Persistent Advanced Threat (APT) o Amenaza Avanzada Persistente en español, es una técnicas de hackeo continua clandestina y avanzada, utilizadas por los ciberdelincuentes con el fin de acceder a los sistemas de forma permanente e ir tomando el control de forma progresiva de los recursos. Debido al esfuerzo técnico y económico, suelen atacar objetivos de alto valor en paises y corporaciones grandes, con la intención de robar y modificar información durante un tiempo prolongado. Pueden utilizar empresas pequeñas como cadena de suministro para vulnerar empresas más grande. Este tipo de ataque es evolutivo y los hackers van accediendo en distintas etapas.
Etapa 1: Obtener acceso
Para insertar un malware, los ciberdelincuentes buscan penetrar los accesos a través de una red, archivos infectados, correo electrónico o la vulnerabilidad de una aplicación.
Etapa 2: Infiltrarse
Los atacantes implantan malware que permite crear un puerta trasera y túneles de acceso, para desplazarse por los sistemas de forma incógnita. En algunos casos los malware modifican los códigos para que los atacantes no dejen huella.
Tapa 3: Intensificar el acceso
Una vez dentro, los atacantes quiebran contraseñas para acceder a la cuenta de administrador, aumentar el control y tener mejores privilegios de acceso.
Etapa 4: Desplazamiento horizontal
Ya con los derechos de administrador, estos pueden desplazarse por los sistemas a voluntad y sin restricciones, teniendo la capacidad de acceder a otros servicios dentro de la red.
Etapa 5: Mirar, aprender y permanecer
Ya dentro del sistema, los ciberdelincuentes tienen un panorama completo del sistema y por lo tanto de sus vulnerabilidades, haciendo uso de la información que desean.
Estos hackers mantienen este proceso en funcionamiento de forma indefinido o retirarse al cumplir el objetivo. En muchos casos dejan una puerta abierta para ingresar en el futuro.
Factor humano
Los atacantes utilizan como principal herramienta de acceso a los usuarios comunes para acceder a los sistemas, ya que estos son un eslabón débil que pueden aprovechar para el ingreso. Utilizan técnicas de ingeniería social como el phishing para robar accesos.
Una amenaza persistente
Lo complejo de este tipo de ataques, es que al ser descubiertos y bloqueados los atacantes dejan puertas de ingreso traseras sin detectar, por lo que pueden permanecer por mucho tiempo en los sistemas. Lamentablemente la seguridad tradicional como firewalls y antivirus no siempre pueden proteger los sistemas de forma óptima. Para mejor la protección se deben habilitar una seria de medidas adicionales a las mencionadas, como aplicar un SIEM, capacitación del personal, análisis de vulnerabilidad y diversas medidas de hardening robustas.
Fuente: https://latam.kaspersky.com/resource-center/definitions/advanced-persistent-threats?srsltid=AfmBOopVSgTLbiWpwZ0LOXQIx2oKqJkAQPOIKHfbWM4fDb5N_7_o3kyF
