Llevamos unos cuantos años oyendo hablar de las llamadas amenazas APT. Pero todo parece indicar que será en 2019 cuando esta brecha de ciberseguridad se convierta en auténtica tendencia.
Según las predicciones de ciberamenazas de Kaspersky Lab, durante los próximos meses veremos cómo el mundo de las APT se disecciona en dos grupos perfectamente diferenciados: por un lado, los denominados “novatos enérgicos pero inexpertos”; por otro, los agentes más avanzados, con buenos recursos para hacer verdadero daño a las empresas y organismos públicos. Todo un desafío debido a las nuevas técnicas, cada vez más elaboradas.
Pero, ¿qué son exactamente estas amenazas APT? ¿A qué tipo de empresas afectan más? ¿Podemos hacer algo como empresas para evitarlas? ¿Cómo luchar contra ellas? Lo vemos.
Definición de amenazas APT y a qué empresas afectan
Cuando hablamos de APT, nos referimos a las siglas del término inglés Advanced Persistent Threat (Amenaza Avanzada Persistente). Se trata de un tipo sofisticado de ciberataque dirigido a las diferentes infraestructuras informáticas de una empresa. Un tipo concreto de malware creado específicamente por uno de estos dos motivos: atacar a una empresa u organismo público para robar una información concreta mientras se mantiene “en la sombra” durante un largo periodo de tiempo (o al menos el mayor tiempo posible), o simplemente con la finalidad de causar daño al destinatario de la misma.
Se denominan “avanzadas” porque utilizan varios métodos de ataque y están realizadas por personas o grupos con suficientes conocimientos, suficientes recursos económicos y suficiente tiempo como para causar un daño prolongado. Precisamente por eso también se catalogan como “persistentes”, ya que buscan extender este ataque hasta conseguir los resultados, daños o información deseados, sigilosamente, en la sombra.
Este tipo de ciberamenazas tienen la característica común de tener siempre un objetivo concreto. Un objetivo al que normalmente suelen llegar de “abajo hacia arriba”, es decir, desde un empleado cualquiera (normalmente con menos ciberseguridad que los altos CEO) que les sirve de puerta de entrada al sistema en el que se encuentra la información concreta que buscan o en el que causar el daño esperado.
En cuanto a las empresas a las que afectan, son tanto organismos públicos, como empresas privadas, como los propios estados. Lo que se quiere es una información o dato concreto de esa entidad, por lo que una Amenaza APT puede tener cabida en cualquier tipo de organización.
Las fases de una amenaza APT
Una amenaza APT es compleja, requiere su tiempo y pasa por diferentes fases antes de que los atacantes logren hacerse con la información necesaria.
Además, a lo largo de los últimos años hemos visto muchos ejemplos tangibles de este tipo de ataques por todo el mundo. Estos son solo algunos de ellos:
- Operación Aurora: en 2009, un ataque masivo a Google para hacerse con las cuentas de Gmail de disidentes chinos. ¿La procedencia? Se cree que el propio Gobierno.
- Stuxnet: se especula que detrás de este ataque a la central nuclear de Irán estuvieron Israel y Estados Unidos.
- Flam: arma de ciberespionaje contra Irán que llegó a infectar a más de mil ordenadores del objetivo.
Cómo pueden las empresas para prevenir/combatir estos ataques
Como estamos viendo, las amenazas APT tienen siempre un objetivo concreto, por lo que la prevención es bastante compleja. ¿Cómo saber qué objetivo es? ¿Cómo “resguardarse” de un ataque que no sabes a ciencia cierta a dónde va dirigido ni por dónde puede entrar? Como bien aseguran desde IBM, las APT están hechas para trabajar en silencio. Si el atacante ha realizado bien su investigación previa sobre la empresa, va a conocer perfectamente las barreras de seguridad de las que dispone su objetivo y cómo puede evitar que le detecten.
Y aunque en el mercado existen soluciones para intentar frenar este tipo de amenazas, lo hacen de una forma bastante parcial en muchos casos. ¿Por qué? Porque no todos los empleados de las empresas se conectan siempre a los sistemas de la misma dentro de su red corporativa, sino que lo pueden hacer desde su móvil, en el ordenador de casa, etc. Y estas soluciones en muchas ocasiones únicamente protegen esa red corporativa.
Las APT son ataques con un alto impacto en la continuidad del negocio de una compañía, en su reputación o, incluso, en su expansión en lo que son sus mercados naturales. Una APT permite a un atacante, o a un competidor, obtener una ventaja e iniciativa casi inigualable
Frente a este tipo de amenazas, Orange ha lanzado para las grandes empresas el servicio Secure Endpoint, su solución contra ataques APT para entornos de escritorio y servidores Windows.
Este servicio proporciona una visibilidad detallada de toda la actividad en los endpoints, es decir, proporciona un control de todos los procesos en ejecución y, reduce la superficie posible de ataque. Su funcionamiento basado en técnicas analíticas de Machine Learning y Big Data clasifica como goodware o malware cada una de las acciones ejecutadas dentro de la red y servidores corporativos.
Otra clave para la protección de las organizaciones frente a las APT es la apuesta por profesionales especializados, como son los equipos que conforman un RedTeam, que imitando las tácticas, técnicas y procedimientos de los atacantes logran detectar las brechas de seguridad que existen, pudiendo así subsanarse.
Tendencia 2019: ¿por qué están de moda las amenazas APT?
Aunque llevamos años siendo conscientes de la presencia de este tipo de amenazas de ciberseguridad, lo cierto es que están despuntando en los últimos meses y lo seguirán haciendo durante el año 2019.
Los ataques APT pueden tener un alto impacto en la continuidad del negocio de una compañía, en su reputación.Precisamente por eso no paran de crecer y convertirse en tendencia: por la espectacular ventaja que suponen con respecto a la empresa atacada, así como por la discreción de su ataque y su mantenimiento y persistencia en el tiempo.
La última pregunta que hay que intentar responder es si las empresas españolas están preparadas para evitar estos ciberataques y si están “manos a la obra” para combatirlos.
Las empresas españolas empiezan a darse cuenta de que pueden sufrir una brecha de seguridad en cualquier momento (54%); sin embargo, no están seguras de cuál es la estrategia más efectiva para responder a las mismas (39,7%)
Según el estudio “Nuevas amenazas, nueva mentalidad: estar preparado para el riesgo en un mundo de ataques complejos”, elaborado por Kaspersky Lab, hace apenas un año, solo dos terceras partes de los encuestados de empresas españolas (es decir, un 65%) aseguraron que las amenazas son cada vez más sofisticadas, mientras que para el 54% es cada vez más difícil distinguir entre ataques genéricos y complejos.
Asimismo, también empiezan a darse cuenta de que pueden sufrir una brecha de seguridad en cualquier momento (54%); pero sin embargo no están seguras de cuál es la estrategia más efectiva para responder a las mismas (39,7%). Algo que se convierte en especialmente grave al observar que la incertidumbre es significativamente más alta (63%) entre los expertos en seguridad TI.
Aún queda por recorrer un camino para concienciar a los niveles de toma de decisión de las compañías en la importancia que tienen estos temas para la continuidad del negocio. Un camino que entre todos hay que ir acortando.
Imágenes / iStock
