Amenaza persistente avanzada

Significa «amenaza persistente avanzada» y hace referencia a ciberataques especialmente sofisticados. Las amenazas persistentes avanzadas suelen ser selectivas y pueden causar daños muy graves. Por un lado, mediante la destrucción de datos (sabotaje). Por otro, mediante el espionaje de datos de especial valor, como secretos de Estado o innovaciones de productos (espionaje).

¿Qué significa exactamente el término «amenaza persistente avanzada»?

En una amenaza persistente avanzada, los ciberdelincuentes invierten mucho tiempo, esfuerzo y conocimientos técnicos para atacar de forma selectiva a una empresa. Esta determinación es lo que distingue a las amenazas persistentes avanzadas de muchos otros riesgos cibernéticos. Entre los objetivos típicos de una amenaza persistente avanzada se encuentran, entre otros:

• Autoridades
• Centros de investigación
• Infraestructuras críticas de un país
• Grandes y medianas empresas, especialmente del sector de la alta tecnología
• Empresas especialmente innovadoras, como los «campeones ocultos»
• Instalaciones militares, industria armamentística y sus empresas asociadas y proveedoras

Las amenazas persistentes avanzadas se caracterizan por una actuación planificada y a largo plazo por parte de los ciberdelincuentes:

• El primer paso es conseguir acceso a la red. A continuación, se puede utilizar malware que, en apariencia, se distribuye sin un objetivo concreto, como por ejemplo, troyanos en un archivo adjunto de correo electrónico.
• A continuación, los ciberdelincuentes intentan mantener y ampliar su acceso a la red.
• Para ello, utilizan diferentes técnicas en función de la situación, por ejemplo: software malicioso (malware) para tareas específicas, la creación de puertas traseras de importancia estratégica, el establecimiento y la ampliación de una infraestructura informática oculta, y la respuesta en tiempo real a las medidas de seguridad del sistema atacado

Por lo general, en una amenaza persistente avanzada, los ciberdelincuentes pretenden permanecer ocultos el mayor tiempo posible. De este modo, pueden espiar datos actualizados de forma constante o causar el mayor daño posible en un momento posterior. Las amenazas persistentes avanzadas suelen permanecer activas durante mucho tiempo antes de ser detectadas; en algunos casos, se habla de una media de más de 400 días. La mayoría de las amenazas persistentes avanzadas son detectadas por personas ajenas a la organización o por casualidad.

¿En qué situaciones me encuentro con amenazas persistentes avanzadas en mi día a día laboral?

Las amenazas persistentes avanzadas pueden aparecer en cualquier parte y en ninguna parte. En cualquier parte, en el sentido de que los ciberdelincuentes pueden aprovechar numerosos puntos de ataque para acceder a los sistemas informáticos de su empresa. Entre otros, a través de:

• Malware en archivos adjuntos de correo electrónico (por ejemplo, troyanos, keyloggers)
• Phishing, spear phishing
• Publicidad a través de aplicaciones web comprometidas
• Ingeniería social
• Malware en soportes extraíbles, como memorias USB o artículos promocionales que se conectan por USB
• Puestos de trabajo desocupados temporalmente y sin protección
• Fraude del director general
• Malware en la «TI en la sombra» (dispositivos, servicios y programas que se utilizan tanto a título personal como en el ámbito laboral. Muchos de estos no se tienen en cuenta en las medidas de seguridad y, por así decirlo, permanecen en la sombra).

En ningún caso, en el sentido de que una amenaza persistente avanzada (APT) no suele ser perceptible para un usuario normal. Los ciberdelincuentes dan mucha importancia a esto para evitar lo que, desde su punto de vista, sería un descubrimiento prematuro.

¿Qué puedo hacer para protegerme de las amenazas persistentes avanzadas?

Prevención

En principio: proceda por etapas siempre que sea posible. En el caso de una amenaza persistente avanzada, los ciberdelincuentes dedican mucho tiempo a identificar y aprovechar las vulnerabilidades de la red de su empresa. Reduzca al mínimo sus puntos vulnerables maximizando su ciberseguridad, entre otras cosas mediante:

• Medidas técnicas como, por ejemplo, cortafuegos, antivirus, programas de detección de spyware, redes wifi cifradas y autenticación de dos factores
• Medidas de seguridad e higiene: mantener siempre actualizados los sistemas operativos, el software y, en particular, los programas antivirus mediante actualizaciones. Realizar comprobaciones exhaustivas con frecuencia.
• Medidas dirigidas al personal: cursos de formación, campañas de sensibilización y de concienciación. Sus empleados son un factor de protección importante para su empresa, sobre todo en lo que respecta al numeroso malware que se difunde por correo electrónico.
• Medidas organizativas y técnicas: redes separadas para las distintas áreas, derechos de acceso por niveles, eliminación inmediata de todas las cuentas de usuario de los antiguos empleados
• Medidas del administrador: supervisión del tráfico de datos saliente para detectar anomalías; supervisión de los inicios de sesión para detectar anomalías (por ejemplo, un número inusual de inicios de sesión durante la noche); inclusión de programas en una lista blanca; especial atención a grandes volúmenes de datos en ubicaciones inusuales y formatos de compresión poco habituales

Si detecta una amenaza persistente avanzada

Mantenga la calma. Sobre todo, asegúrese de que los ciberdelincuentes no se den cuenta de que han sido descubiertos. Por el momento, no modifique nada en su infraestructura informática, no limpie ningún sistema, nada.

• Actúe fuera de su infraestructura de TI. Por ejemplo, llame por teléfono móvil a su departamento de TI o a su proveedor de servicios de TI para que se pueda iniciar lo antes posible la fase de análisis de la respuesta ante incidentes.
• ATENCIÓN: En el caso de una amenaza persistente avanzada, es probable que los ciberdelincuentes estén vigilando toda su red, incluyendo el correo electrónico, las llamadas VoIP y el calendario. No dé ninguna pista que revele que ha detectado la amenaza persistente avanzada.
• Recurra lo antes posible a expertos externos en seguridad informática, como Perseus, que tengan experiencia en la gestión de incidentes relacionados con amenazas persistentes avanzadas.
• Informe también a las autoridades competentes. Allí se tratará su incidente cibernético de forma confidencial. Por un lado, esta información es importante para protegerle mejor a usted y a su empresa. Por otro lado, es posible que su empresa no sea el objetivo final de la amenaza persistente avanzada, pero que contribuya de manera importante a la investigación.

Entre otros, puede dirigirse a los siguientes organismos:

• El Equipo de Respuesta a Emergencias Informáticas de la Administración Federal (CERT-Bund) de la Oficina Federal de Seguridad en la Tecnología de la Información (BSI)
• La Oficina Regional de Protección de la Constitución (LfV) de su jurisdicción
• La policía; más concretamente: los centros de atención para la ciberdelincuencia de las policías regionales y federal en el ámbito económico.

Información de interés

El documento de recomendaciones «Protéjase contra los ciberataques profesionales selectivos», elaborado por la Oficina Federal Alemana de Seguridad de la Información (BSI), ofrece una buena introducción detallada a este tema.

El documento de trabajo «Primeros auxilios ante un ataque APT» del BSI ofrece una primera orientación sobre cómo reaccionar adecuadamente tras detectar una amenaza persistente avanzada. Dado que este documento es de acceso público, en muchos puntos aparecerá la indicación «Contenido eliminado», ya que esta información también resultaría muy valiosa para los ciberdelincuentes.