Autor: Gabriel Marcos

Cargo: Marketing Specialist Datacenter & Security – Global Crossing Colombia

Twitter: @jarvel Confieso que no sé de dónde surgió la denominación de “Advanced Persistent Threats” (APT, por sus siglas en Inglés, o también “Amenazas Avanzadas Persistentes” según la traducción más cercana al significado original que se me ocurre), pero me resulta muy atractiva para denominar a los ataques que recientemente han captado tanta atención de los medios, y que presumiblemente la seguirán captando en el futuro cercano.

Lo cierto es que aún sin ser un experto en seguridad de la información, resulta evidente que para atacar objetivos como la ONU (Organización de las Naciones Unidas), el Departamento Administrativo de Seguridad en Colombia (DAS), la página web del municipio de Guayaquil o los datos personales de miles de policías en Ecuador, las cuentas de Twitter y Facebook de figuras principales de la política Latinoamericana y similares objetivos en Europa y Estados Unidos, es necesario un nivel de conocimiento y coordinación que exigen recursos más allá de los disponibles para el entusiasta del hacking universitario (o pre-universitario).

Más aún, las amenazas que se han divulgado a través de Internet acerca de la posibilidad de que tanto nuevos sitios públicos como también empresas privadas sean víctimas de este tipo de ataques próximamente, deberían hacernos ver que estamos ante un tipo de motivación nunca antes visto.

En este punto, conviene advertir que si bien Advanced Persistent Threats es el tipo de ataques que ejecutan ciertos grupos de acción social y de ciberterrorismo a nivel global (y con alcance comprobado en Latinoamérica), más que catalogar filosófica y políticamente a quien ejecuta este tipo de ataques, deberíamos tomar en serio la amenaza y darnos cuenta que la globalización del conocimiento y de la información hace que este tipo de técnicas esté disponible para cualquiera que posea la motivación y el tiempo suficiente para utilizarlas.

Sin duda, circunstancias excepcionales requieren de acciones excepcionales, y quizás sea hora de reconocer que los ataques informáticos no siempre les ocurren solamente a los otros; debemos tomar conciencia y anticiparnos para estar preparados y minimizar la exposición a los riesgos de un ataque de este tipo, tanto para nuestra organización como para sus principales figuras.

 

Asesinando al ego (…y algunos mitos también)

Tenemos entonces, para este tipo de ataques, los tres elementos principales de un delito: motivo, medio y oportunidad; sobre el primero no tenemos demasiadas posibilidades de influir, pero sobre los otros dos sí que tenemos mucho por hacer… de más está decir que sin alguno de estos elementos, el crimen no es posible!

En primer lugar, derribar el mito a través del cual quien todavía no sufrió un ataque informático de grandes proporciones sostiene que la seguridad de la información no es una prioridad, o directamente (en el peor de los casos) que no es directamente un tema importante. Esto es quizás una herida al ego de muchos administradores de seguridad, pero seamos sinceros: es preferible sentirse aludido por un artículo de divulgación que nos permita prepararnos y anticiparnos, antes que sufrir un ataque de consecuencias mayores.

Como profesional, sin duda que es uno de los peores argumentos que puedo escuchar por parte de quien tiene la responsabilidad de gestionar una infraestructura de servicios de TI, ya que (entre muchas otras cosas) desconoce la característica principal de esta nueva generación de ataques: su sigilosidad!

Hace 15 años, cuando un virus infectaba el PC la peor amenaza era que se borraran todos los datos del disco duro; luego, con la masificación de las redes de área local primero y de Internet después, los virus tenían la posibilidad de acelerar su difusión y borrar el disco duro de más computadores, lo cual era sin duda muy incómodo pero al menos tenía la ventaja de que uno no tenía duda de cuándo había sido infectado y de que, una vez reinstalado el computador, la infección se había superado.

Hoy en día la realidad es bien diferente: las amenazas que se distribuyen a nivel global buscan como primera medida evitar generar el tipo de desastres de antaño para evitar ser descubiertas! La clandestinidad paga mejor que borrar un disco duro ya que permite seguir perpetrando delitos digitales de forma sigilosa durante más tiempo.

Por supuesto que en algún momento el atacante (es decir, el “dueño” de esas amenazas distribuidas por toda la Internet) deberá activar algún tipo de mecanismo para generar un ataque y de esa forma hará detectable la amenaza que estaba latente, pero al haber permanecido mucho tiempo dentro de la red de una organización es muy probable que haya dejado otras amenazas plantadas para futuras oportunidades. Si le suena el término “redes botnet”, entonces sabe de qué estoy hablando…

Sin embargo, esta larga disertación comenzó por la afirmación de que sobre el medio y la oportunidad tenemos posibilidad de actuar; veamos de qué manera.

 

La oportunidad para no quedar en medio de un ataque

Respecto a los medios y la oportunidad, si bien más adelante entraremos en detalles acerca de cuestiones técnicas referidas a los ataques de tipo APT, podemos nombrar algunos puntos importantes a tener en cuenta:

1)      Para que exista una explotación, debe existir una vulnerabilidad: todos los ataques se basan en vulnerabilidades (es decir, posibilidades concretas de materializar una amenaza); si bien hay cuestiones topológicas o a nivel de protocolo que son muy difíciles (a veces, imposible) de evitar, la mayoría de las veces comprobamos que existen vulnerabilidades en aplicaciones, sistemas operativos y a través de configuraciones que son previsibles y evitables.

2)      En estrecha relación con el punto anterior, muchas de las vulnerabilidades mencionadas poseen su causa de origen en la deficiencia (y por qué no: en la inexistencia) de un proceso que garantice su detección temprana, corrección y verificación. Para decirlo lo más claramente posible con un ejemplo de la vida real, hay organizaciones en las que existen procesos documentados e implementados para solicitar nuevos insumos de oficina que requieren de hasta tres niveles de aprobación, pero no para chequear la seguridad del código de una aplicación antes de su salida a producción.

En definitiva, la cuestión se trata básicamente de no facilitar los caminos por los cuales convertirnos en blanco de un ataque informático cuando podríamos evitarlo.

No podemos evitar que haya gente con el conocimiento y la motivación necesarios como para producir este tipo de ataques, pero sí podemos:

1)      Hacer todo lo que está a nuestro alcance por corrernos de su camino, o al menos tratar de desmotivarlos haciendo que el ataque requiera un esfuerzo tan grande que no se justifique la inversión de tiempo.

2)      Proteger nuestros activos de información de forma tal que aunque un atacante consiga hacerse de ellos, luego no pueda utilizarlos (algo así como esos sistemas que poseen algunos vehículos de alta gama: esos carros no necesitan alarma, porque aunque uno consiga abrirlos, si no se tiene la llave electrónica, el carro no arranca!).

 

Ahora sí: qué es un ataque de tipo Advanced Persistent Threat (APT)?

Deconstruyamos los tres elementos que forman la denominación de este tipo de ataques para tener una idea acabada de a qué nos estamos enfrentando:

 

Advanced (avanzadas)

No me va a decir que no le genera miedo que le hablen de un ataque utilizando la palabra “avanzado”! Bueno, tiene razón: la razón por la cual esa palabra aparece en la descripción de los APTs es porque en este tipo de ataques se utilizan distintos tipos de técnicas para llegar al objetivo; se consideran “avanzados” por el hecho de que el atacante tiene a su disposición distintos tipos de técnicas y no está suscripto solamente a un tema específico (como ocurre por ejemplo en los ataques a nivel de aplicación).

Algunas de las técnicas que se han utilizado en los ataques de tipo APT realizados a escala global son, entre otras:

– DDoS (distributed denial of service): ataques de denegación de servicio distribuídos.

– Redes botnet

– Phishing

– Ingeniería social

– SPAM

– Aplicaciones fraudulentas en redes sociales

– Análisis de vulnerabilidades

– Rootkits

– Explotación de vulnerabilidades en aplicaciones

Por favor, ni por un instante crea que esta es una lista completa! Solamente es un ejemplo que muestra la gran diversidad de conocimiento y capacidades que hay detrás de un ataque de tipo APT.

Podríamos incluso agregar a esta definición que la realización y ejecución de este tipo de técnicas requiere la interacción de más de una persona; en la práctica, es casi imposible que este tipo de ataques sean realizados por individuos, no solamente por el nivel de conocimientos necesario sino también por cuestiones de tiempo y recursos.

 

Persistent (persistentes)

En la comunidad de la seguridad de la información, y principalmente entre los especialistas en técnicas de hacking, existe la creencia de que sin importar las medidas de protección implementada, con el suficiente tiempo y dedicación cualquier objetivo puede ser vulnerado; lamentablemente, en la mayoría de los casos esto es cierto.

De hecho, la característica de persistencia de estos ataques se refiere a que se concentran en un objetivo específico, utilizando distintos tipos de técnicas hasta conseguir el objetivo deseado.

Habitualmente, cuando se enfocan los ataques informáticos desde un punto de vista de negocios, es común decir que se trata de un negocio de volumen: es decir que se busca lanzar una amenaza de forma masiva, que solamente tendrá impacto en un número acotado de víctimas, pero que es más que suficiente como para generar ingresos que permitan recuperar la inversión y producir ganancias.

Lo novedoso de los ataques de tipo APT es que se concentran en un objetivo específico; esto no significa que la motivación del ataque sea o no económica, sino que todos los recursos están enfocados en un único objetivo.

 

Threat (amenaza)

Bueno, creo que después de lo que mencionamos en los puntos anteriores, queda claro por qué este tipo de ataques representa una amenaza… sin embargo, me gustaría anotar algunas cuestiones sobre un punto en particular: la motivación.

El uso de distintas técnicas y la coordinación de múltiples recursos hacia un objetivo sin duda que implican la existencia de una motivación muy fuerte: la característica de los ataques de tipo APT es que todos los individuos que participan del ataque están determinados a conseguir el objetivo.

Una amenaza es la posibilidad de materialización de un riesgo: si pensamos en un grupo de personas organizadas, con los recursos a disposición, el conocimiento necesario para utilizar esos recursos y la determinación para insistir en la realización del ataque, está claro que aquella máxima del hacking que mencionamos cobra renovado sentido!

 

Lo que no figura en el nombre: en caso de que con todo lo anterior no se hubiera preocupado…

Es importante tener en cuenta que este tipo de ataques se basa también en técnicas desconocidas, es decir, en vulnerabilidades o exploits no anunciados o difundidos masivamente, ya que quienes realizan este tipo de ataques tienen los conocimientos y el tiempo necesario para desarrollarlas.

Esto forma parte fundamental de las características que diferencian este tipo de ataques: mientras que en los ataques tradicionales se buscan objetivos sencillos (en función de la relación de costo – beneficio entre el esfuerzo por vulnerar y el rédito económico), en los ataques de tipo APT los atacantes están dispuestos a todo con tal de conseguir su objetivo, incluso si eso implica tener que desarrollar algún tipo de amenaza nuevo.

La utilización de amenazas desconocidas y nuevos tipos de ataque ofrece un valor agregado a las APTs que es efectivamente buscado por los atacantes: esto contribuye a dificultar su detección temprana! Como dijimos, una de las características de estos ataques es la sigilosidad, donde se busca que la amenaza permanezca inactiva o actuando también de forma indetectable robando información, por ejemplo, aumentando el tiempo de efectividad; mientras las técnicas utilizadas para infiltrar y hacer uso de la amenaza permanezcan en el anonimato, tanto mejor para los atacantes.