La compañía S2 Grupo, especializada en ciberseguridad y gestión de sistemas críticos, presentó el pasado 6 de abril en su sede de Madrid el libro “Amenazas Persistentes Avanzadas” (APTs) desarrollado por su director de seguridad, Antonio Villalón.
En este encuentro en el que han participado junto al autor los socios-directores de S2 Grupo, José Rosell y Miguel A. Juan, se ha incidido en cómo las amenazas avanzadas persistentes son actualmente uno de los mayores ciberriesgos para cualquier tipo de organización cuyos datos valgan dinero, es decir, todas.
“La mayor parte del ciberespionaje actual es principalmente movido por cuestiones económicas, incluso entre países ‘amigos’. Si estamos negociando la compra de gas con un país productor, una información vital para nosotros sería saber hasta cuánto está dispuesto a rebajar el precio nuestro interlocutor, ya que nos dará una posición privilegiada en nuestras negociaciones”, ha destacado Antonio Villalón.
Como han explicado, una APT es proceso puesto en marcha por un tercero (generalmente una organización, un grupo delictivo, una empresa, un Estado, etc.) con la capacidad y la intención de atacar de forma avanzada (a través de múltiples vectores) y continuada en el tiempo, un objetivo determinado (la competencia, otro Estado, un sector, etc.).
En definitiva, las APTs son grupos organizados de mafias o gobiernos que buscan dinero, robar información o sabotear una organización. Éstas tienen en común que los atacantes disponen de gran cantidad de recursos (humanos, económicos, materiales, etc.), mucho conocimiento y, lo que es más peligroso, un gran interés por la información que maneja su víctima. Además, esta gran capacidad unida a su particular forma de actuar que de forma sigilosa busca permanecer robando información todo el tiempo que pueda en una entidad, la convierten en una gran amenaza.
En el libro de Antonio Villalón, que ha sido editado por Nau Llibres, se exponen desde los principales actores que juegan en el robo de información hasta las aproximaciones de defensa frente a los mismos, pasando por las tácticas, técnicas y procedimientos que se aplican desde la llamada ciberinteligencia. Además, también se incluyen conocidos casos de amenazas avanzadas persistentes, como el llamado “Red October”, que estuvo años actuando en silencio y tenía como objetivo el robo de información diplomática de las víctimas. En este caso, se diseñó un kit modular que permitía obtener información de diferentes plataformas, incluso de los teléfonos móviles, y recuperar ficheros borrados.
“Las APTs son la forma que tienen los estados y grupos organizados de introducirse en los sistemas de su objetivo para adueñarse de información con intereses económicos, geopolíticos o de defensa, entre otros. Un rasgo que las diferencia de otro tipo de ciberriesgos es que en ellas nada es casual, todo está planificado al milímetro. Orquestar un ataque de este tipo puede costar miles o millones de euros y, evidentemente, no se lanza contra víctimas aleatorias, como puede suceder en el caso de un phising bancario, por ejemplo”, ha afirmado Miguel A. Juan.
Un error y un problema: considerar las APTs como malware y la dificultad de la atribución del delito
Uno de los puntos en los que Antonio Villalón hace especial hincapié a la hora de hablar de la gestión de este tipo de incidentes, es que debe evitarse el error más común que es considerar estas amenazas como un malware.
“La APT no es un código dañino, ni avanzado ni no avanzado, sino una capacidad. Y como capacidad debemos afrontarla y gestionar el incidente asociado a un compromiso. El malware se erradica, las necesidades de información de la amenaza no, por lo que debemos tener claro que el atacante volverá y debemos estar preparados para esa vuelta”, ha asegurado Villalón.
Otro de los problemas asociados a este tipo de amenazas está en la dificultad para atribuir la autoría del mismo. En este sentido, José Rosell ha destacado que “el problema a la hora de atribuir los ciberataques está en las evidencias que se basa, puesto que éstas pueden haber sido manipuladas, ya que se trata de evidencias que el atacante de alguna forma ha dejado ver en algún lugar de forma voluntaria o involuntaria. Por ejemplo, podemos creer que un ciberataque se produce desde Rusia porque vemos código en cirílico o aparece un servidor detectado allí, pero que esto no sea más que una artimaña de manipulación y que el verdadero origen esté en cualquier otro país”. José Rosell
Sobre el autor
Antonio Villalón, es director de seguridad de S2 Grupo, Ingeniero en Informática (Universidad Politécnica de Valencia), director de seguridad (Universidad de Valencia) habilitado por el Ministerio de Interior y auditor CISA (ISACA). Cuenta con más de 20 años de experiencia en el campo de la ciberseguridad.
En su trayectoria profesional ha ejecutado y dirigido proyectos de análisis, defensa, ataque y explotación, así como puesto en marcha y gestionado centros de operaciones de seguridad y respuesta a incidentes. Además, acumula una amplia experiencia docente, siendo habitual en cursos y conferencias en diferentes congresos y universidades.