Fisionomía de las amenazas avanzadas persistentes (Advanced Persistent Threats, APT)

Fisionomía de las amenazas avanzadAs persistentes (Advanced Persistent Threats, APT).

- ÍNDICE -        

1.- QUE SON LAS APTS.

2.- CARACTERIZACIÓN DE UNA APT: OBJETIVO PERSEGUIDO, CARACTERISTICAS, CONSECUENCIAS.

3.- FASES DE UNA APT.

4.- TÉCNICAS UTILIZADAS PARA SU DETECCIÓN.

5.- EJEMPLO DE APT.

1.-        QUE SON LAS APTS.

Una amenaza persistente avanzada, es un conjunto de técnicas y procesos informáticos sigilosos orquestado por un tercero (organización, grupo delictivo, etc.) con la intención y la capacidad de atacar de forma avanzada y continuada en el tiempo un objetivo determinado. Este tipo de ataques, inicialmente eran realizados por grupos organizados con grandes recursos ya que solían incluir grandes empresas u organismos gubernamentales, debido a la digitalización de las compañías y la exposición de estas al exterior, las APTs empiezan a afectar a otras independientemente de su tamaño o actividad ya que no están preparadas para afrontarlas o incluso desconocen su existencia.

2.- CARACTERIZACIÓN DE UNA APT: OBJETIVO PERSEGUIDO, CARACTERISTICAS, CONSECUENCIAS.

El objetivo principal es infiltrarse en una red o sistema informático de una organización durante un tiempo prolongado para tener acceso y extraer datos altamente confidenciales, otros objetivos pueden ser, el robo de la propiedad intelectual (secretos comerciales, patentes), espionaje de Estado o industrial, sabotaje de infraestructuras organizativas críticas, beneficios económicos o incluso provocación de daños o terror.

Las características de una APT son:

• Emplean técnicas avanzadas y complejas para la realización de los ataques, incluyendo malware (botnets), inyección SQL, inclusión de archivos remotos o incluso técnicas sofisticadas de ingeniería social.
• Son complicadas de detectar ya que el objetivo es que pasen desapercibidas para los sistemas de seguridad.
• Buscan permanecer en los equipos o sistemas durante el mayor tiempo posible, se adaptan a las medidas de seguridad implantadas por las compañías, manteniendo un alto control de los equipos.
• Se desarrollan a lo largo de diversas fases, primero obtienen el acceso para infectar los activos para después expandir el control y el aprendizaje dese dentro para descubrir nuevas vulnerabilidades.
• Requieren elevados conocimientos de técnicas de hackeo y gran cantidad de recursos, por esto los objetivos suelen ser grandes empresas.

Las consecuencias son los daños reputacionales que pueden sufrir las compañías debido a la perdida o robo de información confidencial o privada.

3.-        FASES DE UNA APT.

Las fases de una APT son las siguientes:

• Reconocimiento: Recopilar información a través de fuentes publicas sobre los sistemas de información existentes, mecanismos y protocolos de seguridad, nombres y datos de contactos de directivos o empleados. Una vez se tiene esta información.
• Obtención de acceso: A través de un código o software malicioso, por ejemplo, ramsonware, troyanos, correos phishing, documentos ofimáticos con una macro, etc., dirigen sus ataques a los empleados (happy clickers) que suelen ser el eslabón más débil para introducirse en la organización.
• Infiltración: Una vez dentro, se implanta un nuevo malware que les permita permanecer en los sistemas de manera oculta, instalando puertas traseras que les otorga acceso a la red y permite operaciones ocultas y remotas como por ejemplo el cambio de contraseñas y obtener permisos de administrador.
• Expansión: Una vez obtenidos los permisos de administrador, los ciberdelincuentes son libres para moverse por todos los sistemas, en este punto buscaran expandir su control sobre toda la infraestructura de IT, infectando otros equipos o servidores a través de botnets o redes de ordenadores zombies.
• Aprendizaje: Con un control mas amplio sobre los sistemas, los ciberdelincuentes tratan de permanecer ocultos en los sistemas para seguir aprendiendo desde dentro con el objetivo de detectar más vulnerabilidades que les permitan llevar a cabo otras actividades ilícitas.
• Aumentar el control sobre el sistema: Al ser organizaciones muy ambiciosas tratan de tener el mayor control sobre las organizaciones, permaneciendo hasta ser descubiertos y dejando puertas abiertas para volver a acceder más adelante.

4.-        TÉCNICAS UTILIZADAS PARA SU DETECCIÓN.

Aunque es muy complicada su detección, es posible saber con algunos síntomas si estas siendo víctima de estos ataques:

• Las cuentas de administrador o usuario presentan una actividad inusual.
• Presencia de troyanos en los equipos.
• Aumento de transacciones en las bases de datos u operaciones sospechosas sobre tratamiento masivo de datos.

La protección frente a estas amenazas y no existen técnicas para protegerse de ellas, lo único que se puede hacer es adoptar una serie de medidas de seguridad que pongan a los ciberdelincuentes las cosas más difíciles, por ejemplo:

...