Los atacantes no habían encriptado archivos ni pedido rescate, simplemente habían extraído datos valiosísimos sin que nadie se diera cuenta. Cuando los investigadores de seguridad forense analizaron lo ocurrido, encontraron que los hackers habían usado credenciales robadas de un investigador para acceder al sistema, luego se habían movido lateralmente hasta llegar a los servidores donde se almacenaban los estudios clínicos.
Este caso ejemplifica perfectamente la naturaleza de las Amenazas Persistentes Avanzadas (APT): ataques sigilosos, prolongados y dirigidos a información específica de alto valor. A diferencia de los ciberataques masivos que buscan notoriedad o beneficio económico inmediato, los APT operan en las sombras, a menudo durante meses o años, robando secretos industriales, datos gubernamentales sensibles o, como en este caso, avances científicos que podrían valer millones en el mercado negro.
Los ciberataques han existido desde la llegada de Internet y han evolucionado considerablemente en las últimas décadas, desde virus y gusanos en sus inicios hasta malware y botnets en la actualidad. Originalmente utilizada para describir ciberintrusiones contra organizaciones militares, la APT ha evolucionado y ya no se limita al ámbito militar. Como se ha puesto de manifiesto en varias brechas de seguridad a gran escala, las APT ahora se dirigen a una amplia gama de industrias y gobiernos.
Los grupos detrás de los APT no actúan por impulso. Su metodología sigue un proceso cuidadosamente planificado que comienza con una fase de reconocimiento exhaustivo. En el caso del hospital alemán, los atacantes pasaron semanas estudiando la estructura organizacional, identificando qué investigadores trabajaban en proyectos valiosos y mapeando los sistemas informáticos antes de hacer su primer movimiento.
La fase de infiltración suele aprovechar vulnerabilidades humanas más que técnicas. Un correo electrónico cuidadosamente elaborado, aparentemente enviado por un colega o una institución asociada, puede contener un documento Word con macros maliciosas. Una vez que la víctima lo abre, los atacantes ganan un punto de apoyo inicial en el sistema. En otros casos, explotan vulnerabilidades no parcheadas en software legítimo, como se vio en el ataque a la cadena de suministro de la empresa de software Kasperksy en 2021, donde hackers insertaron código malicioso en una actualización de su producto.
Lo que distingue a los APT es lo que ocurre después de la infiltración inicial. En lugar de causar daño inmediato, los atacantes dedican tiempo a consolidar su posición. Instalan múltiples puertas traseras usando herramientas nativas del sistema como Windows Management Instrumentation (WMI) o PowerShell, lo que les permite mantener acceso incluso si se descubren y eliminan algunas de sus vías de entrada. Esta táctica de “vivir de la tierra” (living off the land) les ayuda a evadir los sistemas de detección tradicionales que buscan malware conocido.
El caso del hospital alemán ilustra uno de los mayores problemas con los APT: la dificultad para detectarlos a tiempo. Los atacantes habían configurado sus herramientas para extraer datos en pequeñas cantidades, mezclando este tráfico malicioso con la actividad normal de la red. Durante meses, el exfiltrado de datos pasó desapercibido porque no generaba picos anómalos en el ancho de banda ni activaba alarmas de los sistemas de seguridad.
Otro factor que complica la detección es la creciente sofisticación de las técnicas de evasión. Los grupos APT modernos utilizan:
- Comunicaciones enmascaradas: Usan protocolos legítimos como DNS o HTTP para enviar datos robados, haciendo que el tráfico parezca normal.
- Técnicas de “fileless malware”: Ejecutan código malicioso directamente en la memoria RAM sin dejar archivos en el disco duro.
- Ataques a la cadena de suministro: Comprometen software legítimo o proveedores de servicios en la nube para llegar a sus objetivos finales.
El caso de la empresa de seguridad FireEye en 2020 es ilustrativo. Un grupo de personas malintencionadas robaron sus herramientas de hacking ético, no para atacar a FireEye directamente, sino para usarlas en futuras operaciones contra otros objetivos, demostrando la naturaleza estratégica y a largo plazo de estos ataques.
Protegerse contra APT requiere un cambio de paradigma en la seguridad informática. Las medidas tradicionales como firewalls y antivirus son necesarias pero insuficientes. Se necesita un enfoque estratificado que incluya:
- Monitoreo de comportamiento anómalo: Sistemas como los SIEM (del inglés Security Information and Event Management) pueden correlacionar eventos aparentemente inconexos para identificar patrones sospechosos. Por ejemplo, si una cuenta de usuario normalmente activa durante el día comienza a transferir archivos a altas horas de la noche, esto podría indicar que ha sido comprometida.
- Segmentación estricta de redes: El principio de “confianza cero” (zero trust) asume que ningún usuario o dispositivo dentro de la red es inherentemente seguro. Implementar microsegmentación limita el movimiento lateral de los atacantes, conteniendo el daño potencial.
- *Gestión rigurosa de privilegios: El acceso a sistemas críticos debe seguir el principio del mínimo privilegio. En el caso del hospital alemán, si los investigadores hubieran tenido acceso restringido solo a los datos estrictamente necesarios para su trabajo, los atacantes no habrían podido moverse tan fácilmente por toda la red.
- Respuesta rápida a incidentes: Tener un equipo de respuesta preparado puede marcar la diferencia entre contener una brecha a tiempo o descubrir meses después que los atacantes siguen dentro del sistema.
Recientemente, el número de campañas de APT detectadas y reveladas ha aumentado significativamente. La mayoría de estas campañas utilizan métodos, tácticas y procedimientos sofisticados para comprometer a sus objetivos. Generalmente, uno de los principales objetivos de todo esto es exfiltrar datos sensibles o propiedad intelectual. Debido a la sofisticación de estos ataques, la mayoría de los sistemas de seguridad no pueden detectar ni prevenir este tipo de ataques. Por lo tanto, las campañas APT suelen comprometer con éxito a empresas, organizaciones o autoridades públicas.
Normalmente, las empresas de seguridad que investigan y analizan las campañas APT publican los resultados de su trabajo en informes. Esto permite que otros objetivos potenciales utilicen esta información para detectar o incluso prevenir ataques similares. La utilidad de los informes de investigación depende en gran medida de los indicadores y detalles del ataque identificados y compartidos públicamente. Sin embargo, debe tenerse en cuenta que los atacantes suelen cambiar y evolucionar constantemente sus métodos y tácticas, por lo que los ataques APT representan un riesgo significativo para la mayoría de las infraestructuras de red.
Desarrollar mecanismos de defensa y realizar análisis de atribución de estos ataques avanzados resulta extremadamente difícil debido al intrincado diseño del vector de ataque y al sofisticado malware empleado con técnicas altamente sigilosas y evasivas. Estos ataques también incluyen exploits y cargas útiles avanzados de día cero y día negativo. El robo de investigaciones médicas en Alemania muestra que los APT no son solo un problema para gobiernos o empresas tecnológicas. Cualquier organización que maneje información valiosa – desde hospitales hasta universidades o medianas empresas – puede convertirse en objetivo.
Lo más preocupante es que, según estimaciones de expertos, el tiempo promedio que tarda una organización en detectar una brecha de seguridad es de más de 200 días. Esto significa que cuando una empresa descubre que ha sido hackeada, es probable que los atacantes lleven meses operando dentro de sus sistemas.
La buena noticia es que, aunque los APT son sofisticados, no son invencibles. Combinando tecnología adecuada, políticas de seguridad estrictas y – quizás lo más importante – una cultura organizacional que priorice la ciberseguridad en todos los niveles, es posible reducir significativamente el riesgo. En el panorama actual, donde los ciberataques se han convertido en una extensión de la competencia geopolítica y económica, la pregunta no es si una organización será objetivo, sino cuándo. La diferencia entre el éxito y el fracaso dependerá de la preparación y la capacidad de respuesta cuando ese momento llegue. Por hoy es todo, nos vemos la próxima semana.
