Seguridad
Ciberseguridad
Amenazas
malware

Amenazas persistentes avanzadas: qué son y cómo prevenirlas

Amenazas persistentes avanzadas. Sus características las convierten en un elemento de mucho peligro para cualquier red empresarial. Su diseño, específico para mantenerse ocultas durante mucho tiempo en dicha red, las convierten en un peligro de incalculables consecuencias. Su modus operandi: el robo de información, y a discreción.

Cibercrimen

Dentro de las amenazas que pululan por la red, sin lugar a dudas las amenazas persistentes avanzadas pueden presumir de ser las peores entre las peores. Las cifras les adjudican sin discusión tan dudoso honor. Porque, si nos atenemos al panorama actual de la ciberseguridad, el 70% de las brechas de seguridad que ocurre en las redes empresariales tiene como origen amenazas conocidas. Mientras, el 29% corresponde a amenazas desconocidas y el 1% restante a lo que recibe el nombre de amenazas avanzadas.

¿Y por qué son tan peligrosas?, se estará preguntando el lector. Su naturaleza: son continuas y tienen un objetivo concreto. No en vano, han sido diseñadas para penetrar en la red, permanecer ocultas y recolectar datos sensibles. Y lo que es peor: pueden pasar meses en dicha red sin ser detectadas, como poco.

Definición del término

De manera técnica, se puede definir las amenazas persistentes avanzadas como grupos de ciberataques coordinados dirigidos contra un mismo objetivo, generalmente una empresa, una administración pública o un país. Suelen combinar distintas técnicas para burlar la seguridad que van desde ataques de phishing hasta explotación de vulnerabilidades desconocidas.

Ahora ¿por qué reciben esa definición?

  • Son persistentes porque quien ataca no es un intruso oportunista, sino que, al igual que una unidad de inteligencia, recibe directivas y trabaja para cumplir sus objetivos. Por eso, persistente no quiere decir que esté ejecutando malware en los equipos de las víctimas de manera continua; más bien mantiene el grado de interacción necesario para ejecutar sus objetivos.
  • Finalmente, se trata de ataques avanzados porque el adversario dispone de acceso al espectro completo de intrusión. Según su madurez y seguridad puede usar la vulnerabilidad más básica, o bien desarrollar ataques y herramientas específicas.

En definitiva, peligrosas, muy peligrosas. Peligro que reside fundamentalmente en la determinación del atacante para conseguir su objetivo, así como los previsibles medios e inversión para conseguirlo. Por eso, basta un momento de debilidad en la protección de la compañía para que el atacante consiga penetrar. No debemos olvidar que, por su carácter persistente, están pensadas para penetrar de forma silenciosa y permanecer durmientes el tiempo necesario en la red de la empresa.

Perseverar en la prevención

Visto lo visto, la prevención se revela como esencial para evitar ser víctima de este tipo de amenazas. Y lo que queda claro después de leer las líneas anteriores es que no estamos ante una amenaza cualquiera. Por lo tanto, es necesario tomarse muy serio la seguridad, de tal manera que la empresa ha de olvidarse de los tradicionales firewalls y de las medidas de defensa tradicionales.

Entonces, lo esencial es ser conscientes del valor que tienen los activos la empresa no sólo como objetivo final, sino como herramienta o escalón para obtener otro tipo de información o acceso a otras entidades. Una vez se tenga en cuenta esto, se ha de partir de un punto de vista innegable: la seguridad perfecta es imposible. 

Porque todos los ataques dejan huella de algún tipo, lo importante es que cuando pase, se goce del nivel de visibilidad adecuado para ver esas huellas lo antes posible y la capacidad/experiencia para reconocerlas como tales para reaccionar de la manera adecuada.

Así que, a modo de resumen, una estrategia de seguridad adecuada para luchar contra este tipo de amenazas debe incluir políticas de seguridad y formación adecuadas dado que la seguridad TI no depende únicamente de la tecnología. Después, es preciso aplicar una estructura de red que permita mitigar las amenazas, como es el caso de la segregación de ciertas secciones que puedan mitigar los riesgos. Y sin olvidar la administración correcta de las políticas y privilegios del uso de los usuarios, que puede reducir el número de amenazas de manera considerable.

Y no menos importante: contar con soluciones especializadas que puedan añadir nuevas capas de seguridad tales como control de aplicaciones, parcheo de vulnerabilidades en estas aplicaciones o, incluso, el sistema operativo.

Asimismo, tampoco está de más para reforzar la prevención realizar un análisis dinámico del correo electrónico y del contenido web, o bien prevenir las intrusiones basadas en host (HIPS), que restringe la actividad de las aplicaciones en función de su escala de fiabilidad.