El termino APT pareciera ser el “hit del verano” en Latinoamérica. Lo que antes solía ser una forma de ciberataque que preocupaba solamente a las grandes empresas y gobiernos, hoy es una preocupación real para empresas medianas.

Pero antes de detallar los pormenores, vamos a quitarle la ambigüedad a la expresión propiamente dicha.

El anglicismo APT es un acrónimo para Advanced Persistent Threat (Amenaza Persistente Avanzada). Existen empresas e investigadores que utilizan este acrónimo para definir ciertos tipos de malware específicos (normalmente los que ofrecen protección contra los mismos), pero para poder entender la verdadera amenaza, vamos a utilizar la siguiente definición del Instituto Nacional de Normas y Tecnología de los EE.UU (NIST):

“La amenaza persistente avanzada es un ataque dirigido con niveles sofisticados de pericia y recursos que le permiten a los atacantes por medio del uso de múltiples vectores de ataque (malware, vulnerabilidades, Ingeniería Social, entre otras), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer y extender su posicionamiento dentro de la infraestructura de tecnología de la información de organizaciones con el objetivo de filtrar información hacia el exterior continuamente o minar o impedir aspectos importantes de una misión, un programa o una organización, o ubicarse en una posición que le permita hacerlo en el futuro. Además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un lapso extenso de tiempo, adaptándose a las medidas de defensa del atacado, y con la determinación de mantener el nivel de interacción necesario para ejecutar sus objetivos”.

Amenaza

Se trata de una amenaza porque existe un atacante (o grupo de atacantes) con un objetivo ilícito bien establecido.

Persistente

Es persistente porque se da en un largo período de tiempo. Estos tipos de ataques se difieren de las típicas campañas de phishing, por ejemplo, donde el atacante trata de robar toda la información que puede antes de ser detectado. Las APT pueden permanecer activas por años, e incluso muchas veces quedan ocultas (sin ser detectadas y sin causar daños) en la red de las víctimas por meses o años esperando obtener datos específicos, para entonces actuar, robando la información que buscaba.

Avanzada

Es avanzada porque los atacantes que participan de estos tipos de ataques suelen tener conocimiento avanzado de programación y seguridad de la información, así que no solamente hacen uso de malware conocido, técnicas de Ingeniería Social muy utilizadas (como el phishing) y vulnerabilidades viejas, sino que también explotan vulnerabilidades previamente desconocidas, ataques 0-day además de técnicas novedosas que ellos mismos tienen la habilidad y conocimientos para desarrollar.

En Latinoamérica, estos ataques no son tan complejos (todavía), pero la tendencia indica que evolucionarán, ya que existe el intercambio de información entre los ciberdelincuentes en la Deep Web. Por esodejamos consejos para que las empresas puedan protegerse de estos ataques:

  • Contar con una solución de seguridad que proteja la red corporativa a través de un firewall, para evitar el acceso no deseado de terceros a la red interna.
  • Contar con soluciones de seguridad para todos los dispositivos que se conectan a la red (interna y/o Internet), ya que tan solo infectando un dispositivo(USB, Flash, smartphone, tablet, notebook, PC, servidor), el atacante ya superó el firewall. Más allá de lo avanzado que sea el ataque, la gran mayoría todavía tiene éxito gracias a malware conocido.
  • Mantener todo el softwares y el firmware actualizados. Programas y dispositivos no actualizados y/o parcheados son puertas de entrada para los atacantes, ya que las actualizaciones y parches suelen corregir vulnerabilidades en estos medios.
  • ¡Concientización! Thomas Reid, en uno de sus trabajos de filosofía, dijo: “En cada cadena de razonamiento, la evidencia de la última conclusión no puede ser mayor que el eslabón más débil de la cadena, sin importar la fuerza del resto”. Así que, sin importar cuánto se invierte en tecnología, si los empleados con acceso a la información no tienen los conocimientos necesarios para proteger la misma, el atacante ya posee un vector de ataque accesible.
  • Evitar otorgar privilegios de administrador a empleados a menos que sea absolutamente necesario.

Siguiendo estos consejos es posible minimizar las chances de sufrir un ataque APT y poder seguir disfrutando de la tecnología y de todo que la misma puede ofrecer a una corporación exitosa.