Sin lugar a dudas en los últimos años hemos sido testigos de un cambio en la forma en que los ciberdelincuentes llevan a cabo sus ataques. Si bien las “amenazas tradicionales” son un riesgo significativo para las organizaciones tal como se menciona en ESET Security Report 2014, ha habido una evolución hasta llegar a lo que vimos a lo largo de 2014: ataques puntuales desarrollados a la medida de cada víctima.
Este tipo de amenaza se denomina como APT (Advanced Persistent Threats o Amenazas Persistentes Avanzadas). De acuerdo al Instituto Nacional de Normas y Tecnología de los EEUU (NIST), una APT es un “ataque dirigido con niveles sofisticados de pericia y recursos que le permiten a los atacantes, por medio del uso de múltiples vectores de ataque (malware, vulnerabilidades, Ingeniería Social, entre otros), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer y extender su posicionamiento dentro de la infraestructura de Tecnologías de Información de las organizaciones, con el objetivo de filtrar información continuamente, minar o impedir aspectos importantes de una misión, un programa o una organización, o ubicarse en una posición que le permita hacerlo en el futuro”.
Tal como se puede ver en el gráfico 1, la cantidad de análisis y estudios realizados sobre las APT se ha incrementado en los últimos cinco años, llegando incluso a duplicar la cantidad del año pasado durante los primeros diez meses de 2014.
Pero el crecimiento en la cantidad de estas amenazas no hace que sean más ampliamente utilizadas. De hecho son cada vez más discretas, ya que tienen como objetivo lograr darle el acceso a un atacante a información y control de sistemas. Las APT requieren dedicación y pericia para lograr ataques efectivos a un blanco específico; la idea es permanecer dentro de la red el mayor tiempo posible para así poder obtener la mayor cantidad de información.
La evolución en la aparición de las APT no tiene un patrón de comportamiento. El único patrón reconocible es el crecimiento en la cantidad de estas amenazas. De hecho, si se analiza mes a mes, se ven valores crecientes para los últimos cinco años.
El peligro de las APT
Los ciberdelincuentes al desarrollar las APT logran tener una amenaza que puede mantenerse por largo tiempo cambiando e infectando la mayor cantidad de sistemas posibles en una misma red afectada.
A esto se suma el hecho de que aprovechan vulnerabilidades “0-day”, haciendo que estas sean más complejas en su detección y generen mayores pérdidas a sus víctimas. Si bien queda claro que los ataques que utilizan APT vienen en crecimiento durante los últimos años, hay algunos casos que han tenido un mayor impacto. Por ejemplo el caso de Flame, una amenaza que en 2012 afectó al Ministerio del Petróleo de Irán, o sus predecesores, Duqu y Stuxnet, códigos maliciosos que a partir de explotar vulnerabilidades “0-day” lograron afectar programas nucleares en Oriente Medio.
Incluso durante este año, amenazas como la familia BlackEnergy fueron utilizadas para ataques distribuidos de denegación de servicio, distribución de spam, fraudes bancarios e incluso en ataques dirigidos, lo que demuestra la versatilidad que ofrecen estas amenazas para los cibercriminales. Podríamos escribir todo un listado con ejemplos de los casos más recientes, pero agotaríamos las páginas de este documento. Lo realmente importante es que debe quedar claro que, independientemente del rubro de la empresa, es necesario tomar conciencia de este tipo de ataques para poder adoptar las medidas de protección adecuadas.
Los cambios en los ciberataques
Cuando hablamos de un ciberataque, tradicionalmente se trata de campañas en las cuales se afecta la infraestructura TI de una empresa buscando aprovechar alguna vulnerabilidad y robar algún tipo de información sensible que le genere algún tipo de ganancia económica al atacante. En cambio con las APT, si bien los objetivos finales pueden ser muy similares a los ataques tradicionales, empezamos a ver que son campañas con una duración mucho más amplia, más dirigidas y sigilosas que buscan recabar mayor cantidad de información, afectar sistemas de forma prolongada o incluso hacer monitoreo de lo que pasa al interior de los sistemas de las víctimas. Dadas estas diferencias, nos encontramos con campañas de Ingeniería Social más complejas y no solo limitadas al uso de exploits y códigos maliciosos genéricos o adquiridos en el mercado negro.
Puerta abierta al ciberespionaje
Después de conocer qué es lo que diferencia este tipo de amenazas de las que se ven corrientemente, y dado que cada vez es más común ver empresas y entidades afectadas, es importante no olvidar que lo que buscan los atacantes es robar datos específicos o causar daños concretos. Dado que buscan datos muy puntuales y sensibles, es normal que sean ataques que duren meses, o incluso años, durante los cuales el atacante identifica vulnerabilidades, evalúa cuáles son los controles de seguridad con los que cuentan los sistemas-objetivo, para así lograr el acceso de confianza a información privilegiada y extraerla sin sospechas.
En los últimos años, desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica, se ha anunciado el descubrimiento de ataques de estas características en la Región. Por ejemplo, el ataque dirigido con la intención de robar información sensible a instituciones y empresas de Perú. La “Operación Medre”, logró recolectar más de 10 mil archivos de planos y proyectos realizados con el Autodesk AutoCAD.
La reaparición de BlackEnergy en 2014, da cuenta de que es un fenómeno que podemos encontrar a escala global. Este troyano creado originalmente para llevar a cabo ataques distribuidos de denegación de servicio (DDoS), evolucionó hasta convertirse en un malware sofisticado con arquitectura modular: una herramienta adecuada para enviar spam y cometer fraudes bancarios online, así como para realizar ataques dirigidos.
También en 2014 el equipo de investigación de ESET en Canadá informó de una campaña llamada “Operación Windigo” que en los últimos dos años llegó a afectar más de 25 mil servidores Linux y Unix, buscando redirigir a quienes visitan los sitios web infectados a contenido malicioso, además de enviar spam. En este caso, los reportes indican aproximadamente 900 servidores infectados en Brasil, más de 250 en Argentina y 300 en México. Además, si se tiene en cuenta que cada uno de estos sistemas tiene acceso a niveles considerables de ancho de banda, almacenamiento, potencia de cálculo y memoria, no es de sorprender que esta sola operación fuera responsable de enviar un promedio de 35 millones de mensajes de spam diarios y que cada día más de medio millón de visitantes de sitios web legítimos alojados en servidores afectados fueran redirigidos a un paquete de exploits.
APTs a la vanguardia de los ataques en las empresas en 2015
Es evidente el crecimiento de las APT en los últimos cinco años y se muestra una evolución que conduce al desarrollo de nuevos ataques. Por lo tanto es de esperar que durante 2015 se divulgue una mayor cantidad de empresas que ha sufrido las consecuencias de una infección con una APT, además de que seguramente nos encontremos amenazas con características cada vez más complejas y evolucionadas, buscando aprovechar las brechas de seguridad que van apareciendo y que dejan las puertas abiertas para que sean cada vez más frecuentes las fugas de información confidencial de las compañías.
Algo para tener en cuenta es que probablemente varios de los casos que se den a conocer durante 2015, habrán sido perpetrados en 2014 dada la naturaleza de este tipo de amenazas. Lamentablemente, en ese tipo de casos, la divulgación y el conocimiento de la infección se da una vez que la empresa ya ha sido comprometida, por lo que es importante tomar todas las medidas de precaución para evitar ser víctima, ya sea mediante la implementación de tecnología como a través de la educación de los usuarios y una correcta gestión de la seguridad. Asimismo, algo importante para destacar es que, a pesar de que las grandes compañías pueden parecer un blanco más interesante para los atacantes, lo cierto es que ninguna organización está exenta de sufrir un ataque de este tipo, dado que lo que el atacante busca es información valiosa, algo con lo que cualquier empresa, organización o entidad cuenta. Por lo tanto, es un desafío para firmas de cualquier tamaño adoptar las medidas de seguridad necesarias para no sufrir ningún incidente.
Por último, en lo referido a América Latina, ya se ha visto que ha habido empresas afectadas por APTs, aunque es de esperarse que en 2015 (y de aquí en adelante) se hagan más frecuentes este tipo de ataques en la Región, tal como ha sucedido en el pasado con otras amenazas que en un principio tenían preponderancia en otras regiones y al tiempo “desembarcaban” en América Latina.