Se trata de códigos maliciosos que atacan una aplicación o sistema aprovechando vulnerabilidades de ‘día cero’ (aquellas que aún son desconocidas por los desarrolladores de software y/o los programas de defensa, lo que supone que aún no han sido reparadas) para robar información a las organizaciones.
“Un ataque de ‘día cero’ o, bien llamado, ‘APT’ es considerado como uno de los instrumentos más peligrosos y amenazantes para la seguridad informática de una compañía”, señala Andrés Muñoz, gerente de consultoría y seguridad de la multinacional NovaRed.
Y es que las APT (Advanced Persistent Threat, por su sigla en inglés), son programas que tienen un objetivo muy complejo y cuya principal característica es que actúan de forma discreta, sigilosa, hábil y, por sobre todo, persistente.
Estos códigos maliciosos corresponden a ataques contra una aplicación o sistema aprovechando vulnerabilidades de ‘día cero’ (aquellas que aún son desconocidas por los desarrolladores de software y/o los programas de defensa, lo que supone que aún no han sido reparadas) para robar información a las organizaciones.
A diferencia de los virus, malware o troyanos tradicionales que buscan atacar bajo la masividad, las APT buscan entrar discretamente en el tráfico de red de las empresas y así ocultarse en el sistema durante un largo período de tiempo antes de llevar a cabo el ‘gran ataque’. En un estudio, BlueCoat –partner de NovaRed– señala que el 78% de las violaciones de APT toman semanas, meses y hasta años en ser detectadas. Uno de los casos más relevantes es el gusano Stuxnet que aprovechó vulnerabilidades de ‘día cero’ y atacó el sistema operativo, programas de monitorización y control industrial (SCADA) de una central nuclear de Irán. Este worm fue descubierto en 2010, sin embargo, permaneció en los sistemas de la organización desde el año 2009.
Este tipo de ataques puede realizarse de forma muy simple, como por ejemplo a través de un dispositivo USB o un correo electrónico. En este último caso se conoce el ‘spear phishing’ (intento de fraude por suplantación de correo electrónico) que es uno de los métodos más usados por los responsables de lanzar APT como punto de acceso a una empresa. Si en la compañía no existe conciencia de proteger los equipos y sólo se manejan filtros básicos en los correos electrónicos, éstos pueden resultar poco seguros como para identificar los ‘spear phishing’ que están diseñados de manera muy acuciosa y basta con que sólo un usuario haga click en un enlace y abra un archivo adjunto para que una APT comience a ejecutar la primera fase de un ataque.
“Resulta muy difícil que una persona se tome el tiempo de revisar el código de fuente de cada correo electrónico que recibe con la finalidad de identificar si es que este es seguro o no. Es precisamente este hecho lo que los hackers aprovechan para enviar sus ataques, más aún cuando estos exploits (fragmentos de datos usados para vulnerar la seguridad de un sistema de información) son capaces de traspasar no sólo la seguridad de los antivirus, sino también la del sistema operativo del navegador o el lector de archivos, por lo que no contar con una herramienta tecnológica que combata específicamente las APT, el robo de información será inminente”, comenta Andrés Muñoz.
Dado a que se espera que este tipo de amenazas aumente en número y en complejidad es que Gartner señala, en uno de sus estudios, que el presupuesto invertido en detección y reacción de ataques informáticos incrementará de 10% a 75% en los próximos seis años.
Recomendaciones para prevenir la amenaza:
– Implementar políticas de cambio de contraseña obligatorio de forma periódica, dificultando las acciones de un atacante.
– Restringir los accesos web de los usuarios de la empresa para controlar que no visiten sitios maliciosos.
– Implemente un control de aplicaciones de listas blancas, el cual le permitirá fijar políticas que regulen el uso de las aplicaciones.
– Respáldese de un sistema de detección de anomalías (Sistemas de Prevención de Intrusos basado en Host o en la Red).
– Realice servicios semestrales o trimestrales de Ethical Hacking, que incluyan pruebas de ciber-inteligencia y tunning periódicos de dispositivos de seguridad.
– Implemente sistemas de correlación de eventos o SIEM para facilitar la identificación de actividades anómalas.
– Manténgase informado sobre el descubrimiento de nuevas vulnerabilidades con el objeto de barajar medidas de mitigación en caso de que su compañía resulte afectada, siempre asesorándose por su proveedor de seguridad de la información.
