El término Amenaza Persistente Avanzada (APT) se refiere a una clase de ciberataques que utilizan una amplia gama de técnicas avanzadas diseñadas para robar información valiosa de la empresa. Se utiliza para describir un amplio espectro de ataques que utilizan métodos sofisticados para penetrar en un sistema y permanecer en él durante un largo periodo de tiempo. Los atacantes suelen utilizar técnicas como el “Whaling“, el “Spear Phishing” u otros métodos de ingeniería social para apuntar a usuarios y obtener el acceso deseado.
Las consecuencias pueden ser devastadoras; las APT suelen estar asociadas a objetivos de gran valor como agencias gubernamentales, grandes empresas o incluso industrias enteras. No obstante, en los últimos tiempos se ha visto que los atacantes están apuntando con mayor frecuencia a las empresas pequeñas que conformas las cadenas de suministros de las grandes corporaciones. Esto como medio para llegar a su objetivo final. La consecuencia potencialmente destructiva más comúnmente asociada con los ataques APT es la pérdida del control sobre datos críticos.
Normalmente, los cibercriminales que usan las ATP como método de ataque se desenvuelven en varias etapas buscando acceso continuo a la información:
Obtener acceso:
Suelen lograr ingreso a la información por medio de archivos infectados, vulnerabilidades explotadas, redes, entre otros.
Infiltración:
Una vez han obtenido acceso, implantan en el sistema malware que permite crear un sistema de túneles para desplazarse entre sistemas, muchas veces sin dejar rastro de sus actividades.
Incremento del nivel de acceso:
Posteriormente proceden a vulnerar las contraseñas de acceso con el fin de obtener permisos de administración de los sistemas y, por tanto, tener mayor control de estos.
Desplazamiento:
Al obtener los permisos de administrador, los atacantes podrán desplazarse entre los distintos sistemas y servidores
Observación y aprendizaje:
Una vez dentro de los sistemas, los hackers pueden entender cómo operan los sistemas y si poseen vulnerabilidades o alguna otra información que les sea de utilidad. Finalmente, deciden si cerrar el ciclo después de haber alcanzado un objetivo o simplemente seguir explotándolo indefinidamente para obtener información de manera constante. Incluso pueden elegir regresar después, dejando backdoors que les permitan volver en cualquier momento.
En síntesis, los ataques de APT se caracterizan por su intensidad, alta complejidad y porque tienen alto impacto. Suelen ser capaces de dañar las actividades cotidianas en una organización, perturbando el estado de inocencia que disfruta la misma y suelen tener consecuencias destructivas, ya que roban o destruyen datos corporativos o borran pruebas de la red. Además, parecieran no tener un fin ya que los atacantes pueden elegir regresar a través de una backdoor sin que nadie lo detecte.
Entendiendo esto, es fundamental que cada organización adopte una postura integral de seguridad, donde no solo cuente con soluciones de ciberseguridad que protejan su infraestructura, sino que también mantenga capacitados a todos y cada uno de sus usuarios sobre las amenazas cibernéticas vigentes, los métodos que utilizan los hackers para engañar y obtener acceso a la información y el impacto que un ataque podría representar para la compañía.