La mayoría de las ciberamenazas se dividen en dos categorías: oportunistas o persistentes. Las oportunistas son más comunes. Los hackers usan vulnerabilidades conocidas y se dirigen a víctimas potenciales a gran escala. Tienen la esperanza de que la empresa o persona dispongan de los controles de seguridad adecuados. Por otro lado, las amenazas persistentes avanzadas (advanced persistent threat, APT) tienden a ser más peligrosas. Tienen una planificación cuidadosa, son más selectivas y usan múltiples tácticas, técnicas y procedimientos para obtener los datos que desean.

Los cibercriminales que planean este tipo de amenazas usan enfoques variados, múltiples planes de contingencia y son cada vez más agresivas. Por ende, es fundamental que las organizaciones comprendan la naturaleza de las amenazas persistentes avanzadas actuales, el peligro potencial que representan y hasta dónde llegarán los atacantes para lograr su objetivo.

¿Qué son las APT?

Los hackers que planean las amenazas persistentes avanzadas tienen un objetivo específico en mente y están dispuestos a invertir mucho tiempo y energía. Por ejemplo, a principios de este año, Imperva observó un ataque distribuido de toma de control de cuentas duró 14 días. Los atacantes intentaron una multitud de métodos para comprometer las cuentas en línea. Aunque no tuvieron éxito, el incidente fue un recordatorio de que este tipo de cibercriminales harán todo lo posible para comprometer datos valiosos.

¿Por qué lo hacen? Es importante mencionar que un solo número de tarjeta de crédito puede venderse por 10 dólares en la dark web. En cambio, una base de datos entera es muy lucrativa. Incluso los nombres y direcciones tienen valor, especialmente para quienes pretenden cometer robos de identidad u otras formas de fraude.

Otra de las características de este tipo de amenazas es que los hackers lo intentan varias veces. Según el informe DDoS Threat Landscape Report 2023, en 2022 aproximadamente el 46% de los sitios web que fueron víctimas de un ataque de denegación de servicio distribuidos (DDoS) fueron agredidos más de una vez. De estas web que fueron atacadas más de una vez, un sorprendente 20.3%, lo fueron 10 veces o más.

El mensaje es claro: los atacantes disponen de más recursos que nunca —muchos de ellos automatizados— y los utilizan para llevar a cabo ataques cada vez más complejos y costosos.

¿Cómo detener las amenazas persistentes avanzadas?

amenazas persistentes avanzadas
Imagen: cortesía de Imperva.

Cuando se trata de defender aplicaciones, API y datos críticos, es importante pensar como un cibercriminal. Eso significa evaluar y comprender la superficie de ataque y el riesgo potencial o la sensibilidad de cada activo. Después, es clave tener claro la actividad maliciosa del tráfico normal para supervisar y proteger eficazmente los activos y datos. Esta práctica permite a una organización saber a qué activos y datos se accede, cuándo y por quién.

Para que las organizaciones puedan detener la actividad maliciosa —especialmente la automatizada— necesitan identificar sus activos cruciales. Son ejemplo de ello las páginas de inicio de sesión y los portales de pago. A continuación, deben aplicar una estrategia de defensa en profundidad para minimizar el riesgo.

Es importante tener visibilidad de la infraestructura de la red. Se debe saber dónde pueden estar las vulnerabilidades potenciales y qué rutas de ataque pueden intentar explotar los criminales. Las organizaciones necesitan información procesable sobre qué tipos de actividades sospechosas se detectan, cómo se corrigen y qué medidas deben tomar. Esta información en tiempo real puede proporcionar a los equipos de seguridad los conocimientos que necesitan para reconocer y detener un ataque antes de que tenga éxito.

Usar la IA para proteger

Cuando una organización es objetivo de una APT debe estar preparada para defenderse de una variedad de ataques procedentes de distintas direcciones. A veces ocurren todos a la vez, a veces a lo largo de un periodo.

Es recomendable que los equipos de seguridad utilicen la tecnología de IA generativa como una herramienta más de su línea de defensa. Así pueden obtener más información y contexto sobre las amenazas persistentes avanzadas, basándose en lo que ven en el mundo y en su entorno.

La combinación de controles de seguridad y la IA puede mantener a los defensores un paso por delante. Al mismo tiempo garantizan la integridad de su infraestructura y salvaguardan sus aplicaciones y datos.

ARTÍCULOS RELACIONADOSMÁS ARTÍCULOS DEL AUTOR