APT

Ataques de Amenazas Persistentes Avanzadas

 Objetivo de un ataque ATP

En general, este tipo de ataque está

destinado a provocar algún tipo de
El principal objetivo de un ataque
daño a grandes organizaciones.
ATP, es conseguir acceso a los
Esto es, Estados (Países) y grandes
sistemas bajo ataque, por un
corporaciones. No obstante, la
período prolongado de tiempo.
mediana organización no está libre
de este tipo de ataques.
 Utilizan Troyanos de Puerta Trasera : Los atacantes
que utilizan esta metodología, necesitan poder
entrar y salir de los sistemas a través de una
entrada principal.
Características
de los ataques
Flujos de Información Cifrada : Es común que la
APT información gestionada por un atacante esté
encriptada (Cifrada, uso de VPNs, HTTPS, entre
otros). No se podrá conocer entonces la identidad
de un atacante a través de la información, pero, la
conducta en cuanto a tráfico de este tipo, puede
dar luz respecto del ataque.
 Montos inesperados en el Tráfico y
Almacenamiento de datos: La cantidad “anómala”
de tráfico de datos en la red, puede dar cuenta de
un ataque de este tipo. Hay que prestar atención
también a las grandes cantidades de información,
Características puestas donde “No deberían” estar. También es
necesario atender a los archivos comprimidos.
de los ataques
ATP (Cont…)
Campañas de Phishing por correos : Es usual que se
utilicen los sistemas de correos para hacer que los
usuarios gatillen código ejecutable malicioso. El
hallazgo de las URL maliciosas puede ayudar a
ubicar la fuente del ataque.
 Ejemplos de
Ataques ATP
• GhostNet (2009) : Operación de espionaje,
principalmente a Tibet, pero no el único
Gobierno, cuya fuente se determino ubicada en
China, aunque no se pudo probar que estaba
detrás el gobierno Chino.

• Metodología : Malware inyectado a través

de correo electrónico, sobre destinatarios
previamente seleccionados (Troyano
Adjunto). Debido a esta técnica, es posible
diseminar rápida y efectivamente el
malware a otros usuarios. El troyano se
comunica con un servidor central para
recibir ordenes. Una de esas ordenes es
bajar otro troyano, conocido como
GhOstRat, que permite obtener control total
del equipo infectado.
 • Stuxnet es el primer ejemplo de malware diseñado para espiar y
subvertir los sistemas de procesos industriales. Fue identificado por
primera vez por la comunidad Infosec en 2010, pero se cree que su
desarrollo comenzó en 2005. Este Malware está diseñado para
Stuxnet atacar solo sistemas que participan en el enriquecimiento de Uranio.
Afecta los PLC (Controladores lógicos Programables) y afectó
principalmente las instalaciones de Uranio de Irán. Con este ataque
se inició el concepto de “Arma cibernética”. Se manifestó
exclusivamente en ordenadores con controladores programables
y software de Siemens y, entonces, reprogramó estos controladores y
elevó la velocidad de rotación de las centrifugadoras de
enriquecimiento de uranio hasta que las destruyó físicamente.
Red October
• El año 2012, se detectó una red a gran escala de ciberespionaje
a la que bautizó como RedOctober, una campaña sostenida que
se remontaba a 2007 y que tuvo por objetivo agencias
diplomáticas y gubernamentales de varios países de todo el
mundo, además de instituciones de investigación, grupos
nucleares y de energía, y objetivos comerciales y
aeroespaciales.
• Los atacantes de Red October diseñaron su propio
malware, identificado como "Rocra", con una arquitectura
modular única que consta de más de 30 categorías
diferentes de módulos, cada uno diseñado para llevar a
cabo una tarea específica, como identificar el entorno de
software, infectar máquinas, instalar puertas traseras,
buscar archivos, capturar información, robar credenciales,
grabar pulsaciones de teclas o cargar archivos recopilados.
• Pegasus es un spyware instalado en dispositivos que ejecutan
ciertas versiones de iOS (el sistema operativo móvil de Apple)
y Android, desarrollado por la firma cibernética israelí, NSO.
Descubierta en agosto de 2016 después de un intento fallido de
instalarlo en un iPhone perteneciente a un activista de derechos
humanos, una investigación reveló detalles sobre el software
espía, sus capacidades y las vulnerabilidades de seguridad que
explotó.

Pegasus
• Pegasus es capaz de leer mensajes de texto, rastrear llamadas,
recopilar contraseñas, rastrear la ubicación del teléfono y recopilar
información de las aplicaciones. Apple lanzó la versión 9.3.5 de su
software iOS para corregir las vulnerabilidades. Las noticias del
spyware atrajeron una gran atención de los medios. Fue llamado
el ataque de teléfono inteligente más "sofisticado" de la historia, y
se convirtió en la primera vez en la historia del iPhone cuando se
detectó un ataque remoto de jailbreak. La compañía que creó el
spyware, NSO, declaró que brindan a "los gobiernos autorizados
tecnología que los ayuda a combatir el terrorismo y el crimen".
 • Dispositivos móviles expuestos a
amplios y sofisticados ataques. Los
dispositivos móviles siempre han sido
atractivos para los atacantes, ya que viajan
con sus propietarios a todas partes, y cada
objetivo potencial actúa como almacén de
una enorme cantidad de información
valiosa. En 2021 hemos visto más ataques
Panorama de ATP de día cero en iOS que nunca. A diferencia
2022 de lo que ocurre en un PC o Mac, donde el
usuario tiene la opción de instalar un
paquete de seguridad, en iOS estos
productos están restringidos o
simplemente no existen. Esto crea
oportunidades extraordinarias para las
APT.
 • Más ataques a la cadena de suministro.
Los investigadores han prestado especial
atención a aquellos casos en los que los
ciberdelincuentes aprovecharon las
debilidades de la seguridad de los
proveedores para comprometer a sus
Panorama de ATP clientes.
2022(Cont …) • Este tipo de ataques son especialmente
lucrativos y valiosos para los atacantes
porque dan acceso a un gran número de
objetivos potenciales. Por esta razón, se
espera una tendencia al alza en 2022 de
los ataques a la cadena de suministro.
 • Explotación del teletrabajo. Debido a la
continuidad del trabajo remoto, los
ciberdelincuentes seguirán utilizando los
ordenadores domésticos de los empleados
sin protección o sin parches como forma
Panorama de ATP de penetrar en las redes corporativas.
2022(Cont …) • Continuará el uso de la ingeniería social
para robar credenciales y los ataques de
fuerza bruta a los servicios corporativos
para acceder a servidores con poca
protección.
 • Aumento de las intrusiones APT en la
región META (Oriente Medio, Turquía y
África). Las tensiones geopolíticas en la
región están aumentando, lo que significa
que el ciber espionaje también lo hará.
Panorama de ATP • Paralelamente, la región también mejora
2022(Cont …) sus defensas, y las hace más sofisticadas.
En consecuencia, estas tendencias
sugieren que los principales ataques APT
en la región META tendrán como objetivo
África.
 • Auge de ataques contra la seguridad en
la nube y los servicios externalizados.
Numerosas empresas están incorporando
el cloud computing y las arquitecturas de
Panorama de ATP software basadas en microservicios
2022(Cont …) ejecutadas en infraestructuras de terceros,
lo que las hace más susceptibles de ser
hackeadas y provoca que más empresas
sean objetivos principales de ataques
sofisticados en el próximo año.
 • El regreso de los ataques de bajo nivel:
los bootkits vuelven a estar de moda.
Debido al uso creciente de Secure Boot
entre los usuarios de equipos de
sobremesa, los ciberdelincuentes se ven
Panorama de ATP obligados a buscar exploits o nuevas
2022(Cont …) vulnerabilidades en este mecanismo de
seguridad para lograr evadirlo. Por ello, se
espera un crecimiento del número de
bootkits en 2022.
 • Los Estados clarificarán sus prácticas
de ciberdelincuencia aceptables. Existe
una tendencia creciente por parte de los
gobiernos a denunciar los ciberataques
que se realizan contra ellos, a la vez que
Panorama de ATP continúan llevando a cabo los suyos
2022(Cont …) propios. Se espera que el año presente,
algunos países publiquen su clasificación
de ciberdelitos, distinguiendo los tipos de
vectores de ataque aceptables.