Calama

Consejos frente a las Amenazas Avanzadas Persistentes (APT), una forma de ciberataque especialmente destructiva

Photo of Edición El America.cl Edición El America.cl Send an email 12 julio 2022
330 4 minutos de lectura

Martes, 12 julio 2022.-

Hoy en día, un tipo de ataque cibernético que, debido a su gran impacto, se ha convertido en una de las principales preocupaciones de las grandes corporaciones internacionales y organizaciones gubernamentales son las Amenazas Avanzadas Persistentes (APT), una forma de ataque que utiliza herramientas complejas que requieren de conocimientos avanzados y que persisten en el tiempo. Es decir, no son ataques que buscan rápidamente aprovechar una contingencia o alguna vulnerabilidad en específico, sino que ocupa, todas las herramientas y el tiempo que los ciberdelincuentes estimen necesarias para lograr sus objetivos.

A diferencia de la gran mayoría de ataques, que se realizan a través de un malware que ejecuta un daño rápido, las APT adoptan un enfoque diferente, estratégico y sigiloso. Si bien inicialmente se asociaban solo a grupos relacionados con algún estado, en los últimos años se han reconocido grupos independientes a los gobiernos y que perpetran robos a gran escala.

Para el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, una APT es “un adversario con niveles sofisticados de experiencia y recursos significativos, lo que le permite a través del uso de múltiples vectores de ataque diferentes (cibernéticos, físicos y engañosos) generar oportunidades para lograr sus objetivos, los que generalmente son establecer y extender puntos de apoyo dentro de la infraestructura TI de las organizaciones con el fin de filtrar continuamente información y/o socavar o impedir aspectos críticos de una misión, programa u organización, o colocarse en una posición para hacerlo en el futuro; además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un período prolongado, adaptándose a los esfuerzos del defensor para resistirla y con determinación para mantener el nivel de interacción necesario para ejecutar sus objetivos”.

Consecuencias desastrosas

Debido a que suelen dirigirse a objetivos de alto valor, pueden llegar a provocar consecuencias desastrosas. Una de las características de las APT es que son muy difícil de detectar los movimientos del ataque, ya que no son fácilmente observados por las medidas de ciberseguridad de las empresas. Además, el riesgo no termina una vez que se haya detectado el ataque, porque los atacantes se preocupan de mantener formas de volver a ingresar al sistema aprovechando alguna vulnerabilidad, cuando lo consideren oportuno.

Cabe destacar que aunque los ataques comúnmente han sido dirigidos hacia las grandes empresas o instituciones públicas, también han afectado a las pequeñas y medianas empresas (pymes), principalmente para ser usadas como punto de entrada para las grandes compañías, con las cuales tienen alguna relación comercial o de otro tipo.

Fases de una APT

La complejidad de una Amenaza Avanzada Persistente significa que no todas tienen una misma manera de lograr sus objetivos. Sin embargo, aquí presentamos las cinco fases esenciales que más se repiten en el accionar de las APT:

  1. Preparación: Se recopila la información del objetivo, evalúan su susceptibilidad e identifican posibles puntos de entrada.
  • Acceso Inicial: Es cuando logran “romper” el perímetro y tener acceso a la red del objetivo.
  • Expansión: Una vez adentro, se expande examinando la red para conocer el funcionamiento y la topología de la red.
  • Asegurar acceso/punto de apoyo fuerte: Para evitar ser expulsado de la red, se busca tener varios puntos de acceso, moviéndose lateralmente de tal forma de asegurar el ingreso a la red.
  • Exfiltración: Aquí se extraen los datos, se ejecuta el robo y si es posible se eliminan las huellas del ataque.

Medidas de protección

A pesar de que su detección es complicada, existen varios indicadores que podrían reflejar acciones inusuales en el sistema atribuibles a una APT. Entre ellas, actividades sospechosas en las cuentas de administradores o usuarios, la detección de operaciones sospechosas en los movimientos de las bases de datos o aumento en sus actividades, la agrupación de paquetes de datos que facilitan el robo de información y por último, la presencia de troyanos en los equipos o infraestructuras tecnológicas.

Algunas consideraciones para enfrentar amenazas avanzadas del tipo APT que recomienda el CSIRT de Gobierno son:

  • Tener en cuenta las capacidades de los actores detrás este tipo de amenazas avanzadas al planificar las estrategias de defensa que se desean implementar.
  • Identificar todos los activos tecnológicos que componen el alcance a defender, es muy relevante para tener visibilidad total del equipamiento.
  • Contemplar, en el desarrollo de arquitecturas de redes y sistemas, medidas de ciberseguridad avanzadas, ya que esto facilita la tarea de defender las infraestructuras tecnológicas de la organización.
  • Segmentar los recursos de la red ya sea por requisitos de acceso, servicios ofrecidos u otras estrategias compatibles con las necesidades de la organización, hace posible tener mejor visibilidad y control de los recursos de red, dificultando el trabajo a un atacante.
  • Mantener una correcta estrategia de registro y monitoreo de “logs” es clave para poder enfrentar un incidente del tipo APT. Una correcta gestión de los “logs” hará que sea mucho más difícil para los actores de la APT camuflar sus operaciones, eliminar sus huellas y hará que los esfuerzos de respuesta a incidentes sean más efectivos y eficientes.
  • Elaborar un plan de comunicaciones que ayude a los usuarios a comprender las amenazas y cómo identificarlas, también ayudará a mitigar los intentos de ingeniería social.
  • Mantener el entorno de TI a través de la evaluación de vulnerabilidades y la gestión eficiente de parches es un paso importante para reducir al mínimo las oportunidades de intrusiones iniciales.
  • Eliminar los privilegios administrativos locales de las cuentas de las estaciones de trabajo de los usuarios y limitar el acceso solo a lo necesario, ayuda a evitar el escalamiento de privilegios y los esfuerzos de movimiento lateral.
  • Desarrollar pruebas de penetración y ejercicios prácticos de simulación de escenarios de ataque que emulan actores del tipo APT, son herramientas valiosas de autoevaluación y capacitación para el personal del equipo de defensa.
  • Generar conciencia de estos riesgos dentro de la organización es fundamental para formar estrategias de defensa eficaces. Sin un conocimiento profundo de las amenazas, las estrategias defensivas y el gasto serán ineficaces.

Para terminar, es importante señalar que no existe una “bala de plata” para este tipo de amenazas avanzadas, sino más bien se requiere de una estrategia escalonada, la cual facilitará la mejora continua de la ciberseguridad y así lograr detectar, responder y erradicar en el menor tiempo posible.

Photo of Edición El America.cl Edición El America.cl Send an email 12 julio 2022
330 4 minutos de lectura
Mostrar más
Photo of Edición El America.cl

Edición El America.cl

Publicaciones relacionadas

Photo of IA orienta a jóvenes para rendir la PAES y postular a becas, créditos y gratuidad

IA orienta a jóvenes para rendir la PAES y postular a becas, créditos y gratuidad

Hace 5 mins
Photo of Codelco en cumbre internacional sobre patrimonio arqueológico en San Pedro de Atacama

Codelco en cumbre internacional sobre patrimonio arqueológico en San Pedro de Atacama

Hace 19 mins

ACTUALIZADO: Dos muertos y heridos camino a Ayquina

Hace 2 días
Photo of Hogar de Cristo publica su Memoria 2024: Casi 39 mil personas fueron atendidas en todo Chile

Hogar de Cristo publica su Memoria 2024: Casi 39 mil personas fueron atendidas en todo Chile

Hace 2 días
Diario El America 2025, Todos los derechos reservados  |  AmigodelPC.
Botón volver arriba