Una APT es una amenaza orquestada por equipos profesionales, tan silenciosa y sutil que contrasta con el inmenso impacto que puede generar en una organización. Su definición, Amenaza Avanzada Persistente, del inglés Advanced Persistent Threat, podría llegar a representar el dolor de cabeza que puede generar en las víctimas si logra entrar a sus sistemas, generalmente compañías transnacionales, personas políticamente expuestas y países.
Operación Aurora, Stuxnet, Blind Eagle, FIN8 y Equation son algunos de los APT que fueron capaces de poner en jaque a compañías emblemáticas de todos los sectores. A destacadas empresas tecnológicas, industriales y de seguridad no les ha quedado más que reconocer que un atacante muy difícil de detectar entró y permaneció dentro de sus sistemas, afectando la disponibilidad, integridad y confidencialidad de su información y recursos.
Es que “debido al tamaño y valor de los recursos que se busca vulnerar, un APT no es ejecutado por principiantes, sino por hackers experimentados y de alto nivel”, destaca Eduardo Riveros, analista CSIRT de Gobierno, con quien trendTIC conversó para conocer más sobre este tipo de amenazas.
Actuando en las sombras
Una vez que un APT identifica a sus víctimas, por lo general entidades financieras, compañías o instituciones que manejen información estratégica, el APT se prepara para acceder. Como su plan es permanecer en los sistemas durante mucho tiempo, se esfuerzan para no ser detectados, extrayendo información de a poco y limitando el uso de herramientas de ataque conocidas, evitando así el levantamiento de alarmas en la organización afectada.
Eduardo nos explica que “primero hay una fase exploratoria, la cual busca conocer los recursos del objetivo. Para ello, utilizan información de fuentes públicas (OSINT) o incluso informantes internos. Con los datos recopilados, determinan el mejor punto de entrada a la infraestructura de la víctima, el cual puede ser tecnológico (vulnerabilidades no parchadas o no conocidas) o incluso social (phishing dirigido)”.
Mantenerse al interior de la infraestructura es crítico, por eso «al ingresar procuran que el mecanismo utilizado para revisar o exfiltrar información sea lo más silencioso posible, es decir, que no genere traza que pueda gatillar una alerta en los sistemas de protección del objetivo. Entre las trazas que debe cuidar un atacante para levantar sospechas está la generación de logs, la modificación o eliminación de archivos y el consumo de grandes volúmenes de datos en corto tiempo», asegura el analista del CSIRT de Gobierno.
«Un APT puede pasar meses sin ser detectado, tiempo que es utilizado para acceder a la información y recursos del objetivo, los cuales pueden ser de mucha utilidad para empresas competidoras, países rivales o adversarios políticos de la institución o persona afectada», destaca Riveros.
¿Cómo nos protegemos?
Debido a su nivel de exposición y al valor económico, político o social de sus recursos, las organizaciones que manejan información o sistemas críticos son las que corren un mayor riesgo de ser afectadas por un APT. Sin embargo, existen medidas recomendadas para cualquier tipo de organización que pueden ayudar a mitigar este riesgo, independiente del tamaño o importancia de la entidad afectada
Más que utilizar alguna sofisticada tecnología o marca específica, Eduardo indica que: “se recomienda considerar dos aspectos. El primero es mantener herramientas de monitoreo constante en la organización que permitan detectar fácilmente cualquier comportamiento anómalo en la infraestructura (tráfico a IPs desconocidas, ejecución de comandos sospechosos, etc), de forma de que, en caso de levantarse una alerta de este tipo, un especialista pueda determinar si el comportamiento es esperado o no».
Además, agrega: «El segundo enfoque requiere concienciar a los empleados de las organizaciones, para evitar que sean puntos de entrada mediante campañas de ingeniería social. Lo anterior debiese combinarse con el reconocimiento de la información estratégica de parte de la organización, para así restringir su acceso a un grupo reducido de empleados y estimar el costo económico que puede significar su filtración”.
Como en otras amenazas cibernéticas, las campañas para evitar el fraude mediante phishing, las actualizaciones de seguridad de equipos y aplicaciones y los planes de respuesta frente a incidentes deben ser permanentes. Todo suma, para disminuir el riesgo de ser víctima de un APT.