Sergio Bravo, director de Ventas en Bitdefender, explica la evolución de las amenazas persistentes avanzadas (APT) y qué deberían hacer las empresas para protegerse de este tipo de ataques.
Según un informe del Identity Theft Resource Center, el número de incidentes de seguridad durante los primeros nueve meses de 2021 fue un 17 por ciento mayor a los registrados durante todo 2020. En un escenario como este, las organizaciones deben analizar cuidadosamente sus capacidades de detección y respuesta frente a las posibles amenazas, y todo apunta a que el inicio del año es la época que eligen muchas de ellas para reevaluar sus estrategias de ciberseguridad, adoptando decisiones enfocadas a reducir los riesgos y poder defenderse mejor.
Lo normal es que a la hora de establecer prioridades en materia de seguridad se tengan en cuenta factores como el presupuesto disponible, la situación de la compañía con respecto a la tolerancia al riesgo o el cumplimiento con las distintas regulaciones. Asimismo, si se analiza cuidadosamente el estado de las distintas amenazas, se verá que este año, además de considerar las modalidades de ransomware, phishing y las vulnerabilidades de día cero, las empresas deberían también estar atentas a la evolución de las amenazas persistentes avanzadas (APT).
Hasta hace relativamente poco tiempo, las APT eran una práctica muy sofisticada, que para desarrollarse convenientemente necesitaba contar con los recursos de un grupo de ciberdelincuentes muy potente. Sin embargo, últimamente estamos viendo como este tipo de ataque se está generalizando.
En países como Alemania, que pueden llegar a sufrir medio millón de incidentes cada día, resulta complicado no conocer un socio o un proveedor que no haya sido víctima de un ciberataque, y en cada vez más ocasiones, el incidente ha estado protagonizado por una APT.
Las APT, generalmente, están diseñadas para alcanzar objetivos con implicaciones a nivel nacional: espionaje político, robo de propiedad intelectual, boicots a infraestructuras críticas… En los últimos años, muchos ataques se han centrado en la recopilación de inteligencia, afectando, en su mayor parte, a infraestructuras críticas públicas en las que los ciberdelincuentes se encargan de fabricar y explotar vulnerabilidades que les permitan maximizar la recopilación de datos confidenciales con el mínimo esfuerzo.
Todo apunta a que las campañas de piratería que antes requerían meses de planificación y unas habilidades informáticas de alto nivel para superar las defensas y moverse a través de las redes sin ser detectadas, ya no están reservadas a actores muy poderosos. Hoy en día, estos recursos están disponibles para cualquiera. Pueden comprarse y venderse en la Dark Web en distintos formatos, como producto o servicio. No es que las APT hayan cambiado, es que ahora es más sencillo que cualquier hacker pueda acceder a las herramientas básicas para llevar a cabo una iniciativa de este tipo.
Por otra parte, la evolución de la tecnología, con cada vez más compañías moviendo datos confidenciales a la nube e incorporando dispositivos conectados a sus operaciones, hace que la superficie de ataque se amplíe y resulte más atractiva para este tipo de amenazas.
Es un problema que afecta a todos por igual. Los organismos públicos y las grandes corporaciones siempre han sido un objetivo claro de las APT. Sin embargo, ahora las pymes también están en el punto de mira, ya que los ciberdelincuentes han comprobado que son un buen punto de entrada para llegar a objetivos más grandes.
Protección frente a las APT
A la hora de protegerse contra este tipo de ataques, hay una serie de pasos que todas las organizaciones tendrían que considerar. En primer lugar, es fundamental que cada empresa conozca y comprenda a fondo su propio estado de seguridad, identificando los factores que pueden ponerla en riesgo.
A partir de ahí, es necesario que desarrollen sus capacidades de protección. En la mayoría de los casos, implementar una solución de detección y respuesta extendida (XDR) puede ayudar a los responsables de seguridad a identificar amenazas y patrones. Asimismo, cuando no se cuente con suficientes recursos internos, contratar un servicio gestionado de detección y respuesta (MDR) será fundamental para poder disponer de soporte de seguridad, gestión de entornos y búsqueda de amenazas las 24 horas del día, incorporando un enfoque más automatizado y analítico a las capacidades de seguridad propias.
Ante todo, lo más importante a la hora de protegerse frente a las APT es ser proactivo. Resulta preciso conseguir un equilibrio presupuestario para poder integrar tecnologías de prevención, detección y respuesta, pero teniendo claro que no es conveniente fiarlo todo a la tecnología. También es bueno contar con recursos cualificados y conocer a fondo la red para poder analizar y determinar lo que la empresa necesita en cada momento. Si se desarrolla una infraestructura sólida, los incidentes de seguridad podrán gestionarse con mayor facilidad.