_ Carlos Javier García García
Las Amenazas Persistentes Avanzadas o APT, por sus siglas en inglés (Advanced Persistent Threat), son, según la definición utilizada por el Centro Criptológico Nacional en su Informe de Ciberamenazas y Tendencias; Ed. 2019, “Ciberataques dirigidos a instituciones y organizaciones concretas, persiguiendo obtener acceso a largo plazo a una red, filtrando información y propagando el ataque a otros sistemas”. Este tipo de amenaza se basa en un método o forma de proceder más que en una amenaza concreta, y tal y como su propio nombre indica, son amenazas persistentes, lo que quiere decir que siguen durando o se mantienen constantes por un largo periodo de tiempo y no solo cuando están infiltradas en el objetivo, sino que permanecen también en el periodo de preparación del ataque. El adjetivo “Avanzada” indica que la amenaza se distingue por su audacia o novedad, lo que se traduce en una amenaza con capacidades de ataque y/o combinación de ataques que utilizan las técnicas más modernas para evitar las defensas y alcanzar sus objetivos. Tan solo el nombre por el cual se conoce este procedimiento da a entender que requieren de un alto nivel de eficacia, así como una gran inversión monetaria y temporal.
Este tipo de amenazas va un paso por delante respecto a otro tipo de amenazas o grupos de atacantes en el panorama actual, y como muestra y condición de ello, son sus ambiciones, motivaciones y objetivos las que hacen necesario el empleo de dicha metodología. La adquisición de información o inteligencia, tanto de empresas como de Estados, es una de sus motivaciones, lo que hace de estos ataques especialmente peligrosos por la información que pueden llegar a obtener. Otra de las motivaciones que persiguen es la búsqueda de beneficios económicos y financieros a gran escala e incluso el sabotaje. Los objetivos de sus ataques, aunque son variados, van desde objetivos políticos y militares, infraestructuras críticas, Gobiernos y grandes organizaciones dedicadas a las finanzas, tecnología e investigación. Dichos objetivos, tanto por lo que significan para la sociedad, como por la información y valor que suponen, cuentan con grandes medidas de seguridad y ciberseguridad, lo que pone de nuevo el foco en los recursos y capacidades que los grupos de atacantes necesitan para llevar a cabo sus objetivos. Los atacantes suelen organizarse en grupos y pertenecen a distintos colectivos como pueden ser ciberdelincuentes, los cuales suelen buscar el lucro de sus actividades, hacktivistas, que persiguen la reivindicación o protesta sobre alguna temática concreta y Estados o grupos patrocinados por estos, que persiguen ambiciones mayores como puede ser el ciberespionaje o la ciberguerra, cuestiones de vital importancia en el panorama actual.
Ciclo de vida y Características de una APT
- Indagación y estudio del objetivo: Es una fase clave en la consecución del objetivo final. Se basa en recopilar la mayor cantidad de información útil posible para llevar a cabo las siguientes fases, como averiguar las vulnerabilidades técnicas y humanas para utilizarlas tanto como vector de entrada como de salida. De ahí la característica del empleo de métodos de inteligencia como recurso clave en el descubrimiento de la información necesaria para todo el ciclo de ataque. Algunas de las actividades comunes son las siguientes: descubrir que sistemas informáticos utilizan, sus bases de datos, sistemas de seguridad de la red y del puesto de trabajo, organigrama de la institución objetivo, sus proveedores y hasta sus clientes.
- Acceso: Durante esta fase, y mediante distintas técnicas, se explotan aquellas vías de entrada localizadas en la fase anterior. Frecuentemente se dirigen a los empleados por varios motivos como su desconocimiento de seguridad de la información y la mayor probabilidad de éxito, ya que recurrir a la entrada mediante los sistemas de seguridad corporativos es más complejo y necesita aún de mayores recursos. El Spear Phishing o Phishing Dirigido es una de las técnicas utilizadas como método de acceso, la cual se basa en ingeniería social, pero también se utilizan métodos técnicos como la infección a través de webs de terceros (Watering Hole), exploits en servidores web o vulnerabilidades de día cero para acceder a su objetivo. Es importante señalar que no siempre el acceso se realiza de forma directa en el objetivo, sino que también utilizan la cadena de suministro del objetivo para penetrar en sus servicios. Una vez dentro de los sistemas, tratarán de crear accesos remotos ocultos para llevar a cabo las siguientes acciones.
- Expansión y persistencia: El objetivo de esta fase es escalar privilegios de administrador y ampliar la presencia en la red del objetivo mediante lo conocido como movimientos laterales. Durante esta fase se llevan a cabo acciones como la propagación de distintos malware en los dispositivos y en la red de la organización sin levantar sospechas y, debido a la complejidad del objetivo, los distintos grupos de APT utilizan las últimas modalidades de malware del mercado, así como el uso de malware hecho a medida específicamente para determinados objetivos. Incluso se pueden considerar acciones o ataques híbridos, pues emplean diferentes formas, incluyendo la presencia física si fuese requerido, hecho también utilizado durante las fases de acceso e indagación.
- Ejecución y extracción de información: Durante esta fase se lleva a cabo el objetivo último y principal de todas las acciones, bien sea la filtración de información o la inhabilitación de algún servicio determinado. En caso de querer extraer información desde la red del objetivo, los agentes del ataque disponen de varios medios para sustraer la información sin ser descubiertos por los sistemas de seguridad corporativos, manteniéndose invisibles el tiempo necesario para ello.
- Borrado de huellas: Esta etapa se trata de la última fase del ataque, en la que se elimina cualquier indicio o rastro de actividad de la red interna con el objetivo de que la organización no descubra el ataque y por ende no poder ser descubiertos a posteriori. Esta fase se considera de vital importancia, al igual que lo es la fase de reconocimiento del objetivo.
Como se puede apreciar y como su propio nombre indica, las amenazas persistentes avanzadas se caracterizan por su innovación y por su permanencia a la hora de realizar sus acciones, hecho que necesita de grandes conocimientos y elevados recursos económicos, lo que supone una verdadera amenaza para cualquier organismo que se considere objetivo de los atacantes. Pero una vez más, el factor crucial en el proceso es el usuario final de la organización víctima del ataque, por lo que es imprescindible continuar concienciando y capacitando a los profesionales acerca de las últimas tendencias de ataque, todo con el fin de asegurar la continuidad de negocio, vital para la organización expuesta a este tipo de ataques.