Amenaza persistente avanzada

La amenaza persistente avanzada, conocida también por el término en inglés «advanced persistent threat» designa los ciberataques especialmente elaborados. Este tipo de ataques tienen en su mayoría un objetivo concreto y pueden causar un gran daño. Pueden realizarse mediante la destrucción de datos (sabotaje), pero también mediante el robo de datos especialmente valiosos, como secretos de Estado o innovaciones de productos (espionaje).

¿Qué significa exactamente el término amenaza persistente avanzada?

En este tipo de ataques, los ciberdelincuentes invierten mucho tiempo, esfuerzo y conocimientos técnicos para atacar a una empresa en concreto. Su intensa perseverancia diferencia estas amenazas de muchos otros riesgos cibernéticos. Los objetivos más comunes de este tipo de ataques son:

• Las autoridades Institutos de investigación
• Infraestructuras críticas de un país
• Grandes y medianas empresas, especialmente del sector de alta tecnología
• Empresas especialmente innovadoras, por ejemplo, las llamadas «hidden champions»
• Instituciones militares, industria armamentística y sus empresas asociadas y proveedoras

La amenaza persistente avanzada se caracteriza por un enfoque planificado y a largo plazo de los ciberdelincuentes:

• En primer lugar, hacen una primera toma de contacto con la red. Una vez que han entrado, envían malware supuestamente sin un objetivo fijo, por ejemplo, un troyano en un archivo adjunto de correo electrónico.
• Después, intentan ganar y ampliar su acceso en la red.
• Para ello, utilizan diferentes técnicas en función de la situación; por ejemplo, software malicioso (malware) para tareas específicas, creación de puertas traseras de importancia estratégica, construcción y ampliación de una infraestructura informática oculta y reacciones en tiempo real a las precauciones de seguridad del sistema atacado.

Normalmente, los ciberdelincuentes intentan pasar desapercibidos el mayor tiempo posible. De esta manera, pueden espiar de forma sistemática los datos actuales o causar el mayor daño posible en el futuro. Las amenazas persistentes avanzadas a menudo están presentes mucho tiempo antes de que se detecten; en algunos casos, aguantan una media de más de 400 días. La mayoría de estas amenazas se descubren por accidente o por personas ajenas a la empresa.

¿En el trabajo diario, dónde puedo encontrarme con una amenaza persistente avanzada?

Se pueden encontrar en todas partes y en ninguna. Por un lado, puede encontrarse en todas partes, en el sentido de que los ciberdelincuentes pueden atacar muchos puntos diferentes para acceder a la TI de una empresa, por ejemplo, a través de:

• Malware en archivos adjuntos del correo electrónico (por ejemplo, troyanos, keylogger)
• Phising y spear phising Publicidad a través de aplicaciones web comprometidas
• Ingeniería social Malware en medios extraíbles, como memorias USB u otros dispositivos que funcionen con USB
• Pausas en el trabajo donde se deja el puesto de trabajo desprotegido
• Fraude del CEO
• Malware de la «TI en la sombra», es decir, aquellos dispositivos, servicios y programas que se utilizan tanto de forma privada como en relación con la empresa y que no se tienen en cuenta en muchas medidas de seguridad (permanecen en la sombra, por así decirlo).

Por otro lado, no puede encontrarse en ninguna parte, en el sentido los usuarios no suelen darse cuenta de una amenaza persistente avanzada. Los ciberdelincuentes hacen mucho hincapié en esto para evitar lo que consideran una detección prematura.

¿Qué puedo hacer para protegerme contra una amenaza persistente avanzada

Básicamente, procede en tantos pasos como sea posible. En una amenaza persistente avanzada, los ciberdelincuentes invierten mucho tiempo en identificar y explotar las vulnerabilidades de una red corporativa. Minimiza los puntos de ataque mediante un aumento de la ciberseguridad a través de:

Prevención:

• Medidas técnicas como cortafuegos, antivirus, antispyware, una WLAN cifrada y la autenticación de dos factores.
• Medidas de seguridad e higiene, es decir, mantén siempre actualizados los sistemas operativos, el software y, especialmente, los antivirus.
• Realiza controles frecuentes y exhaustivos.
• Medidas relacionadas con los empleados, entre las que se encuentran la formación, concienciación y campañas informativas. Los empleados son una pieza clave en la protección de la empresa, especialmente por el malware que se propaga a través del correo electrónico.
• Medidas técnico-organizativas, como redes separadas para diferentes áreas, derechos de acceso graduados y eliminación inmediata de todas las cuentas de usuario de los antiguos empleados.
• Medidas del administrador, entre las que se encuentran el control del tráfico de datos salientes y de los inicios de sesión en busca de anomalías (por ejemplo, un número inusualmente alto de intentos de inicio de sesión por la noche), listas blancas de programas, atención especial a las grandes cantidades de datos en ubicaciones de almacenamiento extrañas y a los formatos de compresión poco comunes.

Si descubres una amenaza persistente avanzada:

Mantén la calma. Sobre todo, asegúrate de que los ciberdelincuentes no se den cuenta de que los has descubierto. No cambies nada de la infraestructura informática al principio, no limpies ningún sistema, no hagas nada.

• Responde fuera de la infraestructura informática, por ejemplo, llama a tu departamento informático o a tu proveedor de servicios informático por teléfono para que la parte de análisis de la respuesta al incidente pueda iniciarse lo antes posible.
• ATENCIÓN: en el caso de una amenaza persistente avanzada, es probable que los ciberdelincuentes estén vigilando toda tu red, además de tus correos electrónicos, tus llamadas VoIP y el calendario. No des ninguna pista de que has descubierto el ataque.
• Ponte en contacto lo antes posible con expertos externos en seguridad informática, como Perseus, que dispone de un protocolo de respuesta a incidentes ante una amenaza persistente avanzada.
• Informa también a las autoridades competentes, que tratarán el incidente de forma confidencial. Aunque la información es importante para proteger tu empresa, es posible que no sea el objetivo final de la amenaza persistente avanzada, pero que contribuya de forma importante a la investigación.

Los organismos a los que puedes dirigirte son:

• El Equipo de Respuesta ante Emergencias Informáticas (CERT-Bund) de la Oficina Federal de Seguridad de la Información (BSI por sus siglas en alemán): https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/certbund_node.html (información en alemán) o la Oficina Estatal competente para la Protección de la Constitución (LfV por sus siglas en alemán)
• La policía, en concreto: los puntos de contacto para la ciberdelincuencia de la policía de los estados federados y de la federación económica: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/Polizeikontakt/ZACkontakt/zackontakt.html (información en alemán)
• Información general de interés El informe «Protégete contra los ciberataques profesionales» de la BSI introduce este tema y profundiza en él: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_115.pdf?__blob=publicationFile&v=4 (información en alemán)