Una Amenaza Persistente Avanzada (APT) representa un ciberataque altamente sofisticado que se lleva a cabo durante un extenso período, principalmente con el objetivo de obtener acceso no autorizado a información confidencial de una organización, como propiedad intelectual, datos financieros o información sensible.
Sin embargo, a diferencia de otros tipos de ciberataques, las APT son altamente enfocadas, lo que significa que se dirigen específicamente contra organizaciones o individuos concretos. La infiltración inicial en estos casos generalmente se logra mediante ingeniería social y el uso de malware sin archivos, herramientas que los ciberdelincuentes emplean para acceder y aprovechar las vulnerabilidades en la red de la víctima.
Iván Sánchez, VP de Ventas para América Latina de Infoblox, subraya la preocupación que generan las APT en las organizaciones, ya que suelen ser difíciles de detectar y pueden permanecer desapercibidas durante largos períodos, lo que puede resultar en daños significativos para la organización, incluyendo la sustracción de datos valiosos, pérdidas financieras y daño a la reputación.
El Problema Más Común de lo que se Piensa
A pesar de que el ransomware y el phishing a menudo atacan a los titulares, las APT son, en realidad, más comunes de lo que se podría pensar. Estas estadísticas son reveladoras:
• Un 34% de las empresas a nivel mundial han visto su reputación afectada debido a un ataque APT.
• Un 68% ha experimentado un ataque dirigido a su red, que ha resultado en la pérdida directa de datos.
• Un 78% ha sufrido períodos de inactividad debido a ataques APT.
El 21% de los encuestados mexicanos considera que su organización está menos preparada para enfrentar el ransomware, los ataques a través de conexiones de trabajadores remotos y las fugas de datos, y un 11% mencionó las APT. Muchos parecen carecer de confianza en la capacidad de sus organizaciones para mantenerse al día con las últimas amenazas.
El Estudio sobre el Estado Global de la Ciberseguridad de 2023 de Infoblox revela que las APT han emergido como el segundo método de ataque más común utilizado contra organizaciones afectadas en 2022, con un 46% de las empresas mexicanas informando su presencia.
Esto no debería sorprender dada la posición de México como un centro financiero y comercial clave en América Latina, lo que lo convierte en un objetivo atractivo para los ciberatacantes que buscan robar datos confidenciales o interrumpir las operaciones comerciales.
Una de las principales preocupaciones de las empresas mexicanas es la amenaza de las APT, con un 27% de incidentes reportados.
En México, el método de ataque más común contra las organizaciones comprometidas fue el phishing, representando el 59% de los casos el año pasado, seguido del ransomware (54%) y las APT (46%).
El crecimiento de estas amenazas se atribuye principalmente a los avances tecnológicos continuos y al aumento constante de la frecuencia de los ciberataques en general.
Respondiendo al Desafío de las APT
En respuesta, muchas organizaciones están invirtiendo en medidas de seguridad sólidas, que incluyen firewalls, soluciones antivirus, autenticación multifactor y cifrado. Sin embargo, Iván Sánchez advierte que estas medidas tradicionales pueden no ser suficientes contra las APT, que a menudo utilizan tácticas sofisticadas para pasar desapercibidas y evolucionan constantemente para volverse más complejas.
Este tipo de malware se reempaqueta con frecuencia para eludir los enfoques basados en firmas, como los programas antivirus. Al explotar el protocolo DNS, esta clase de malware evade la protección de los firewalls IP heredados, los enfoques de monitoreo de computadoras y los filtros web.
Por lo tanto, es imperativo que las organizaciones evalúen de forma constante su postura de seguridad, actualicen sus defensas e inviertan en los recursos necesarios para anticiparse a los ataques APT. En particular, las organizaciones deben revisar las capacidades de seguridad de su solución o proveedor de servicios DNS existente, identificar qué casos de uso de seguridad pueden ser respaldados por las soluciones ya implementadas y, simultáneamente, implementar capacidades de bloqueo y prevención de amenazas de DNS. Mientras monitorean el tráfico DNS para detectar cualquier anomalía, como la filtración de datos.
Aprovechando la Inteligencia de Amenazas y el Aprendizaje Automático en la Lucha contra las APT
Es crucial que las organizaciones utilicen las últimas tecnologías en ciberseguridad, con un enfoque particular en la inteligencia de amenazas y el aprendizaje automático. Soluciones como BloxOne Threat Defense de Infoblox amplían el valor de la inteligencia de amenazas en la lucha contra las APT mediante la seguridad basada en DNS.
La visibilidad del DNS en una amplia gama de organizaciones, combinada con su conjunto de habilidades, les permite descubrir dominios sospechosos antes de que se implementen y detecten comportamientos anómalos.
Mirando hacia el Futuro
Iván Sánchez anticipa que las empresas que avanzan seguirán invirtiendo en infraestructura basada en la nube, lo que implica la expansión de entornos híbridos y de Múltiples nubes, lo que, a su vez, creará mayor complejidad y superficie de ataque. Esto requerirá que las empresas adopten soluciones integrales que ofrezcan seguridad en múltiples plataformas en la nube bajo una administración centralizada, con el fin de reducir complicaciones potenciales.
Las organizaciones buscarán soluciones que proporcionen una visión unificada y control sobre el acceso a la red, asegurando un rendimiento óptimo de la red y una mayor seguridad. Esto conducirá a una mayor demanda de automatización, visibilidad en tiempo real y control de las cargas de trabajo en la nube. Los servicios centrales como DNS y DHCP realizarán experiencias unificadas en múltiples plataformas en la nube, lo que permitirá una visibilidad y un control integral.
Conclusión
Debido al crecimiento continuo de la nube y la creciente amenaza de las APT, la ciberseguridad será una prioridad aún mayor. El enfoque unificado será esencial para mejorar la capacidad de las organizaciones para detectar y mitigar amenazas cibernéticas relacionadas con dispositivos comprometidos, URL maliciosas y servidores en toda la empresa. Este enfoque será fundamental a medida que las empresas se esfuercen por combatir las potenciales dañinas Amenazas Persistentes Avanzadas