Las amenazas que vienen, las APT

Actualizaciones constantes del sistema, despliegues de seguridad inteligente y usuarios bien informados, principales armas de las empresas para luchar contra las APT (Amenazas Avanzadas Persistentes). 

Por Graeme Nash, Director de Soluciones Estratégicas de Fortinet

Una de las mayores amenazas a nivel empresarial está protagonizada por los criminales que se infiltran en las redes para robar información de alto valor. Ghostnet (una botnet desplegada en distintas oficinas y embajadas para controlar la agenda del Dalai Lama), Shady RAT (similar a Ghostnet pero con objetivos corporativos globales y gubernamentales), Operation Aurora (para controlar las cuentas de Gmail de disidentes chinos en 2009) y Stuxnet (un intentó para interrumpir el programa de enriquecimiento con uranio de Irán) en 2010, son sólo algunos de los casos más sonados.

En los últimos meses, las conocidas “Amenazas Avanzadas Persistentes" (Advanced Persistent Threats -APT) se han extendido con tal rapidez que las empresas se han visto obligadas a replantearse el actual paradigma de la seguridad. Las compañías han empezado a preguntarse si tiene más sentido dedicarse a protegerse frente a estos ataques o aceptar que es posible que los criminales accedan alguna vez a los sistemas y centrarse en detectarles tan pronto sea posible para minimizar los daños. 

Las APT van especialmente dirigidas a una organización específica y suelen ir penetrando de forma silenciosa y lenta en los sistemas con el objetivo de ir consiguiendo datos interesantes en lugar de buscar una recompensa económica inmediata. Las definiciones precisas de APT varían pero todas coinciden en señalar unas características comunes:

• Advanced – Los autores de la amenaza disponen de una gran variedad de técnicas a su disposición. Entre ellas se encuentran las tecnologías y técnicas de intrusión para acceder al PC, pero también cuentan con otras herramientas para la obtención de inteligencia y de métodos de creación de perfiles. El malware también puede apropiarse de información específica de individuos concretos con el objetivo de utilizarla en una segunda fase del ataque. Las técnicas de ingeniería social son desplegadas normalmente en esta etapa. Mientras que los componentes individuales del ataque pueden no ser especialmente avanzados, sus operadores sí pueden desarrollar herramientas más avanzadas. Los atacantes normalmente combinan múltiples métodos para llegar a su objetivo, comprometerlo y mantener el acceso al mismo.

• Persistent – Los cibercriminales dan prioridad a una tarea específica más que a buscar información de manera oportunista para obtener beneficios financieros o de otro tipo. Uno de los requerimientos clave para las APT, a diferencia de una botnet habitual, es mantenerse invisible el mayor tiempo posible. Así, la APT tiende a centrarse en ataques “silenciosos y lentos” que les permiten moverse de un host infectado a otro sin generar tráfico de red previsible o regular, para llegar a sus datos específicos u objetivos del sistema. Su mayor esfuerzo está en asegurarse de que esas acciones maliciosas no son observadas por los legítimos operadores de los sistemas.

• Threat – Las APT son una auténtica amenaza tanto por su capacidad como por su intención. El componente humano es básico, ya que va más allá de una simple pieza de código. Los cibercriminales que se dirigen a estos activos de alto valor están capacitados, motivados, organizados y bien remunerados.

La debilidad de la infraestructura agrava las brechas producidas por las APT

Las APT rompen las redes corporativas a través de una gran variedad de vectores, incluyendo la infección por malware basado en internet, infección de malware físico y explotación externa. Los autores de una APT no necesitan obligatoriamente romper el perímetro de la red externa – pueden, y con frecuencia lo hacen, aprovechar los vectores internos y las “conexiones seguras” para acceder a los sistemas objetivo.

Una vez que los atacantes entran en los sistemas, hay determinadas deficiencias en la infraestructura de la organización que facilitan la consecución de la información deseada:

1. A medida que una organización se expande, tiende a combinar sistemas distintos, unir redes e inte