Inicio

Topics

Amenazas persistentes avanzadas

¿Qué son las amenazas persistentes avanzadas?
Explore los servicios de gestión de amenazas de IBM Regístrese para recibir actualizaciones de temas de seguridad
Ilustración con collage de pictogramas de nubes, teléfono móvil, huella dactilar, marca de verificación

Publicado: 3 de abril de 2024
Colaboradores: Gregg Lindemulder, Amber Forrest

¿Qué son las amenazas persistentes avanzadas?

Las amenazas persistentes avanzadas (APT) son ciberataques no detectados diseñados para robar datos confidenciales, realizar ciberespionaje o sabotear sistemas cruciales durante un largo periodo de tiempo. A diferencia de otras ciberamenazas como el ransomware, el objetivo de un grupo de ataque APT es pasar desapercibido mientras se infiltra y amplía su presencia en una red objetivo.

Los equipos de ciberdelincuentes patrocinados por el estado a menudo ejecutan ataques APT para acceder a la información confidencial de otros estados-nación o a la propiedad intelectual de grandes organizaciones. Aunque inicialmente pueden utilizar técnicas tradicionales de ingeniería social, estos actores de amenazas son conocidos por personalizar herramientas y métodos avanzados para explotar las vulnerabilidades únicas de organizaciones específicas. Un ataque APT exitoso puede durar meses o incluso años.

IBM® X-Force Exchange
Contenido relacionado Descubra las estadísticas clave del informe "Cost of a Data Breach"
Etapas de un ataque APT
Infiltración

Los grupos de APT a menudo obtienen acceso inicial a su red objetivo a través de la ingeniería social y el spear phishing. Gracias a la información recopilada de fuentes internas y externas a una organización, los atacantes APT crearán sofisticados correos electrónicos de spear phishing para convencer a los ejecutivos o altos cargos de que hagan clic en un enlace malicioso. Los atacantes también pueden perseguir otros puntos de entrada y superficies de ataque para penetrar en la red. Por ejemplo, pueden lanzar un ataque de día cero contra una vulnerabilidad sin parches en una aplicación web, o incrustar malware en un sitio web público que se sabe que los empleados visitan.

Exploración y expansión

Después de la intrusión inicial, los grupos de APT explorarán y rastrearán la red para determinar los próximos mejores pasos para el movimiento lateral en toda la organización. Mediante la instalación de una serie de puertas traseras, que les permiten acceder a la red desde múltiples puntos de entrada, pueden seguir realizando reconocimientos e instalar malware oculto. También pueden intentar descifrar contraseñas y obtener derechos administrativos para proteger las áreas donde residen los datos confidenciales. Lo más importante es que los atacantes crearán una conexión con un servidor de comando y control externo para la administración remota de los sistemas pirateados.

Exfiltración

Para prepararse para el primer caso de robo de datos, los grupos APT trasladarán la información que han recopilado a lo largo del tiempo a una ubicación centralizada y segura dentro de la red. También pueden cifrar y comprimir los datos para facilitar la exfiltración. Luego, para distraer al personal de seguridad y desviar recursos, pueden organizar un evento de “ruido blanco”, como un ataque de denegación de servicio distribuido (DDoS). En este punto, pueden transferir los datos robados a un servidor externo sin ser detectados.

Mantenimiento

Los grupos APT pueden permanecer dentro de una red vulnerada durante un período prolongado o indefinidamente, mientras esperan nuevas oportunidades para organizar un ataque. Durante este tiempo, pueden mantener su presencia oculta reescribiendo el código para ocultar el malware e instalando rootkits que proporcionan acceso a sistemas sensibles sin ser detectados. En algunos casos, pueden eliminar las pruebas del ataque y abandonar la red por completo después de haber logrado sus objetivos.

Técnicas comunes de ataque APT
Ingeniería social

Mediante correos electrónicos de phishing de amplia difusión, correos electrónicos de spear phishing muy personalizados u otras tácticas de manipulación social, los grupos APT convencen a los usuarios para que hagan clic en enlaces maliciosos o revelen información que les permita acceder a sistemas protegidos.

Ataques de día cero

Mediante la implementación de shellcode malicioso que escanea las redes en busca de vulnerabilidades de software sin parches, los grupos de APT pueden explotar las áreas de debilidad antes de que los administradores de TI puedan reaccionar.

Ataques a la cadena de suministro

Los grupos de APT pueden dirigirse a socios comerciales, tecnológicos o proveedores confiables de una organización para obtener acceso no autorizado a través de cadenas de suministro de software o hardware compartidas.

Rootkits

Con la capacidad de proporcionar acceso oculto y de puerta trasera a sistemas protegidos, los rootkits son una herramienta valiosa para ayudar a los grupos APT a ocultar y gestionar operaciones remotas.

Servidores de mando y control

Una vez que los grupos de APT se afianzan en una red vulnerada, establecen una conexión con sus propios servidores externos para gestionar de forma remota el ataque y exfiltrar datos confidenciales.

Otras técnicas

Los grupos APT pueden utilizar una variedad de otras herramientas para expandir y ocultar su presencia en una red, como gusanos, registros de teclas, bots, descifrado de contraseñas, software espía y ofuscación de códigos.

Ejemplos de grupos APT
APT34 (Helix Kitten)

Conocido por sus correos electrónicos de spear phishing notablemente convincentes y bien investigados, Helix Kitten supuestamente opera bajo la supervisión del gobierno de Irán. El grupo se dirige principalmente a empresas de Oriente Medio en sectores como el aeroespacial, las telecomunicaciones, los servicios financieros, la energía, la química y la hostelería. Los analistas creen que estos ataques están destinados a beneficiar los intereses económicos, militares y políticos de Irán.

APT41 (Wicked Panda)

Wicked Panda es un conocido y prolífico grupo APT con sede en China, supuestamente vinculado al Ministerio de Seguridad del Estado y al Partido Comunista Chino. Además de realizar ciberespionaje, los miembros de este grupo también son conocidos por atacar a empresas para obtener beneficios económicos. Se cree que son responsables de piratear las cadenas de suministro sanitario, robar datos confidenciales de empresas de biotecnología y sustraer los pagos de la ayuda COVID-19 en Estados Unidos.

Stuxnet

Stuxnet es un gusano informático que se utilizó para interrumpir el programa nuclear de Irán atacando los sistemas de supervisión, control y adquisición de datos (SCADA). Aunque ya no está activo, se consideraba una amenaza poderosamente eficaz cuando se descubrió en 2010, causando importantes daños a su objetivo. Los analistas creen que Stuxnet lo desarrollaron conjuntamente Estados Unidos e Israel, aunque ninguno de los dos países ha admitido abiertamente su responsabilidad.

Lazarus Group

Lazarus Group es un grupo APT con sede en Corea del Norte que se cree responsable del robo de cientos de millones de dólares en moneda virtual. Según el Departamento de Justicia de los Estados Unidos, los delitos forman parte de una estrategia para socavar la ciberseguridad mundial y generar ingresos para el gobierno norcoreano. En 2023, el FBI de los Estados Unidos acusó a Lazarus Group de robar 41 millones de dólares en moneda virtual de un casino en línea.

Detección de un ataque APT

Dado que los ataques APT están diseñados para imitar las operaciones normales de la red, pueden ser difíciles de detectar. Los expertos recomiendan varias preguntas que los equipos de seguridad deben hacerse si sospechan que han sido atacados.

¿Hay actividad inusual en las cuentas de usuario?

Los actores de amenazas APT apuntan a cuentas de usuarios de alto valor con acceso privilegiado a información confidencial. Estas cuentas pueden experimentar volúmenes inusualmente altos de inicios de sesión durante un ataque. Y, debido a que los grupos APT a menudo operan en diferentes zonas horarias, estos inicios de sesión pueden ocurrir a altas horas de la noche. Las organizaciones pueden utilizar herramientas como detección y respuesta de endpoints (EDR) o análisis de comportamiento de entidades y usuarios (UEBA) para analizar e identificar actividades inusuales o sospechosas en las cuentas de los usuarios.

¿Hay un aumento significativo de troyanos de puerta trasera?

La mayoría de los entornos de TI sufren troyanos de puerta trasera, pero durante un ataque de APT su presencia puede generalizarse. Los grupos de APT confían en los troyanos de puerta trasera como respaldo para volver a entrar en los sistemas comprometidos tras ser vulnerados.

¿Hay una actividad inusual de transferencia de datos?

Una desviación significativa de la línea base normal de la actividad de transferencia de datos puede sugerir un ataque APT. Esto podría incluir un aumento abrupto en las operaciones de bases de datos y la transferencia interna o externa de cantidades masivas de información. Las herramientas que monitorizan y analizan los registros de eventos de fuentes de datos, como la información de seguridad y la gestión de eventos (SIEM) o la detección y respuesta de red (NDR), pueden ser útiles para marcar estos incidentes.

¿Se han agregado datos y se han movido a una ubicación inusual?

Los grupos de APT suelen acumular grandes cantidades de datos de toda la red y trasladan esa información a una ubicación central antes de ser filtrados. Los paquetes grandes de datos en una ubicación extraña, especialmente si están en formato comprimido, pueden indicar un ataque de APT.

¿Han recibido los ejecutivos correos electrónicos de spear phishing?

Los ataques de spear phishing dirigidos a un pequeño número de líderes de alto nivel son una táctica común entre los grupos de APT. Estos correos electrónicos a menudo contienen información confidencial y utilizan formatos de documentos como Microsoft Word o Adobe Acrobat PDF para iniciar software malicioso. Las herramientas de monitoreo de integridad de archivos (FIM) pueden ayudar a las organizaciones a detectar si los activos de TI cruciales han sido manipulados debido a malware incrustado en correos electrónicos de spear phishing.

Protección contra un ataque APT

Existen medidas de seguridad que las organizaciones pueden tomar para mitigar el riesgo de que los hackers de APT obtengan acceso no autorizado a sus sistemas. Dado que los grupos de APT adaptan continuamente nuevos métodos para cada vector de ataque, los expertos recomiendan un enfoque amplio que combine múltiples soluciones y estrategias de seguridad, que incluyen:

 

  • Aplicación de parches de software para proteger las vulnerabilidades de la red y del sistema operativo contra los exploits de día cero.
  • Monitorización del tráfico de red en tiempo real para detectar actividades maliciosas como la instalación de puertas traseras o la exfiltración de datos robados.
  • Uso de firewalls de aplicaciones web en puntos de conexión de red que filtran el tráfico entre las aplicaciones web e Internet para evitar ataques entrantes.
  • Implementación de controles de acceso estrictos que impidan que usuarios no autorizados accedan a sistemas y datos confidenciales o de alto nivel.
  • Realización de pruebas de penetración para identificar áreas de debilidad y vulnerabilidades que los grupos APT podrían explotar durante un ataque.
  • Aprovechamiento de la inteligencia sobre amenazas para comprender mejor el ciclo de vida de un ataque APT y planificar una respuesta eficaz al incidente si parece que se está produciendo uno.
Soluciones relacionadas
Servicios de gestión de vulnerabilidades

Identifique, priorice y gestione la corrección de los defectos que podrían exponer sus activos más cruciales.

Explorar servicios de gestión de vulnerabilidades
Recursos IBM X-Force Threat Intelligence Index

Obtenga información procesable que le ayudará a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.

¿Qué es la gestión de amenazas?

La gestión de amenazas es un proceso que utilizan los profesionales de la ciberseguridad para prevenir ciberataques, detectar ciberamenazas y responder a incidentes de seguridad.

¿Qué es un actor de amenazas?

Los actores de amenazas, también conocidos como actores de ciberamenazas o actores maliciosos, son individuos o grupos que causan daños intencionadamente a dispositivos o sistemas digitales.

Dé el siguiente paso

Los servicios de ciberseguridad de IBM ofrecen servicios de asesoramiento, integración y seguridad gestionada, así como capacidades ofensivas y defensivas. Combinamos un equipo global de expertos con tecnología propia y de socios para crear conjuntamente programas de seguridad personalizados que gestionen el riesgo.

Explore los servicios de ciberseguridad Suscríbase al boletín de Think