Los ciberdelincuentes siguen perfeccionando sus ataques con técnicas más sofisticadas para conseguir acceder a un sistema o sector estratégico concreto. El problema se agrava cuando su objetivo no es simplemente hacer un daño puntual, sino perdurar ahí durante un período de tiempo prolongado, de manera persistente. En dicho caso hablamos de Amenazas Persistentes Avanzadas (APT).
Etapas de las APT
Pese a que cualquier empresa puede verse afectada, las APT afectan especialmente a objetivos de gran valor, como gobiernos y grandes corporaciones. Un informe elaborado por la Universidad Piloto de Colombia recoge, de manera rigurosa, cómo es el ciclo de vida de una APT. Se basa en movimientos minuciosos, planeados y estudiados de manera rigurosa.
La primera gran fase es la incursión. Los atacantes investigan y certifican las personas o entidades a las que se dirigirán los ataques, obteniendo direcciones de correo electrónico o algún dato que pudiese transformarse en un vector de ataque. Generalmente, comienza con correos de phishing.
Después, llega la fase de descubrimiento. El atacante debe estudiar todos los movimientos del objetivo sin ser descubierto. Para ello, emplea movimientos laterales y herramientas de reconocimiento pasivo sobre la red. A continuación, captura la información confidencial y emplea malware para atentar y sustraer los datos. A partir de ahí, genera órdenes a las máquinas comprometidas de manera remota.
La exfiltración es la etapa en la que el atacante inicia la extracción de información mediante peticiones DNS o VPN. No obstante, dependerá de la tipología de ataque y del objetivo seleccionado. Una vez completadas todas las fases, el atacante intentará borrar su rastro, aunque para evitarlo los profesionales de ciberseguridad deberán trabajar para evitar los avances de fases de una APT.
Tendencias clave de APT
Las APT han sido un ataque fundamental durante 2023, generando daños cuantiosos a empresas e instituciones de toda índole. En primer lugar, destacar la evolución de tácticas, pues los actores APT trabajan para eludir las soluciones de seguridad, por lo que perfeccionan sus tácticas, técnicas y procedimientos (TTP) para diversificar sus ataques.
Para ello, en muchos casos, los ataques de APT incorporan la IA. Lo hacen mediante la utilización de algoritmos de aprendizaje automático que permiten mejorar la eficacia de sus ataques y evadir la detección.
Otra tendencia son los ataques a la cadena de suministro. Conforme se perfeccionan éstos, se aprecia un interés de los APT por comprometer a proveedores y socios de una determinada organización. Si se manipulan los suministros de hardware y software, las vulnerabilidades serían inminentes.
Como tendencia clara es el uso de ransomware, consolidándose como una táctica adicional para aumentar su poder y obtener importantes beneficios financieros. Si se ejerce una mayor presión sobre las víctimas, se conseguirá que paguen el rescate de forma más inminente.
Los ciberdelincuentes han ido mejorando paulatinamente sus ataques hasta tal punto que se han dirigido a objetivos de sectores específicos (atención médica, financiero, energía e infraestructuras críticas). En resumen, sectores estratégicos que manejan una información valiosa y que suponen un gran impacto en la sociedad. La defensa de los países pasa a ser el empleo de la APT para obtener ventajas estratégicas (robar secretos comerciales o llevar a cabo operaciones encubiertas).
Hay que tener en cuenta los ataques basados en nubes. Es donde especialmente centran sus esfuerzos a raíz de la adopción de este tipo de servicios. De ahí que se centren en entornos cloud para acceder a datos confidenciales y sistemas críticos. Todo ello sin descuidar los dispositivos IoT y OT. Y es que tanto el Internet de las cosas como las tecnologías de operación cobran un gran calado social, pero a la par mayor vulnerabilidad, lo que demuestra que si se explotan eficientemente, los atacantes podrán acceder a redes empresariales.
En cualquier caso, persiste la estrategia de aprovechamiento de eventos mundiales (pandemias, conflictos políticos o crisis económicas) como señuelos para atraer a las víctimas y aumentar la probabilidad de éxito. Incluso se aprecia un desarrollo de APT a medida, creándose herramientas y malware personalizados para cualquier ataque específico, lo que dificulta su detección y mitigación por los métodos de seguridad convencionales.
El valor de los algoritmos en la detección de APT
Un estudio elaborado en 2021 para la Universidad de Salamanca recoge la importancia de los algoritmos de ML en la detección de un ataque de APT. El algoritmo logistic regression es sencillo de entrenar, con alto grado de escalabilidad, mientras que el algoritmo decision tree es más rápido y preciso, manejando un amplio conjunto de datos y dando lugar a patrones más sencillos de entender.
El algoritmo support vector machine es eficiente en el uso de memoria con un conjunto de datos pequeños, mientras que el algoritmo artificial neural network tiene la capacidad de aprender de eventos no lineales y complejos, logrando altas tasas de cálculo mediante elementos de procesamientos simples. Por su parte, el algoritmo k-NN se basa en la clasificación y regresión. Al no requerir de entrenamiento, se le pueden añadir nuevos datos sin afectar a su precisión. Pero el más eficiente, simple y fácil de implementar será el algoritmo naive bayes.
En resumen, todo pasa por una colaboración estratégica y constante entre gobiernos, empresas y expertos en ciberseguridad para abordar las APT en nuevos horizontes como la nube, el IoT y los sectores estratégicos. Solo así se logrará proteger la infraestructura digital.