Muchas empresas hacen todo lo posible para recopilar la mayor cantidad de datos posible sobre los clientes. Algunos incluso regalan sus productos a cambio del permiso para recopilar información personal.
Como resultado, incluso las empresas más pequeñas ahora tienen una gran cantidad de datos valiosos. Y cada vez más actores de amenazas buscan formas de robarlo. Un ejemplo de esto es un tipo de ataque cibernético conocido como amenaza persistente avanzada.
Entonces, ¿qué es una amenaza persistente avanzada? ¿Cómo ves uno? ¿Y qué debe hacer si cree que su sistema ha sido afectado por una APT?
¿Qué es una amenaza persistente avanzada (APT)?
Una amenaza persistente avanzada es un tipo de ataque mediante el cual un intruso obtiene acceso a un sistema y luego logra permanecer allí sin ser detectado durante un largo período de tiempo.
Este tipo de ataque generalmente se lleva a cabo con el objetivo de espionaje. Si el objetivo fuera simplemente dañar un sistema, no habría razón para quedarse. Las personas que llevan a cabo estos ataques no intentan destruir los sistemas informáticos. Simplemente quieren acceder a los datos que poseen.
Las amenazas persistentes más avanzadas utilizan técnicas de piratería sofisticadas y se adaptan a los sistemas informáticos individuales.
Esto hace que estos ataques sean muy difíciles de detectar. Pero uno de los beneficios de su complejidad es que el usuario medio de ordenadores no suele tener que preocuparse por ellos.
A diferencia del malware, que generalmente está diseñado para atacar la mayor cantidad de computadoras posible, las amenazas persistentes avanzadas generalmente se diseñan con un objetivo específico en mente.
¿Cómo ocurre una APT?
La amenaza persistente avanzada es un término relativamente amplio. Por tanto, el nivel de sofisticación empleado en un ataque de este tipo varía mucho.
La mayoría, sin embargo, se pueden dividir fácilmente en tres etapas distintas.
Etapa 1: infiltración
En la etapa inicial, los piratas informáticos simplemente buscan una forma de entrar. Las opciones disponibles para ellos dependerán obviamente de cuán seguro sea el sistema.
Una opción sería el phishing. Quizás puedan hacer que alguien revele accidentalmente sus credenciales de inicio de sesión enviándoles un correo electrónico malicioso. O si eso no es posible, pueden intentar lograr lo mismo a través de la ingeniería social.
Etapa 2: Expansión
El siguiente paso es la expansión. Una vez que los atacantes tengan una entrada válida al sistema, querrán expandir su alcance y probablemente asegurarse de que su acceso existente no pueda ser revocado.
Por lo general, lo harán con algún tipo de malware. Un keylogger, por ejemplo, les permitirá recopilar contraseñas adicionales para otros servidores.
Relacionados: ¿Qué es un keylogger?
Y un troyano de puerta trasera garantizará futuras intrusiones incluso si se cambia la contraseña original robada.
Etapa 3: Extracción
Durante la tercera fase, es hora de robar datos. Por lo general, la información se recopilará de varios servidores y luego se depositará en una única ubicación hasta que esté lista para su recuperación.
En este punto, los atacantes pueden intentar abrumar la seguridad del sistema con algo así como un ataque DDOS. Al final de esta etapa, los datos son realmente robados y, si no se detectan, la puerta queda abierta para futuros ataques.
Señales de advertencia de una APT
Si bien una APT generalmente está diseñada específicamente para evitar la detección, esto no siempre es posible. La mayoría de las veces, habrá al menos alguna evidencia de que se está produciendo un ataque de este tipo.
Spear Phishing
Un correo electrónico de spear phishing puede ser una señal de que una APT está a punto de suceder o se encuentra en las primeras etapas. Los correos electrónicos de phishing están diseñados para robar datos de grandes cantidades de personas de forma indiscriminada. Los correos electrónicos de spear phishing son versiones personalizadas que están diseñadas para dirigirse a personas y / o empresas específicas.
Inicios de sesión sospechosos
Durante una APT en curso, es probable que el atacante inicie sesión en su sistema de forma regular. Si un usuario legítimo inicia sesión repentinamente en su cuenta en horas impares, esto podría ser una señal de que sus credenciales han sido robadas. Otras señales incluyen iniciar sesión con mayor frecuencia y mirar cosas que no deberían ser.
Troyanos
Un troyano es una aplicación oculta que, una vez instalada, puede proporcionar acceso remoto a su sistema. Estas aplicaciones tienen el potencial de ser una amenaza aún mayor que las credenciales robadas. Esto se debe a que no dejan huella, es decir, no hay un historial de inicio de sesión para que lo verifique y no se ven afectados por los cambios de contraseña.
Transferencias de datos inusuales
La mayor señal de que se está produciendo una APT es simplemente que los datos se están moviendo repentinamente, aparentemente sin razón aparente. La misma lógica se aplica si ve que los datos se almacenan donde no deberían estar, o peor aún, en el proceso de ser transferidos a un servidor externo fuera de su control.
Qué hacer si sospecha de una APT
Una vez que se detecta una APT, es importante actuar con rapidez. Cuanto más tiempo tenga un atacante en su sistema, mayor será el daño que pueda ocurrir. Incluso es posible que sus datos aún no hayan sido robados, sino que estén a punto de serlo. Esto es lo que debe hacer.
- Detén el ataque: Los pasos para detener una APT dependen en gran medida de su naturaleza. Si cree que solo un segmento de su sistema se ha visto comprometido, debe comenzar por aislarlo de todo lo demás. Después de eso, trabaje para eliminar el acceso. Esto puede significar revocar las credenciales robadas o, en el caso de un troyano, limpiar su sistema.
- Evaluar el daño: El siguiente paso es averiguar qué sucedió. Si no comprende cómo ocurrió la APT, no hay nada que impida que vuelva a suceder. También es posible que actualmente se esté produciendo una amenaza similar. Esto significa analizar los registros de eventos de los sistemas o simplemente averiguar la ruta que utilizó un atacante para obtener acceso.
- Notificar a terceros: Dependiendo de los datos almacenados en su sistema, el daño causado por una APT puede ser de largo alcance. Si actualmente está almacenando datos que no solo le pertenecen a usted, es decir, los datos personales de clientes, clientes o empleados, es posible que deba informar a esas personas. En la mayoría de los casos, no hacerlo puede convertirse en un problema legal.
Conozca los signos de una APT
Es importante comprender que no existe la protección completa. El error humano puede hacer que cualquier sistema se vea comprometido. Y estos ataques, por definición, utilizan técnicas avanzadas para explotar tales errores.
Por lo tanto, la única protección real de una APT es saber que existen y comprender cómo reconocer los signos de una ocurrencia.
Un modelo de monitoreo de seguridad en tiempo real, la seguridad adaptativa utiliza tácticas modernas para mitigar las amenazas cibernéticas en constante evolución.
Leer siguiente
- Seguridad
- Seguridad en línea
- La seguridad informática
Elliot es un escritor de tecnología independiente. Principalmente escribe sobre tecnología financiera y ciberseguridad.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.