Los hackers no sólo son ahora más audaces, sino también más persistentes
Por Ricardo Cazares, Vicepresidente de Latinoamérica en Imperva.
La mayoría de las ciberamenazas se dividen en dos categorías: oportunistas o persistentes. Las oportunistas son más comunes, los hackers usan vulnerabilidades conocidas y se dirigen a víctimas potenciales a gran escala, con la esperanza de que la empresa o persona no disponga de los controles de seguridad adecuados.
Por otro lado, las amenazas persistentes avanzadas (APT) tienden a ser más peligrosas ya que tienen una planificación cuidadosa, son más selectivas y usan múltiples tácticas, técnicas y procedimientos (TTP) para obtener los datos que desean.
Los cibercriminales que planean este tipo de amenazas son el equivalente digital del atraco de Ocean’s Eleven. Usan enfoques variados, múltiples planes de contingencia y son cada vez más agresivas. Por lo tanto, es fundamental que las organizaciones comprendan la naturaleza de las APT actuales, el peligro potencial que representan y hasta dónde llegarán los atacantes para lograr su objetivo.
¿Qué son las amenazas persistentes avanzadas (APT)?
Los hackers que planean este tipo de amenazas tienen un objetivo específico en mente y están dispuestos a invertir mucho tiempo y energía. Por ejemplo, a principios de este año, Imperva observó un ataque distribuido de toma de control de cuentas (ATO) que no sólo duró unas horas, sino 14 días. Los atacantes intentaron una multitud de métodos para comprometer las cuentas en línea, y aunque no tuvieron éxito, el incidente fue un recordatorio a la empresa de que este tipo de cibercriminales harán todo lo posible para comprometer datos valiosos.
¿Por qué lo hacen? Es importante mencionar que un solo número de tarjeta de crédito puede venderse por 10 dólares en la dark web, pero una base de datos entera es muy lucrativa. Incluso los nombres y direcciones tienen valor, especialmente para quienes pretenden cometer robos de identidad u otras formas de fraude.
Otra de las características de este tipo de amenazas es que los hackers lo intentan varias veces. Según el informe “DDoS Threat Landscape Report 2023” de Imperva, en 2022, aproximadamente el 46% de los sitios web que fueron víctimas de un ataque de denegación de servicio distribuidos (DDoS) fueron atacados más de una vez. De estas web que fueron atacadas más de una vez, un sorprendente 20,3%, lo fueron 10 o más veces.
El mensaje es claro: los atacantes disponen de más recursos que nunca -muchos de ellos automatizados- y los utilizan para llevar a cabo ataques cada vez más complejos y costosos.
¿Cómo detener las APT?
Cuando se trata de defender aplicaciones, APIs y datos críticos, es importante pensar como un cibercriminal. Eso significa evaluar y comprender la superficie de ataque y el riesgo potencial o la sensibilidad de cada activo. Después es clave tener claro la actividad maliciosa del tráfico normal para supervisar y proteger eficazmente los activos y datos. Esta práctica permite a una organización saber a qué activos y datos se accede, cuándo y por quién.
Para que las organizaciones puedan detener la actividad maliciosa -especialmente la automatizada- necesitan identificar sus activos cruciales (por ejemplo, páginas de inicio de sesión y portales de pago) y, a continuación, aplicar una estrategia de defensa en profundidad para minimizar el riesgo.
Es importante tener visibilidad de la infraestructura de la red, incluyendo dónde pueden estar las vulnerabilidades potenciales y qué rutas de ataque pueden intentar explotar los adversarios. Las organizaciones necesitan información procesable sobre qué tipos de actividades sospechosas se detectan, cómo se corrigen y qué medidas deben tomar. Esta información en tiempo real puede proporcionar a los equipos de seguridad los conocimientos que necesitan para reconocer y detener un ataque antes de que tenga éxito.
Incluir la IA en la estrategia de protección
Cuando una organización es objetivo de una APT, debe estar preparada para defenderse de una variedad de ataques procedentes de distintas direcciones, a veces todos a la vez, y a veces a lo largo de un periodo de tiempo.
Es recomendable que los equipos de seguridad utilicen la tecnología de IA generativa como una herramienta más de su línea de defensa para obtener más información y contexto sobre los ataques, basándose en lo que ven en el mundo y en su entorno. La combinación de controles de seguridad y la IA puede mantener a los defensores un paso por delante, al tiempo que garantizan la integridad de su infraestructura y salvaguardan sus aplicaciones y datos.