APTS QUE
HAN AFECTADO A MÉXICO
¿Qué es un APTS?
Un APTS (siglas en inglés de “Advanced Persistent Threat”) es una ciber
amenaza sofisticada y persistente. Estas amenazas suelen ser llevadas a cabo
por actores altamente capacitados, como grupos de ciber espionaje o
cibercriminales respaldados por estados. Los APTS operan de manera sigilosa y
prolongada, con el objetivo de infiltrarse en sistemas, robar información
valiosa o mantener acceso no autorizado durante un período extenso. Para
combatirlos, se requiere una estrategia de ciberseguridad proactiva y constante
vigilancia.
Resumen
Dado el entorno que se vive hoy
en día, cada vez es más común hablar sobre temas de robo de información, hackeo
de cuentas y ataques cibernéticos, el mantener segura nuestra información se ha
vuelto una tarea cada vez más difícil, las empresas cada vez hacen un mayor
esfuerzo a la hora de invertir en temas de seguridad.
A pesar de que los temas más
comunes suelen centrarse en el ransomware y el phishing, las APT son en
realidad más comunes de lo que se podría pensar. Estas estadísticas destacan su
impacto:
·
El 34% de las empresas a nivel mundial han visto
su reputación afectada por un ataque APT.
·
El 68% ha experimentado un ataque dirigido a su
red, lo que resultó en la pérdida directa de datos.
·
El 78% ha sufrido períodos de inactividad debido
a ataques APT.
·
En México, la técnica más frecuente empleada
para atacar a empresas comprometidas fue el phishing, siendo detectado en el
59% de los incidentes durante el año anterior, seguido por el ransomware (54%)
y las APT (46%).
Contenido
¿Cuál es el objetivo de una APT,
según fuentes oficiales el propósito de una APT es el obtener un acceso
continuo al sistema dirigido, lo cual se logra a través de diferentes etapas,
Etapa 1: obtener acceso
De igual forma que un ladrón
entra a una casa por la fuerza, de esa misma manera el atacante intentará
ingresar a través de una red para insertar malware o explotar alguna
vulnerabilidad.
Etapa 2: infiltrarse
Una vez dentro del sistema, el
ciberdelincuente se dará a la tarea de crear una red de puertas traseras y
túneles para poder desplazarse dentro del sistema sin ser visto.
Etapa 3: intensificar el acceso
Una vez dentro, los hackers
utilizan técnicas como el quebrantamiento de contraseñas para acceder a los
derechos de administrador, aumentar el control sobre el sistema y obtener
mayores niveles de acceso.
Etapa 4: desplazamiento
horizontal
Con un mayor nivel de privilegios
dentro del sistema, los ciberdelincuentes pueden moverse a voluntad dentro de
la infraestructura y pueden seguir expandiéndose a las partes más seguras de la
red.
Etapa 5: mirar, aprender y
permanecer
Algo que culmina el objetivo es
comprender el funcionamiento del sistema y sus vulnerabilidades, lo que les
puede permitir hacer uno de la información de sus objetivos.
La persistencia puede durar a
consideración de los ciberdelincuentes, podría mantenerlo de forma indefinida o
retirarse una vez obtenido lo que necesitan, es muy normal que dejen una puerta
abierta para futuros accesos.
En México se han dado los
siguientes casos de APTS los cuales han repercutido de manera considerable en
cada una de sus áreas.
Según la revista Forbes, durante
el año 2023 se reportaron cuatro ataques a bancos en México, los cuales suman
$67.4 mdp.
El primer caso ocurrió en febrero
de este año, se trató de una vulneración informática a cajeros automáticos que
dio como resultado una afectación de 11.83 millones de pesos.
El segundo hecho pasó en marzo,
se trató de una vulneración informática del servicio de transferencias a través
de un código malicioso que no ha sido identificado hasta el momento. El
servicio afectado fue el de transferencias electrónicas que provee a sus
clientes y el monto afectado fue de 55.71 millones de pesos, el más alto en lo
que va del año.
El tercer banco afectado fue
víctima de una vulneración informática a través de un código malicioso de tipo
troyano identificado como Prometei. El monto afectado fue de 0.07 millones de
pesos. Prometei es un malware que se utiliza principalmente para realizar
minería de criptomonedas de manera ilícita, sin el conocimiento ni el
consentimiento de los propietarios de los sistemas afectados.
El cuarto caso reportado en lo
que va del año ocurrió en julio y la víctima fue una sociedad cooperativa de
ahorro y préstamo, que sufrió una vulneración informática a través de un código
malicioso de tipo ransomware que afectó la banca por internet, sucursales,
transferencias electrónicas y cajeros automáticos. El monto afectado todavía
está pendiente de determinar.
A pesar de que el ransomware y el
phishing a menudo atacan a los titulares, las APT son, en realidad, más comunes
de lo que se podría pensar. Estas estadísticas son reveladoras:
·
Un 34% de las empresas a nivel mundial han visto
su reputación afectada debido a un ataque APT.
·
Un 68% ha experimentado un ataque dirigido a su
red, que ha resultado en la pérdida directa de datos.
·
Un 78% ha sufrido períodos de inactividad debido
a ataques APT.
·
El 21% de los encuestados mexicanos considera
que su organización está menos preparada para enfrentar el ransomware, los
ataques a través de conexiones de trabajadores remotos y las fugas de datos, y
un 11% mencionó las APT.
Muchos parecen carecer de
confianza en la capacidad de sus organizaciones para mantenerse al día con las
últimas amenazas.
El Estudio sobre el Estado Global
de la Ciberseguridad de 2023 de Infoblox revela que las APT han emergido como
el segundo método de ataque más común utilizado contra organizaciones afectadas
en 2022, con un 46% de las empresas mexicanas informando su presencia.
Esto no debería sorprender dada
la posición de México como un centro financiero y comercial clave en América
Latina, lo que lo convierte en un objetivo atractivo para los ciber atacantes
que buscan robar datos confidenciales o interrumpir las operaciones
comerciales.
Una de las principales
preocupaciones de las empresas mexicanas es la amenaza de las APT, con un 27%
de incidentes reportados.
En México, el método de ataque
más común contra las organizaciones comprometidas fue el phishing,
representando el 59% de los casos el año pasado, seguido del ransomware (54%) y
las APT (46%).
El crecimiento de estas amenazas
se atribuye principalmente a los avances tecnológicos continuos y al aumento
constante de la frecuencia de los ciberataques en general.
Trabajos futuros
Como podemos ver, muchas
organizaciones están invirtiendo en medidas de seguridad más sólidas como
firewalls, soluciones antivirus, autenticación multifactor y cifrado. Sin
embargo, estas medidas tradicionales pueden no ser suficientes contra las APT,
que a menudo utilizan tácticas sofisticadas para pasar desapercibidas y
evolucionan constantemente para volverse más complejas.
Por lo tanto, es imperativo que
las organizaciones evalúen de forma constante su postura de seguridad,
actualicen sus defensas e inviertan en los recursos necesarios para anticiparse
a los ataques APT. En particular, las organizaciones deben revisar las capacidades
de seguridad de su solución o proveedor de servicios DNS existente, identificar
qué casos de uso de seguridad pueden ser respaldados por las soluciones ya
implementadas y, simultáneamente, implementar capacidades de bloqueo y
prevención de amenazas de DNS. Mientras monitorean el tráfico DNS para detectar
cualquier anomalía, como la filtración de datos.
Las organizaciones buscarán
soluciones que proporcionen una visión unificada y control sobre el acceso a la
red, asegurando un rendimiento óptimo de la red y una mayor seguridad. Esto
conducirá a una mayor demanda de automatización, visibilidad en tiempo real y
control de las cargas de trabajo en la nube. Los servicios centrales como DNS y
DHCP realizarán experiencias unificadas en múltiples plataformas en la nube, lo
que permitirá una visibilidad y un control integral.
Conclusión
Debido al crecimiento continuo de
la nube y la creciente amenaza de las APT, la ciberseguridad será una prioridad
aún mayor. El enfoque unificado será esencial para mejorar la capacidad de las
organizaciones para detectar y mitigar amenazas cibernéticas relacionadas con
dispositivos comprometidos, URL maliciosas y servidores en toda la empresa.
Este enfoque será fundamental a medida que las empresas se esfuercen por
combatir las potenciales APTS
Recomendaciones
Las empresas deben afrontar este
tipo de incidente de seguridad dentro de su plan de respuesta ante incidentes
desde una perspectiva de detección, prevención y respuesta.
A continuación, algunos consejos
para protegerse de ataques ATP:
·
Disponer de un plan de ciberseguridad y de un
análisis de riesgo que tenga en cuenta esta amenaza, para poder analizar para
cada empresa cuál es la mejor solución frente un ataque de esta tipología.
·
Actualización de todos los dispositivos de la
infraestructura.
·
Concienciación de todos los empleados para
proteger la infraestructura de la organización.
·
Disponer de sistemas de doble factor de
autenticación para proteger los sistemas y las cuentas de administrador.
·
Disponer de sistemas de monitorización de
eventos de seguridad que generen alertas para detectar posibles accesos no
autorizados.
Elaborado por:
Eliud Hernández SOC TIER LEVEL 1
de Cyberpeace
Bibliografía
¿Qué es
una amenaza avanzada persistente (APT)? (2023, 19 abril). latam.kaspersky.com. https://latam.kaspersky.com/resource-center/definitions/advanced-persistent-threats
Roldan,
A. M. (2023, 19 enero). Descubriendo las amenazas persistentes avanzadas (APT).
A2Secure. https://www.a2secure.com/blog/descubriendo-las-amenazas-persistentes-avanzadas-apt/
Contacto para prensa
Alejandra Sánchez
55 54167386
alejandra@performcomunicacion.com
Karina Mondragón
55 20917665
karina@performcomunicacion.com
CYBERPEACE es una empresa
especializada con 25 años de experiencia en ciberseguridad. Su objetivo es
proteger los activos de mayor valor en las organizaciones.
Ofrece soluciones personalizadas,
adaptando sus compañías a las normativas de seguridad. Sus servicios se
concentran en cinco áreas: Infraestructura e Internet de las Cosas (lot),
Arquitectura y Desarrollo de Software, Analíticos y Big Data, Seguridad de la
Información y Ciberseguridad, Administración de Servicios de TI y Continuidad.
No hay comentarios:
Publicar un comentario