistentes avanzadas no son un fenómeno, y se han detectado numerosas APT desde principios de la década de 2000, y se remontan hasta 2003, cuando los piratas informáticos con sede en China realizaron la campaña Titan Rain contra objetivos del gobierno de los EE.UU. en un intento de robar secretos de estado sensibles. Los atacantes apuntaron a datos militares y lanzaron ataques APT contra los sistemas de alto nivel de las agencias gubernamentales, incluidas la NASA y el FBI. Los analistas de seguridad señalaron al Ejército Popular de Liberación de China como la fuente de los ataques.

Características de las amenazas persistentes avanzadas

Las amenazas persistentes avanzadas a menudo exhiben ciertas características que reflejan el alto grado de coordinación necesaria para violar objetivos de alto valor.

Por ejemplo, la mayoría de los APT se llevan a cabo en múltiples fases, lo que refleja la misma secuencia básica de obtener acceso, mantener y expandir el acceso e intentar permanecer sin ser detectados en la red de víctimas hasta que se hayan logrado los objetivos del ataque.

Las amenazas persistentes avanzadas también se distinguen por su enfoque en establecer múltiples puntos de compromiso. Los APT generalmente intentan establecer múltiples puntos de entrada a las redes objetivo, lo que les permite retener el acceso incluso si se descubre la actividad maliciosa y se activa la respuesta al incidente, lo que permite a los defensores de seguridad cibernética cerrar una brecha comprometida.

Detectar amenazas persistentes avanzadas

Las amenazas persistentes avanzadas tienen ciertas señales de advertencia a pesar de que suelen ser muy difíciles de detectar. Una organización puede notar ciertos síntomas después de haber sido atacada por una APT, que incluyen:

  • actividad inusual en cuentas de usuario;
  • uso extenso del malware de puerta trasera Trojan horse, un método que permite a las APT mantener el acceso;
  • actividad de base de datos extraña o poco característica, como un aumento repentino en las operaciones de la base de datos que involucran cantidades masivas de datos; y
  • presencia de archivos de datos inusuales, que pueden indicar datos que se han agrupado en archivos para ayudar en el proceso de exfiltración.

La detección de anomalías en los datos salientes es quizás la mejor manera para que los profesionales de ciberseguridad determinen si una red ha sido blanco de un ataque APT.

Este contenido se actualizó por última vez en febrero 2020

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close