Advanced-Persistent-Threats Res Spa 0617 PDF

Amenazas persistentes avanzadas
Cómo gestionar el
riesgo para su negocio
www.isaca.org/cyber
Personal Copy of: Ing. Alexander J. Osorio
Amenazas persistentes avanzadas: Cómo gestionar el riesgo para su negocio
ISACA®
Con más de 110,000 integrantes en 180 países, ISACA (www.isaca.org) ayuda a los líderes de negocio y
de TI a maximizar el valor y gestionar el riesgo relacionado con la información y la tecnología. Fundada
en 1969, ISACA es una organización independiente, sin ánimo de lucro, que representa los intereses
de los profesionales relacionados con la seguridad de la información, el aseguramiento, la gestión de
riesgos y el gobierno. Estos profesionales confían en ISACA como fuente de confianza del conocimiento
de la información y la tecnología, la comunidad, los estándares y las certificaciones. La asociación, con
200 capítulos en todo el mundo, promueve el avance y valida habilidades y conocimientos críticos para
el negocio, a través de certificaciones globalmente respetadas: Certified Information Systems Auditor®
(CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT®
(CGEIT®) y Certified in Risk and Information Systems ControlTM (CRISCTM). ISACA también desarrolló y
actualiza continuamente COBIT®, un marco de referencia de negocio que ayuda a organizaciones de todas
las industrias y ubicaciones, a gobernar y gestionar su información y tecnología.
Descargo de responsabilidad
ISACA ha diseñado y creado Amenazas persistentes avanzadas: Cómo gestionar el riesgo para su
negocio (el “Trabajo”), principalmente como un recurso educativo para los profesionales de seguridad,
gobierno y aseguramiento. ISACA no confirma que el uso de cualquier componente del “Trabajo” asegure
un resultado exitoso. No debe considerarse que el “Trabajo” contiene toda la información, procedimientos
y pruebas, ni tampoco que excluye otra información, procedimientos y pruebas que se aplican de manera
razonable para obtener los mismos resultados. Para determinar la conveniencia de cualquier información,
procedimiento o prueba específicos, los profesionales de seguridad, gobierno y aseguramiento deben
aplicar su propio criterio profesional a las circunstancias específicas presentadas por los sistemas
particulares o por el entorno de tecnología de la información.
Derechos reservados
© 2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada,
copiada, reproducida, modificada, distribuida, expuesta, almacenada en un sistema de recuperación o
transmitida en cualquier forma o por cualquier medio (electrónico, mecánico, fotocopia, grabación u
otros), sin previa autorización por escrito de ISACA. La reproducción y utilización de toda o parte de
esta publicación está permitida únicamente para uso académico, interno y no comercial, y para proyectos
de consultoría o asesoramiento, y deberán incluir la referencia completa de la fuente del material. No se
otorga otra clase de derechos ni permisos en relación con este trabajo.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Sitio web: www.isaca.org
Envíe sus comentarios: www.isaca.org/Cyberattack

Participe en el Centro de Conocimientos de ISACA: www.isaca.org/knowledge-center
Siga a ISACA en Twitter: https://twitter.com/ISACANews
Únase a ISACA en LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial
Me gusta ISACA en Facebook: www.facebook.com/ISACAHQ
ISBN: 978-1-60420-625-8
2 Personal Copy of: Ing. Alexander J. Osorio

Agradecimientos
Agradecimientos
ISACA desea agradecer a:
Autor
David Lacey, CITP, David Lacey Consulting Ltd., Reino Unido
Revisores expertos
Rory Alsop, CISM, C|CISO, M.Inst.ISP., RBS, Escocia
Vilius Benetis, CISA, CRISC, PhD, BAIP, Lituania
Patrick Hanrion, CISM, CISSP, McGladrey LLP, EE. UU.
Ken Hendrie, CISA, CRISC, GCIH, ITIL, PRINCE2, BAE Systems Detica, Australia
Epsilon Ip, CISA, CISM, CRISC, CISSP, ISSMP, ISSAP, Cathay Pacific Airways, Hong Kong
Leonard Ong, CISA, CISM, CRISC, CPP, CFE, CISSP, PMP, Citihub, Singapur
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia
Comité de dirección de ISACA

Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Presidente
Internacional
Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, Reino Unido,
Vicepresidente
Juan Luis Carselle, CISA, CGEIT, CRISC, RadioShack, México, Vicepresidente
Ramsés Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, Six Sigma Black Belt, Dell, España,
Vicepresidente
Theresa Grafenstine, CISA, CGEIT, CRISC, CGAP, CGMA, CIA, CPA,
Cámara de Representantes de los Estados Unidos, EE. UU., Vicepresidente
Vittal Raj, CISA, CISM, CGEIT, CFE, CIA, CISSP, FCA, Kumar & Raj, India, Vicepresidente
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management Inc., EE. UU., Vicepresidente
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica, Vicepresidente
Gregory T. Grocholski, CISA, The Dow Chemical Co., EE. UU., Expresidente Internacional
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), EE. UU.,
Expresidente Internacional
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Director
Krysten McCabe, CISA, The Home Depot, EE. UU., Directora
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Directora
Comité de Conocimiento
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Presidente
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, EE. UU.
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU.
Anthony P. Noble, CISA, Viacom, EE.UU.
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, Reino Unido
Personal Copy of: Ing. Alexander J. Osorio 3

Agradecimientos (continuación)
Comité de Orientación y Prácticas
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU., Presidente
John Jasinski, CISA, CGEIT, ISO20K, ITIL Exp, SSBB, ITSMBP, EE. UU.
Yves Marcel Le Roux, CISM, CISSP, CA Technologies, Francia
Aureo Monteiro Tavares Da Silva, CISM, CGEIT, Brasil
Jotham Nyamari, CISA, Deloitte, EE. UU.
James Seaman, CISM, CRISC, RandomStorm, Reino Unido
Gurvinder Singh, CISA, CISM, CRISC, Australia
Siang Jun Julia Yeo, CISA, CPA (Australia), MasterCard Asia/Pacific Pte. Ltd., Singapur
Nikolaos Zacharopoulos, CISA, CISSP, DeutschePost–DHL, Alemania

Índice
Índice
Lista de figuras..............................................................................................................8
Introducción..................................................................................................................9
1. Comprendiendo las APT...........................................................................................11

1.1 Visión general................................................................................................11
1.2 ¿Qué es una APT?..........................................................................................11
1.3 ¿Cómo responden otras empresas?................................................................13
1.4 Entendiendo la jerga.......................................................................................15
1.5 Una breve historia de los ataques de las APT...............................................18
1.6 ¿Quién está detrás de los ataques de las APT?..............................................28
1.7 ¿Quién está en riesgo?.................................................................................... 36
1.8 ¿Qué daño pueden hacer?...............................................................................38
1.9 Características de un ataque de una APT......................................................38
1.10 Etapas de un ataque de una APT..................................................................43
1.11 ¿A dónde puede conducir esto?...................................................................47
1.12 Puntos de aprendizaje...................................................................................48
2. Evaluando el riesgo de una APT...............................................................................49

2.1 El ciclo de gestión de riesgos.........................................................................49
2.2 Identificación de los activos en riesgo...........................................................49
2.3 Identificación de las amenazas específicas de las APT para los activos........53
2.4 Identificación del riesgo de las APT..............................................................54
2.5 Evaluación del riesgo de las APT..................................................................55
2.6 Riesgo moral..................................................................................................56
2.7 Mitigación del riesgo de las APT...................................................................56
2.8 Creación del caso de negocio para contramedidas.........................................57
2.9 Puntos de aprendizaje.....................................................................................58
3. Gestión de la seguridad para amenazas de las APT................................................59

3.1 Introducción...................................................................................................59
3.2 Deficiencias en los procesos de gestión existentes........................................60
3.3 Medidas clave para mitigar los ataques de las APT.......................................64
3.4 Interrupción de la “cadena de muerte”...........................................................67

3.5 Signos que delatan un ataque de APT............................................................70

3.6 Momentos en los que se justifica una alerta extrema..................................... 72
4. Medidas de Seguridad Tecnológica para mitigar ataques de las APT.....................75

4.1 Visión general................................................................................................75
4.2 ¿Cuánta seguridad es necesaria?....................................................................75
4.3 Medidas básicas de seguridad........................................................................76
4.4 Medidas avanzadas de seguridad................................................................... 79
4.5 Contramedidas específicas para las APT.......................................................81
4.6 Mejores prácticas de seguridad disponibles...................................................84
5. Gestión de un incidente de una APT........................................................................89

5.1 Visión general................................................................................................89
5.2 Creación de un CSIRT................................................................................... 89
5.3 Creación de un centro de operaciones de seguridad......................................90
5.4 Interconexión del CSIRT con otros equipos de crisis....................................92
5.5 Etapas en la gestión de graves incidentes .....................................................95
5.6 Identificación de incidentes............................................................................96
5.7 Evaluación de daños.......................................................................................96
5.8 Gestión de crisis.............................................................................................97
5.9 Contención.....................................................................................................98
5.10 Recuperación................................................................................................98
5.11 Investigación................................................................................................99
5.12 Aprendiendo de los incidentes.....................................................................99
5.13 InformePost Mortem..................................................................................100
5.14 Puntos de aprendizaje.................................................................................100
6. Realización de una revisión de controles de las APT.............................................103

6.1 Introducción.................................................................................................103
6.2 Metodología.................................................................................................103
Apéndice A: Cuestionario/lista de tareas de la APT..................................................107
Apéndice B: Lista de ataques de las APT..................................................................109

Índice
Apéndice C: Análisis de las deficiencias de COBIT 5................................................113
Apéndice D: Glosario de términos.............................................................................121
Referencias................................................................................................................ 125
Índice......................................................................................................................... 129

Lista de figuras
Figura 1: El mayor riesgo para las empresas de un ataque de APT.........................................14
Figura 2: Fuentes de la amenaza APT.......................................................................................29
Figura 3: Objetivos de los ataques de las APT durante 2012...................................................36
Figura 4: Etapas en el ciclo de ataque de las APT....................................................................44
Figura 5: Ciclo de gestión de riesgos de las APT.....................................................................49
Figura 6: Ejemplo de mapa de la evaluación del riesgo de las APT codificado
por colores..................................................................................................................55
Figura 7: Deficiencias típicas en los procesos de gestión existentes........................................61
Figura 8: La “cadena de muerte” de Lockheed Martin.............................................................68
Figura 9: Oportunidades en el ciclo de ataque de las APT.......................................................69
Figura 10: Niveles de las contramedidas de seguridad.............................................................76
Figura 11: Estructura típica de la gestión de crisis...................................................................93
Figura 12: Etapas en la planificación y gestión de incidentes graves.......................................96
Figura 13: Ilustración de un diagrama de Ishikawa................................................................100
Figura 14: Etapas de la realización de una revisión de controles de APT..............................103

Introducción
Introducción
Este libro explica la naturaleza del fenómeno de seguridad conocido como la amenaza
persistente avanzada (APT). También ofrece consejos útiles sobre cómo evaluar el riesgo
de una APT en la organización y recomienda medidas prácticas que pueden adoptarse para
prevenir, detectar y responder a un ataque de ese tipo. Además, destaca las diferencias clave
entre los controles necesarios para contrarrestar el riesgo de un ataque de una APT y los que
se utilizan normalmente para mitigar el riesgo diario de seguridad de la información.
Este libro está diseñado principalmente para gerentes de seguridad, gerentes de TI, auditores
de TI y estudiantes de informática o que buscan obtener una certificación en seguridad de la
información. Está escrito en lenguaje claro y no técnico, por lo que también es válido para
los gerentes de negocio y los funcionarios de gobierno responsables de valiosos activos de
propiedad intelectual o servicios críticos que podrían ser objetivo de un ataque de una APT.

Página intencionadamente en blanco

Capítulo 1. Comprendiendo las APT
1. Comprendiendo las APT

1.1 Visión general
Este capítulo examina la naturaleza, la historia y el modus operandi de las amenazas
persistentes avanzadas (APT). Explica las características que las definen e indica por qué
y cómo son diferentes de otras formas de amenaza a la seguridad. Además, explora las
fuentes principales de amenazas de APT, examinando los motivos, métodos y objetivos
específicos. Introduce conceptos que podrían ser nuevos para los gerentes de negocio, como
“botnets”, “vectores de ataque” o “explotaciones de día cero”, y destaca los factores clave que
diferencian a una APT de formas más comunes de amenazas a la seguridad.
El capítulo describe ejemplos reales de ataques actuales de APT, así como un análisis paso a
paso de un ataque de ATP típico. También proporciona una visión general de la evolución de
las APT, pasadas, presentes y futuras, y concluye con una lista de puntos de aprendizaje, que
pueden servir de referencia útil para los lectores demasiado impacientes para leer
todo el contenido.
1.2 ¿Qué es una APT?

Las amenazas persistentes avanzadas son fenómenos relativamente nuevos para muchas
organizaciones. Los motivos detrás de ellas no son completamente nuevos, pero el grado de
planificación y recursos empleados, así como las técnicas utilizadas en los ataques, no tienen
precedentes. Estas amenazas exigen un grado de vigilancia y un conjunto de contramedidas
más allá de las que se utilizan de manera rutinaria para contrarrestar las amenazas a la
seguridad diarias de los intrusos (hackers), virus o correo basura (spammers).
Debe señalarse que no todo el mundo está de acuerdo sobre lo que constituye exactamente
una APT. Muchos expertos consideran que no es nada nuevo. Algunos lo ven simplemente
como la última evolución en las técnicas de ataque que se han venido desarrollando durante
muchos años. Otros afirman que el término es engañoso, señalando que muchos ataques
clasificados como APT no son especialmente inteligentes o innovadores. Unos pocos la
definen en sus propios términos, por ejemplo, como un ataque que está gestionado de manera
profesional, o uno que sigue un modus operandi particular, o uno lanzado por un servicio de
inteligencia extranjero, o tal vez, uno que tiene como objetivo y que ataca sin descanso a una
empresa específica.
De hecho, todas estas descripciones son ciertas. Las características que definen a una APT
son muy sencillas: Una APT es una amenaza que es avanzada y persistente. Es un ataque
específicamente dirigido y sofisticado que persigue a la víctima. A diferencia de muchos
otros tipos de actos criminales, no es fácilmente rechazada por una determinada respuesta
defensiva.

Los ataques de este tipo son muy diferentes a los que las empresas han podido experimentar en
el pasado. La mayoría de las organizaciones se han enfrentado en algún momento a uno o más
ataques oportunistas de criminales de poca monta, intrusos u otras personas problemáticas.
Pero la mayoría de los ataques de APT proceden de fuentes más siniestras. Por lo general,
son el trabajo de equipos profesionales empleados por grupos del crimen organizado,
determinados activistas o gobiernos. Esto significa que normalmente están bien planificados,
son sofisticados, están bien dotados de recursos y son potencialmente más dañinos.
El término “amenaza persistente avanzada” parece haber sido acuñado alrededor de 2005
por analistas de seguridad que trabajaban para la fuerza aérea de los EE. UU. La evidencia
anecdótica sugiere que fue creado con el fin de discutir sobre un conjunto específico de
ataques de espionaje en el dominio público sin identificar las fuentes específicas de amenaza
o mencionar palabras clave clasificadas. Hoy en día, está firmemente asociado con los
ciberataques administrados por profesionales, especialmente los que se aprovechan del
conocimiento no revelado sobre las vulnerabilidades de seguridad en plataformas informáticas
o sistemas de aplicación.
Para una definición más formal, la descripción del Instituto Nacional de Normas y Tecnología
(National Institute of Standards and Technology, NIST) de EE.UU. es tan buena como otra
cualquiera:
Una APT es como un adversario que posee niveles sofisticados de experiencia e

importantes recursos que le permiten crear oportunidades para lograr sus objetivos
utilizando múltiples vectores de ataques (por ejemplo, cibernéticos, físicos y
engaños). Estos objetivos, normalmente, incluyen establecer y extender las bases
dentro de la infraestructura de TI de las organizaciones objetivo, con el propósito
de extraer información, perjudicar o dificultar los aspectos críticos de una misión,
programa u organización; o posicionarse para llevar a cabo estos objetivos en el
futuro. La amenaza persistente avanzada:
(i) persigue sus objetivos reiteradamente durante un período prolongado de tiempo;
(ii) se adapta a los esfuerzos realizados por el defensor para resistir el ataque; y
(iii) está decidida a mantener el nivel de interacción necesario para conseguir sus
objetivos.1
Un punto importante a considerar en esta definición es que el objetivo final de un ataque de

APT puede variar desde el robo de la información al sabotaje de servicios. Puede haber, por
ejemplo, una amplia gama de posibles impactos en el negocio de una única intrusión, aunque
las técnicas utilizadas y el proceso de planificación puedan parecer imperceptibles.
También cabe señalar que es bastante posible para un atacante cambiar las metas de un
objetivo a otro. Por ejemplo, es posible que un ataque pueda comenzar con el robo de
propiedad intelectual, continúe explotando esa información de manera competitiva para luego
1
ational Institute of Standards and Technology (NIST), Computer Security Incident Handling Guide, Publicación especial 800-61, EE. UU.,
N
2008, csrc.nist.gov/publications/PubsSPs.html

recurrir a tácticas más agresivas para sabotear la capacidad de la víctima para operar. De
hecho, el objetivo final de un ataque de APT siempre es difícil de determinar, por lo que es
prudente considerar el peor escenario al evaluar el impacto potencial de una intrusión.
Al considerar los motivos de una intrusión de APT vale la pena examinar los objetivos
fundamentales del atacante. Los servicios de inteligencia, por ejemplo, se dedican a la
obtención de información secreta. Las bandas criminales están para ganar dinero. El objetivo
de los activistas es hacerse notar. Las fuerzas militares están para ganar guerras.
Esos motivos no están completamente claros. El crimen organizado a menudo opera en

nombre de gobiernos corruptos o terroristas. Las fuerzas armadas tienen unidades de
inteligencia militar que buscan reunir información útil además de averiguar cómo eliminar
la infraestructura enemiga. Los servicios de inteligencia son llamados ocasionalmente para
organizar operaciones que podrían implicar causar un daño físico a la infraestructura enemiga.
Cualquiera o todos estos motivos pueden mezclarse en el desarrollo de un ataque de APT.

Y la fuente del ataque puede estar fuertemente disfrazada detrás de una gran variedad de
cortinas de humo. Puede ser imposible determinar al verdadero autor y objetivo de un ataque
de ATP, aunque es posible imaginar quién podría beneficiarse de una iniciativa como esa y
especular sobre el posible daño al negocio.
Una lección más práctica para las empresas a tener en cuenta de la experiencia previa
de ataques de APT, es que para enfrentarse a un ataque sofisticado de un adversario con
los recursos necesarios, se requiere mucho más que un conjunto de prácticas básicas de
seguridad . Exige habilidades de especialista en seguridad; tecnología de seguridad de última
generación; evaluaciones de riesgos dirigidos por inteligencia; educación astuta del personal;
monitorización de la red las 24 horas; y habilidades de análisis forense de vanguardia.
Estas prácticas no son desconocidas para los profesionales de la seguridad, pero el nivel
de experiencia, habilidad y tecnología necesaria para contrarrestar un ataque de APT
generalmente supera el nivel que se encuentra en la mayoría de las empresas públicas y
privadas. Este libro pretende ayudar a cerrar esta brecha, destacando las medidas mejoradas o
adicionales que cada organización necesita para prevenir, detectar y responder a un ataque de
APT profesional.
1.3 ¿Cómo responden otras empresas?

Si usted fuera a presentar el riesgo de un ataque de APT al consejo ejecutivo, es probable
que una de las primeras preguntas que los miembros del consejo harían sería "¿cómo están
respondiendo otras empresas a este desafío?”. Desafortunadamente, la respuesta sincera a esta
pregunta, incluso cuando se comparan las prácticas de las empresas líderes de Fortune 500 y
las agencias de gobierno, es probable que sea "No lo suficientemente bien."
Las APT son sin duda una amenaza real y presente para cualquier organización que posea
propiedad intelectual valiosa o que proporcione servicios nacionales críticos. El daño al

negocio de un ataque de APT puede ser lo suficientemente grave como para reducir la
rentabilidad de una línea de negocio o para forzar la dimisión de un alto ejecutivo.
Sin embargo, una investigación independiente realizada por ISACA2 indica que pocas
organizaciones se han enfrentado a la amenaza de APT con la respuesta decidida e integral
que un riesgo así de grave parecería merecer. La encuesta de ISACA de la industria y del
gobierno, publicada en 2013, indicó que:
• Diecinueve de las 20 organizaciones consideran que las APT son una amenaza creíble a la
seguridad nacional y a la estabilidad económica.
• Una de cada cinco empresas ya ha experimentado un ataque de APT.
• Dos tercios de los encuestados piensan que era sólo cuestión de tiempo antes de
experimentar un ataque.
• Más de la mitad de los encuestados no creen que las APT sean diferentes de las
amenazas tradicionales.
• Cuatro de cada cinco encuestados consideran que hay una falta de guía pública sobre las
APT.3
El mayor riesgo para la empresa relacionado con un ataque de APT exitoso, según los
encuestados en la encuesta de ISACA, se ilustra en la figura 1.
01
El mayor riesgo para
Figura
las empresas de un
ataque de APT4
Daño a la reputación
Pérdida financiera (tangible)
Incumplimiento contractual o cuestiones legales
Pérdida de información personal
Pérdida de propiedad intelectual
Pérdida de disponibilidad
0 5 10 15 20 25 30
Por ciento
2
l informe del estudio de ISACA Advanced Persistent Threat Awareness Study Results, patrocinado por Trend Micro, se llevó a cabo en el
E
cuarto trimestre de 2012 y se publicó en 2013.
3
Como parte del esfuerzo continuo para satisfacer las necesidades de sus miembros y de otros destinatarios, ISACA está respondiendo a los
resultados de la encuesta mediante la creación de una serie de productos destinados a abordar este desafío.
4
Porcentajes de empresas que juzgan el impacto del riesgo de ATP, de la encuesta ISACA 2013.

La investigación de ISACA indica una clara contradicción entre la concienciación de la

empresa y la acción correctiva. Hay un número de razones probables para esta contradicción,
incluyendo las siguientes:
• Muchas empresas creen que el riesgo no justifica cualquier acción inmediata o diferente.
(Este libro argumenta contra esta visión).
• Muchas funciones de seguridad no tienen el presupuesto y los recursos necesarios para
responder con eficacia.
• El caso de negocio para la inversión adicional en seguridad a menudo no logra despejar los
obstáculos establecidos por los Consejos de valoración de inversiones.
Sin embargo, hubo algunas respuestas positivas de la encuesta, como una tendencia en el
aumento de la atención de la dirección, mejores presupuestos de seguridad y aplicación de
políticas más estrictas. Fueron menos prometedoras las indicaciones de los encuestados sobre
que no están aumentando la concienciación de seguridad, ni cambiando la forma en la que
tratan con terceros.
1.4 Comprendiendo la jerga

Para el lector sin conocimientos técnicos, es útil comprender las técnicas de apoyo empleadas
por los ataques de APT y la terminología básica utilizada para describirlos. Al final de este
libro se incluye un Glosario de términos, pero es útil empezar definiendo los términos más
comunes encontrados, explicados en el contexto de su evolución.
Software malintencionado (malware)

Los ataques APT utilizan software malintencionado, comúnmente conocido como malware,
para aprovechar su alcance y capacidad. El malware puede ser diseñado para ayudar a
acceder a sistemas informáticos específicos, robar información o interrumpir las operaciones
del ordenador. Existen varios tipos de malware, siendo las categorías más importantes los
virus informáticos, los gusanos de red y los caballos de Troya, que se distinguen por la forma
en que funcionan o se propagan. También se utilizan otros términos para describir tipos más
específicos de malware, caracterizados por su propósito. Por ejemplo:
• El spyware es una clase de malware que reúne información sobre una persona u
organización sin el conocimiento de la persona o la organización.
• El adware es una clase de malware diseñado para presentar anuncios (generalmente no
deseados) a los usuarios.
• Ransomware es una clase de malware extorsionador que bloquea o codifica los datos o
funciones y exige un pago para desbloquearlos.
• Keylogger es una clase de malware que secretamente graba las pulsaciones del teclado del
usuario y, en algunos casos, el contenido de la pantalla.
• Rootkit es una clase de malware que oculta la existencia de otro tipo de malware mediante
la modificación del sistema operativo subyacente.
No todas estas variedades de malware se usan en un ataque APT, pero una capacidad clave
del malware usada por muchos es la de autorreplica, una técnica que permite a un ataque
propagarse rápidamente por toda la empresa.

Virus y Gusanos
Un virus informático es un trozo de código que puede replicarse a sí mismo y propagarse
de un ordenador a otro. Una variante de esto es un gusano de red, que es esencialmente
un fragmento de código que se auto replica diseñado para propagarse a través de redes
informáticas.
La idea del software que se auto replica dista mucho de ser nueva, habiendo sido explorada
por primera vez hace más de 60 años por el distinguido matemático John von Neumann. Se
desarrollaron versiones experimentales en laboratorios de investigación en la década de 1970,
aunque el primer virus informático generalizado (un virus pakistaní llamado Brain) no surgió
hasta el año 1986.
Desde entonces, se han creado numerosos virus y gusanos. Al principio, pocos fueron
malintencionados o dirigidos. Algunos de los primeros, como el gusano de Robert Morris,
fueron experimentos que se descontrolaron. Progresivamente se convirtieron en una molestia.
Hoy los frutos de esta investigación se han convertido en un vehículo para la recopilación de
inteligencia, la delincuencia o el sabotaje.
El nivel de sofisticación de los virus también ha crecido, por ejemplo, con la aparición de
características como el polimorfismo, que permite a un virus o a un gusano cambiar su
apariencia para evitar mecanismos de detección que se basan en firmas reconocidas.
Caballos de Troya
Otra categoría de software malicioso (malware) es el caballo de Troya, llamado así por el
famoso incidente en la guerra de Troya cuando soldados griegos se escondieron dentro de un
caballo de madera para acceder dentro de las murallas de la ciudad del enemigo.
Un caballo de Troya (o simplemente troyano) es un trozo de malware que obtiene acceso a

un sistema objetivo escondiéndose dentro de una aplicación genuina. Los caballos de Troya
se dividen a menudo en categorías que reflejan su propósito. Algunos términos comúnmente
encontrados para tipos específicos de troyano son:
• Los troyanos de envío de datos están diseñados para robar tipos específicos de información,
como contraseñas o detalles de la tarjeta de crédito.
• Los troyanos de denegación de servicio están diseñados para sobrecargar las redes para
deshabilitar procesos del negocio.
• Los troyanos destructivos están programados para dañar o eliminar archivos.
• Los troyanos FTP permiten al atacante conectarse usando el protocolo de transferencia de
archivos (FTP).
• Los troyanos de “hombre en el navegador” permiten a un atacante interceptar y modificar
las peticiones y las respuestas del navegador.
• Los troyanos de “hombre en el dispositivo móvil” permiten a un atacante interferir con las
transacciones del dispositivo móvil.
• Los troyanos proxy permiten a un atacante utilizar el ordenador de la víctima como un
servidor proxy, por ejemplo, para atacar a otras víctimas.

• Los Troyanos de acceso remoto permiten a un atacante obtener el control del sistema de la
víctima.
• Los troyanos de inhabilitación del software de seguridad están diseñados para detener o
eliminar programas de seguridad, como el software antivirus.
Los troyanos proxy pueden usarse para aprovechar recursos informáticos adicionales para
apoyar un ataque a gran escala, por ejemplo, para realizar un ataque de denegación de
servicio utilizando un vehículo llamado "botnet".
Botnets
Un botnet (un término derivado de "robot network") es una gran red distribuida de
ordenadores previamente comprometidos que pueden ser controlados simultáneamente para
lanzar ataques a gran escala, como un ataque de denegación de servicio, contra víctimas
seleccionadas.
Las botnets pueden contener cientos de miles (en algunos casos, millones) de equipos
individuales. Se han utilizado ampliamente por criminales para enviar mensajes de spam, por
activistas para atacar empresas y, en algunos casos, en nombre de agencias gubernamentales
para fines militares o políticos.
Descargas drive-by:
Una descarga drive-by es una infección de malware causada por un usuario que visita un sitio
web infectado. El término también puede utilizarse para describir un ataque provocado por
el usuario al hacer clic en una ventana emergente falsa colocada en el dispositivo cliente del
usuario. La mayoría de los ataques APT obtienen acceso a las empresas engañando al usuario
para visitar un sitio web infectado o para hacer clic en un archivo adjunto infectado o una
ventana emergente. La infección por una descarga drive-by es el resultado típico de un ataque
de ingeniería social a un usuario de TI.
Un watering hole es una forma de descarga drive-by que se dirige a un grupo de miembros de
una empresa objetivo. En este escenario, la carga se descarga cuando los miembros del grupo
navegan en sitios legítimos que están infectados.
Vulnerabilidades de día cero

Una vulnerabilidad de día cero es un ataque basado en el conocimiento avanzado e inédito
sobre una vulnerabilidad de software en un sistema operativo o aplicación que no ha sido
abordada aún por el proveedor del software. Es muy difícil defenderse contra estos ataques
porque pueden ser desconocidos incluso para el proveedor y probablemente no serán
detectados por un sistema de anti-malware que se basa en firmas reconocidas.
Las vulnerabilidades de día cero son activos valiosos para quienes las descubren. Tambien
pueden venderse a grupos del crimen organizado o a agencias de inteligencia por cientos
de miles de dólares o utilizarse para organizar ataques de robo de información a víctimas.
La única defensa eficaz contra este ataque es un proceso de detección de malware que sea
capaz de analizar el comportamiento del código entrante (simulación en entorno de pruebas -

sandboxing).
1.5 Una breve historia corta de los ataques de APT
Es instructivo examinar la historia de las APT, ya que es posible obtener muchas lecciones
importantes para defenderse contra ellos en el futuro. El uso más antiguo del término
"amenaza persistente avanzada" surgió en el sector de gobierno de los Estados Unidos en
2005, para describir una nueva forma de ataque que se dirigía a empleados seleccionados y
los engañaba para que descargaran un archivo o accedieran a un sitio web infectado con el
software del caballo de Troya.
Estos primeros ataques pretendían en última instancia robar información de interés para los
servicios de inteligencia extranjeros, por lo que es muy probable que fueran patrocinados por
una agencia de inteligencia rival. Los ataques no empleaban formas nuevas de tecnología o
conocimientos. Simplemente explotaron las debilidades evidentes (en retrospectiva) en las
defensas de seguridad existentes.
La exposición subyacente en cada empresa atacada fue que no existía una protección eficaz
para evitar que un caballo de Troya implantado transmitiera información fuera de la empresa.
Los ataques diseñados para robar grandes cantidades de información a través de malware
automatizado, por lo tanto, fueron siempre una posibilidad, pero en la práctica se habían
encontrado pocos ataques y las organizaciones se sentían relativamente seguras detrás de los
cortafuegos de la empresa.
La audacia y la ambición de esta nueva ola de ataques cibernéticos sorprendió a la mayoría de

las partes interesadas. Han tenido éxito al coger desprevenidas a las organizaciones objetivo,
no porque dicho ataque no se consideraba posible, sino simplemente porque los ataques no
tenían precedentes, así como por ser cuidadosamente estudiados y ejecutados. Fue un punto
de aprendizaje que debe ser considerado por todas las empresas. Solamente porque una forma
de ataque no se ha experimentado aún, no implica que no pueda materializarse en el futuro.
Las evaluaciones de riesgo de la seguridad de la información lamentablemente son

retrógradas, buscando evidencia de incidentes ocurridos para justificar la inversión en nuevas
contramedidas. Los gerentes de negocio son comprensiblemente reacios a gastar dinero en
controles para contrarrestar amenazas teóricas. La consecuencia es que la mayoría de las
defensas de seguridad están diseñadas principalmente para prevenir o detectar los ataques que
se han encontrado previamente, rara vez considerando las nuevas formas de ataque que son
teóricamente posibles pero aun no experimentadas de la organización.
La falta de atención al riesgo futuro es una vulnerabilidad que existe en muchas disciplinas.
A menudo se dice, por ejemplo, que los ejércitos están diseñados para combatir en la guerra
anterior. Lo mismo sucede con la ciberseguridad. La mayoría, si no todas, de las medidas
de protección se basan en la experiencia pasada en lugar de en las necesidades futuras. Pero
ante un panorama de amenazas rápidamente cambiante, es importante mirar hacia el futuro
y anticiparse a nuevas formas de riesgo potencial en lugar de responder únicamente cuando
ocurren.

Los últimos capítulos de este libro examinarán la cuestión de cómo asegurarse de que las
medidas de seguridad sean adecuadas y necesarias. Por desgracia, no es tan fácil de lograr
en la práctica como podría parecer, en gran parte porque el gasto en medidas para mitigar el
riesgo futuro teórico es difícil de justificar ante los consejos de valoración de inversiones.
Volviendo a la historia de los ataques de APT, cabe destacar que gran parte del aumento en la
sofisticación de los ataques de malware se debe en gran medida a la aparición de los servicios
de inteligencia en el hacking informático y el malware. Estas agencias están mucho mejor
equipadas que los entusiastas individuales o los delincuentes de poca monta para desarrollar
malware ofensivo sofisticado. Su entrada efectivamente abrió la puerta a todos los actores,
incluyendo a criminales, activistas y, potencialmente, terroristas, demostrando que es posible
y exponiendo las vulnerabilidades de las empresas a determinados ataques sostenidos.
No es nuevo el que los servicios de inteligencia nacionales espíen en otros países. Ha estado
sucediendo durante miles de años. Pero, en el pasado, se logró principalmente por agentes
humanos o a través de la interceptación de las comunicaciones. Sin embargo, el crecimiento
de las redes informáticas y las bases de datos en los últimos treinta años ha transformado
el entorno de obtención de inteligencia. Ahora es más fácil reunir inteligencia mediante el
hackeo que a través de espías humanos.
El apéndice B resume los hechos conocidos, la evidencia anecdótica y las reclamaciones

realizadas que hay detrás de los ataques que se han experimentado durante los últimos 15
años. Estos ataques se explican con más detalle en las páginas siguientes. No son ni teóricos
ni exagerados y pueden afectar a cualquier empresa o persona que caiga dentro de sus
objetivos. Sin embargo, antes de analizar estos ataques, merece la pena dar un paso hacia
atrás varios años para examinar un ataque que sirvió como una llamada de atención temprana
sobre la posibilidad de organizar ataques de espionaje cibernético profesionales.
The Cuckoo’s Egg

El primer ataque publicado a centros de investigación militar fue detectado a finales de la
década de 1980 cuando los hackers de Alemania Occidental se introdujeron en ordenadores
en red de California para robar secretos relacionados con el programa "Star Wars".
Un relato fascinante de este particular conjunto de ataques se relata en el libro de 1989 The
Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage,5 por Clifford Stoll,
un gerente de informática en el Lawrence Berkeley National Laboratory, que tropezó con
la actividad al investigar una discrepancia menor de contabilidad en las cuentas de uso del
ordenador.
5
Stoll, Clifford; The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, Doubleday, EE. UU., 1989

Stoll descubrió que la intrusión venía de una universidad en Alemania Occidental a través de
un enlace por satélite. Instaló una trampa con detalles atractivos de un contrato ficticio de Star
Wars, que permitió a las autoridades de Alemania Occidental localizar al hacker, un estudiante
llamado Markus Hess, que había estado vendiendo la información robada a la KGB soviética.
Hess fue juzgado y declarado culpable de espionaje en 1990 y enviado a prisión.
El incidente ayudó a sensibilizar a las comunidades de inteligencia y seguridad acerca del

potencial de los ataques ofensivos, así como la vulnerabilidad de los ordenadores conectados
en red de ser comprometidos. Fue un presagio de futuros ataques que se materializarían en
años venideros.
Moonlight Maze
A finales del siglo pasado, una amplia serie de ataques contra sitios gubernamentales fue
descubierta por el gobierno de los Estados Unidos. Los ataques, con el nombre clave de
Moonlight Maze, habían pasado desapercibidos durante casi dos años, penetrando los
sistemas del Pentágono, la NASA y el Departamento de energía de los EE. UU., así como
universidades y laboratorios de investigación que realizaban investigación militar. Algunos
expertos señalan que estos ataques fueron tal vez el primer ejemplo importante de una APT,
aunque el término no era de uso común en ese momento.
Los ataques robaron decenas de miles de archivos, incluyendo mapas de instalaciones

militares, configuración de tropas y diseños de hardware militar, dando como resultado
daños que ascendieron a muchos millones de dólares. Los ataques fueron rastreados hasta
un ordenador central en la antigua Unión Soviética, aunque el gobierno ruso negó cualquier
implicación. Es posible que la información robada pudo haber sido vendida al mejor postor.6
Titan Rain
Titan Rain fue el nombre en clave dado por el gobierno de los EE. UU. a una serie de ataques
de espionaje cibernético lanzados en 2003 contra los contratistas de defensa de los EE. UU.,
incluyendo a aquellos en Lockheed Martin, Sandia National Laboratories, Redstone Arsenal
y la NASA. Se dice que los ataques fueron de origen chino, aunque el gobierno chino negó
cualquier implicación.
La novedad en los ataques que comenzaron a emerger en este momento era el nivel de
engaño y el uso de múltiples vectores de ataque (canales de ataque), que combinaban
ataques de ingeniería social bien investigados dirigidos a individuos específicos, con ataques
clandestinos de caballos de Troya, utilizando técnicas de malware que permitían eludir las
contramedidas de seguridad actuales.
La naturaleza sensible de los incidentes y los objetivos fomentó un manto de secretismo por
parte del gobierno, que era comprensible pero, en retrospectiva, lamentable, porque ayudó a
los autores a ampliar sus ataques para robar los datos de un espectro más amplio de empresas,
6
n un testimonio a un comité del Senado de los EE. UU. en asuntos de gobierno en marzo de 2000, James Adams, gerente general (CEO) de
E
iDEFENSE, una consultoría de inteligencia de seguridad, afirmó que la información robada, con un valor de decenas o cientos de millones
de dólares, fue enviada por Internet a Moscú para la venta al mejor postor.

abarcando todos los sectores principales de la industria, incluyendo aeroespacial, defensa,

energía, servicios financieros, fabricación, farmacéutico, tecnología y otros.
Sykipot
Durante varios años, quizás desde 2006, pero no detectado hasta mucho más tarde, un ataque
de APT llamado Sykipot ha estado reuniendo y robando secretos y propiedad intelectual,
incluyendo información de diseño, financiera, producción y planificación estratégica. Los
ataques emplean correos electrónicos phishing que contienen un archivo adjunto malicioso
o un enlace a un sitio web infectado, así como vulnerabilidades de día cero.
Los ataques de Sykipot han sido dirigidos contra muchas compañías en los Estados
Unidos y en el Reino Unido, incluidas las que operan en sectores de defensa, informática,
telecomunicaciones, energía, productos químicos y gubernamentales. Un análisis de estos
ataques realizado en 2011 por AlienVault Labs indicó que la gran mayoría de los servidores
estaban radicados en China.7 Los objetivos y la información obtenida sugieren que una
agencia de inteligencia sería el probable beneficiario.
GhostNet
GhostNet fue una operación de espionaje cibernético a gran escala descubierta en marzo de
2009. Se informó que su infraestructura de mando y control estaba en gran parte en China,
aunque el gobierno chino ha negado cualquier implicación.
Los ataques de GhostNet fueron iniciados por un correo electrónico phishing que contenia
archivos adjuntos maliciosos que cargaron un caballo de Troya en el sistema de la víctima,
permitiendo la ejecución de comandos desde un sistema de mando y control remoto, que
descargó más malware para tomar el control completo del sistema comprometido. El malware
incluía la capacidad de utilizar dispositivos de grabación de audio y video para supervisar las
ubicaciones que alojaban los ordenadores comprometidos.
Se informó que GhostNet se había infiltrado en los ordenadores de objetivos políticos,

económicos y de los medios de comunicación en más de 100 países, incluyendo las
embajadas de la India, Corea del Sur, Indonesia, Rumania, Chipre, Malta, Tailandia, Taiwán,
Portugal, Alemania, Pakistán y la oficina del primer ministro de Laos. Los ministerios de
asuntos exteriores de Irán, Bangladesh, Letonia, Indonesia, Filipinas, Brunei, Barbados y
Bután también fueron atacados. Los ordenadores de los centros tibetanos del Dalai Lama en
el exilio en India, Londres y Nueva York también fueron comprometidos.
Algunos investigadores han sugerido que GhostNet podría haber sido una operación dirigida
por ciudadanos de China por razones económicas o patrióticas. Alternativamente, pudo haber
sido creado por agencias de inteligencia de otros países como Rusia o los Estados Unidos.
Un factor que se encuentra consistentemente al intentar identificar el origen de los ataques de
7
lasco, Jaime, “Are the Sykipot’s authors obsessed with next generation US drones?,” AlienVault Labs Blog, EE. UU.,
B
20 de diciembre de 2011, labs.alienvault.com/labs/index.php/2011/are-the-sykipots-authors-obsessed-with-next-
generation-us-drones

APT es la preponderancia de rumores sin fundamento o sesgos relacionados con los ataques.
Cada especialista tiene una opinión diferente sobre quién está detrás de ellos.
Operación Aurora
Operación Aurora (se considera que es el nombre original de la operación) fue una serie
de ataques cibernéticos lanzados en el 2009 que, según se informa, se originó en China. El
ataque utiliza una vulnerabilidad de día cero para instalar un caballo de Troya malicioso
llamado Hydraq diseñado para robar información.
Las primeras víctimas de los ataques de APT generalmente han sido reacias a dar a conocer
su experiencia o a enfrentarse a los presuntos responsables. El temor de contrariar a sus
atacantes o disgustar a sus clientes y accionistas desalentaron los anuncios públicos y las
acciones de represalia, lo que sirvió únicamente para alentar a los atacantes para ir aún más
lejos. Dicho sea en su favor, Google fue una excepción a esta cultura del silencio. En enero
de 2010, Google divulgó los ataques, afirmando que también habían sido atacadas otras 20
compañías, aunque ahora la creencia generalizada es que el número era mucho mayor. Se
sabía que las víctimas incluían a Adobe Systems, Juniper Networks y Rackspace. Muchas
otras compañías que fueron atacadas prefirieron permanecer en el anonimato, aunque
informes indican que incluían a los principales bancos, contratistas de defensa, proveedores
de seguridad, empresas de petróleo y gas, así como una cantidad de otras empresas de
tecnología. Las cuentas de correo electrónico de activistas chinos de derechos humanos
también fueron atacadas.
Los investigadores de McAfee informaron que el objetivo principal del ataque era obtener
acceso y modificar el código fuente de los repositorios de estas compañías de alta tecnología,
seguridad y contratistas de defensa. En ese momento, estos repositorios, en general, no
estaban protegidos con un alto estándar de seguridad.
Dando a conocer sus experiencias, Google ayudó a promover la concienciación del riesgo
y a fomentar la inversión en mejores contramedidas de seguridad. Muchas empresas siguen
reticentes a admitir ser víctimas de ataques similares, aunque los requisitos de cumplimiento
han ido obligando progresivamente a las empresas a ser más abiertas sobre sus incidentes de
seguridad.
Gozi
El virus Gozi, denominado así por los primeros expertos en seguridad que lo descubrieron
en el año 2007, fue un virus de banca que infectó a más de un millón de ordenadores en los
Estados Unidos, Reino Unido, Alemania, Polonia, Francia, Finlandia, Italia, Turquía y en
otros lugares, causando decenas de millones de dólares en daños. Los sistemas de la NASA
también fueron infectados por los ataques. El malware fue alquilado o vendido a bandas
criminales por Nikita Kuzmin, un ciudadano ruso que creó el virus Gozi con el apoyo de
cómplices de países vecinos.

Diseñado inicialmente para simplemente capturar y transmitir información bancaria personal,

las versiones posteriores contuvieron la capacidad de interceptar el tráfico del navegador y de
modificar las comunicaciones de la web. Gozi era controlado a través de un supuesto servicio
“de hospedaje a prueba de balas” que ayudó a los ciberdelincuentes a distribuir el virus Gozi de
una forma diseñada para permitirles preservar su anonimato. Gozi fue distribuido a sus víctimas
a través de varios métodos, más comúnmente disfrazado como un documento PDF legítimo.
Nikita Kuzmin fue detenido en noviembre de 2010 en los Estados Unidos y se declaró
culpable de los cargos de intrusión en ordenadores y fraude, pero los bancos han seguido
teniendo ataques de Gozi, que ha continuado mejorando. Una nueva variante de Gozi, que
apareció a principios de 2013, infecta el registro maestro de arranque del disco duro, un ataque
que no puede erradicarse fácilmente incluso al formatear y reinstalar el sistema operativo.
Zeus
Descubierto por primera vez en 2007, cuando fue utilizado para robar información del
Departamento de transporte, Zeus es un caballo de Troya utilizado para robar credenciales
utilizadas para pagos bancarios y datos de tarjetas de crédito o para acceder a las redes
sociales. Zeus no es un ataque específico de una sola fuente, sino un kit de herramientas
completo que ofrece una amplia gama de herramientas automáticas y manuales utilizadas por
los delincuentes como parte de un ataque de APT.
Las APT creadas con Zeus se pueden propagar a las víctimas a través de un correo
electrónico fraudulento (phishing) o una visita a un sitio infectado. El Troyano crea entonces
un ataque de “hombre en el navegador” para capturar las pulsaciones del teclado y los
datos del formulario web de los usuarios. Usando esta técnica, se informa que Zeus ha
comprometido a decenas de miles de cuentas de FTP en los sitios web de las empresas e
infectado varios millones de ordenadores de los clientes.
En 2010, más de 100 personas fueron detenidas en los Estados Unidos, Reino Unido y
Ucrania por cargos de conspiración por cometer fraude bancario y blanqueo de dinero
después de utilizar Zeus para robar unos 70 millones de dólares.
SpyEye
En 2009, surgió un nuevo Troyano bancario, conocido como SpyEye, vendido al por menor
por 500 dólares en foros clandestinos rusos. Al igual que Zeus, SpyEye está diseñado para
robar las credenciales del cliente e iniciar transacciones cuando una víctima inicia una sesión
en su cuenta bancaria. Una variante de SpyEye descubierta en 2012 fue capaz de modificar
las pantallas de estados de cuenta bancarios y saldos. Las variantes más nuevas de Zeus y de
SpyEye, generalmente con un aumento de los niveles de sofisticación, siguen apareciendo en
respuesta a la mejora de las defensas de seguridad.8
En mayo de 2013, el presunto desarrollador y controlador de SpyEye, Hamza Bendelladj, un

hacker argelino, fue extraditado de Tailandia a los Estados Unidos y acusado de numerosos
cargos de fraude.
8
Por ejemplo, ver Eurograbber, cubierto más adelante en este capítulo.

Uno de los servidores de mando y control de SpyEye ubicado en Atlanta (Georgia, EE. UU.)
supuestamente contenía información de 253 instituciones financieras diferentes.
Ataque a RSA
En marzo de 2011, aproximadamente un mes después de ser sede de la conferencia de
ciberseguridad más grande del mundo, RSA (la división de seguridad de EMC) anunció que
había sido víctima de un ataque de APT exitoso. Aunque muchos expertos no pondrían este
ataque en la misma categoría que algunos de los ataques de recopilación de inteligencia más
sofisticados que se han organizado contra los gobiernos y empresas de Fortune 500, esto fue
claramente un ataque profesional, dirigido por un importante actor de APT.
El ataque en sí era relativamente simple, pero eficaz: Fue iniciado por un correo electrónico
fraudulento explotando una vulnerabilidad de Adobe flash incrustada en una hoja de cálculo
adjunta. El resultado de la intrusión fue el robo de información confidencial, incluyendo datos
relativos a las mejores ventas de tecnología de autenticación SecurID de RSA. El ataque
utilizó una pieza de malware llamada PoisonIvy, que en esa época era un troyano de acceso
remoto ampliamente disponible que había sido utilizado para robar información de empresas
de los sectores químicos y del motor, así como de organizaciones de derechos humanos.
La publicación del suceso envió ondas expansivas a través de la comunidad de seguridad

porque el producto SecurID, ampliamente considerado como la práctica recomendada de
seguridad, había sido el producto elegido por muchas de las empresas de Fortune 500. Poco
después de la intrusión de RSA, varios contratistas de defensa, como Lockheed Martin,
divulgaron que habían sufrido ciberataques en sus redes. Se informó que por lo menos uno de
estos ataques utilizó contraseñas falsificadas de un token SecurID de RSA clonado.
Las consecuencias de este ataque fueron potencialmente muy perjudiciales para RSA y
los clientes de su producto de seguridad de autenticación. Afortunadamente, RSA actuó
rápidamente para contener el daño, informando inmediatamente a los clientes y asesorándolos
para tomar medidas para fortalecer sus implementaciones de SecurID. EMC informó que
había gastado por lo menos 66 millones de dólares en remediarlo. Según los ejecutivos de
RSA, las redes de sus clientes no fueron infectadas, aunque el incidente eventualmente afectó
a más de 700 organizaciones y un analista de Gartner estimó que el coste para la industria
bancaria en EE. UU. fue de 50 a 100 millones de dólares en costes de reemplazo de los
tokens nuevos.
Hay varias lecciones que se desprende del incidente de RSA:

• Es posible que los productos de seguridad sean comprometidos a través de un ataque contra
el proveedor. Por lo tanto, se deben considerar planes de contingencia para las posibles
brechas de este tipo donde las consecuencias serían altamente perjudiciales.
• El incidente demostró que incluso las compañías con más concienciación de seguridad que
manejan material altamente sensible pueden tener debilidades en su postura de seguridad.
Sin duda hay un elemento de verdad en el viejo refrán de que "en casa de herrero, cuchillo
de palo."

• Con la rápida identificación y respuesta, es posible contener el daño inmediato de una

intrusión. RSA actuó rápidamente, con decisión y franqueza para reducir al mínimo las
consecuencias para los clientes.
• El incidente demuestra que las empresas con buena gestión de crisis y relaciones públicas
pueden aguantar hasta los incidentes más graves. RSA todavía está en el negocio hoy en día
y ha mantenido una buena reputación.
El gusano Stuxnet
El gusano Stuxnet, descubierto en junio de 2010, fue la primera pieza de malware encontrada
en el dominio público que está diseñado para espiar y subvertir los sistemas de proceso
industrial. Se afirmó que Stuxnet había sido creado por los Estados Unidos e Israel para
atacar las instalaciones nucleares de Irán.9 Se informó que el malware había causado daños
considerables a las centrifugadoras en el laboratorio de enriquecimiento nuclear de Natanz
en Irán.
El gusano fue dirigido específicamente contra el software industrial y el equipo de Siemens,

volviéndose inerte si el software objetivo no era encontrado y conteniendo medidas de
seguridad para limitar la propagación de la infección. Fue la primera pieza de malware
en incluir un rootkit de control lógico programable (PLC). También fue programado para
borrarse a sí mismo en una fecha específica en junio de 2012. El diseño del gusano sugiere
que tuvo la intención de lograr un objetivo específico contra un objetivo particular en lugar de
apoyar una operación de inteligencia general.
Stuxnet fue diseñado para propagarse inicialmente a través de una unidad USB infectada y
luego usar otras vulnerabilidades para infectar o actualizar otros ordenadores. Fue controlado
a través de dos sitios web en Dinamarca y Malasia. El malware contenía cuatro exploits
diferentes de día cero, una inversión considerable para un solo ataque porque esos exploits
pueden venderse por cientos de miles de dólares.
El tamaño y la sofisticación del código indicaron que el coste del desarrollo habría sido
sustancial, requiriendo alrededor de una docena de años o más. Otros derivados de Stuxnet,
llamados Duqu y Flame, fueron descubiertos durante los siguientes dos años, lo que sugiere
que estos ataques eran parte de un programa de desarrollo continuo.
Duqu
Duqu fue descubierto en el 2011 y denominado por el prefijo ~DQ, debido a los nombres
de los archivos que crea. El código se ha encontrado en un número limitado de empresas,
incluyendo aquellas involucradas en la fabricación de sistemas de control industriales.
9
l 1 de junio de 2012, un artículo en The New York Times informó que Stuxnet es parte de una operación de inteligencia de
E
Estados Unidos e Israel denominada "operación Juegos Olímpicos," que comenzó bajo el mandato del Presidente
George Bush W. y se amplió bajo el mandato del Presidente Barack Obama.

El análisis demostró que es muy similar a Stuxnet, sugiriendo que fue creado por los mismos
autores o por una fuente que tenía acceso al código fuente de Stuxnet. Las direcciones de
los servidores estaban dispersas en muchos países, incluyendo Alemania, Bélgica, Filipinas,
India y China, lo que sugiere que algunos sitios fueron seleccionados para ayudar a ocultar la
verdadera fuente de los ataques.
Duqu está diseñado para recopilar información en lugar de causar daño. En particular, captura
la información como las pulsaciones del teclado y la información del sistema, probablemente
con el fin de permitir un futuro ataque de APT contra los sistemas de control industriales.
Los investigadores de Kaspersky Lab han señalado que, a diferencia de muchas otras
piezas de malware, el código comparte semejanzas con el software comercial producido
profesionalmente, lo que sugiere que fue desarrollado por profesionales de software en lugar
de hackers informáticos.
El análisis de Duqu también indicó que el malware fue construido sobre una plataforma
anterior llamada Tilded (debido la ~d al principio de los nombres de archivo que crea), que se
originó desde 2007.
Flame
Flame fue descubierto por el equipo nacional de respuesta a emergencias informáticas de
Irán en 2012. Se utilizó para organizar ataques sofisticados de ciberespionaje en ministerios
gubernamentales, instituciones educativas e individuos en países del Medio Oriente,
infectando a alrededor de 1,000 máquinas en Irán, Israel, Sudán, Siria, Líbano, Arabia
Saudita y Egipto.
El malware Flame era grande y complejo, diseñado para propagarse a través de redes locales
o a través de memorias USB. Podía grabar audio, capturas de pantalla, actividad del teclado y
tráfico de red, incluyendo conversaciones de Skype®. También era capaz de robar información
de contacto de cualquier dispositivo cercano con Bluetooth® habilitado.
El malware fue diseñado para ser eliminado al instante por una instrucción remota desde el
servidor central de mando y control. Los ataques cesaron cuando el malware fue divulgado
públicamente. El Washington Post afirmó que Flame fue desarrollado conjuntamente por
militares de la Agencia de Seguridad Nacional de los Estados Unidos, la CIA y las fuerzas
armadas de Israel por lo menos cinco años antes del descubrimiento, aunque esto fue negado
oficialmente.
Octubre Rojo
Octubre Rojo, un programa de malware diseñado para robar secretos de gobierno y
organizaciones de investigación (incluyendo datos de dispositivos móviles), fue descubierto
en octubre de 2012 por la firma rusa Kaspersky Lab. Se cree que han estado operando en
todo el mundo durante al menos cinco años antes de su descubrimiento, robando una amplia
variedad de información, incluyendo secretos diplomáticos, organizaciones de comercio,

militares, aeroespaciales, de energía e investigación en Rusia, Irán, Estados Unidos y al

menos otros 36 países.
Los ataques de Octubre Rojo fueron diseñados para dirigirse a múltiples plataformas,
incluyendo routers, conmutadores, teléfonos móviles y dispositivos de almacenamiento
externo y adaptar sus acciones a entornos de software diferentes. Entre otras cosas, el
malware dirigido a archivos relacionados con los sistemas criptográficos, incluyendo sistemas
utilizados por los departamentos de la OTAN, la Unión Europea, el Parlamento Europeo y la
Comisión Europea.
El análisis del malware realizado por Kaspersky Lab descubrió un sofisticado marco de
más de 30 categorías diferentes de módulo, cada una diseñada para llevar a cabo una tarea
específica, como identificar el entorno del software, infectar equipos, instalar puertas traseras,
buscar archivos, reunir información, robar credenciales, grabar las pulsaciones de teclado
o subir los archivos obtenidos. También incluye un software especial para permitir que
los equipos infectados resuciten automáticamente al recibir un archivo adjunto de correo
electrónico en caso de que el cuerpo principal del malware haya sido descubierto y eliminado,
o el sistema parcheado.
Existen opiniones contradictorias entre los expertos sobre la fuente, que sigue siendo
desconocida. El análisis del malware indicó que era diferente del código encontrado en
Stuxnet, Duqu y Flame, lo que sugiere que fue creado por una fuente diferente.
Eurograbber
En diciembre de 2012, los proveedores de seguridad Versafe y Checkpoint publicaron detalles
de un sofisticado troyano llamado Eurograbber, que había robado unos 36 millones de euros
de más de 30,000 clientes en más de 30 bancos de toda Europa. Los ataques comenzaron en
Italia y se extendieron rápidamente a España y Holanda.
Este ataque comenzó por infectar los ordenadores de los clientes del banco a través de un
correo electrónico fraudulento (phishing) que descargaba un Troyano (una variante de Zeus)
diseñado para reconocer e inyectar instrucciones en operaciones bancarias, desviando dinero
a una cuenta "mula" propiedad de los criminales.
El ataque fue capaz de burlar el sistema de autenticación basado en SMS utilizado por
los bancos objetivo pidiendo al usuario instalar un nuevo software de seguridad en su
dispositivo móvil.
Nuevas tendencias en ataques

El análisis de tendencias muestra una extensión progresiva de los objetivos para incluir
aquellos que son menos obvios, como universidades y pequeñas empresas. ¿Dónde
terminarán estos ataques? La respuesta es que no lo harán. Dado el atractivo y la eficacia que
los ataques de APT tienen para los agentes que los lanzan, se puede esperar confiadamente
que las APT seguirán creciendo en sofisticación, ambición e impacto.

Un indicio de ello es el aumento sustancial del gasto del gobierno en ciberdefensa,

incluyendo capacidades ofensivas. Por ejemplo, según un informe de Reuters de junio de
2013, se proyecta que el gasto cibernético militar de los Estados Unidos crezca de 800
millones de dólares, a 4.7 billones de dólares, mientras el gasto total del Pentágono se está
recortando por 3.9 billones.10
Otro factor es que las técnicas y código fuente utilizados en ataques anteriores, a menudo
están disponibles a través de la venta o la publicación en Internet. Los ataques se replicarán
o evolucionarán más rápido mientras los atacantes de todos los tipos compiten por explotar
las vulnerabilidades y brechas publicadas antes de que sus víctimas tengan la oportunidad
de eliminar los fallos en su infraestructura. Las herramientas de análisis de vulnerabilidades
también están disponibles para cualquier aspirante a atacante para permitirle buscar
debilidades en los sistemas de red. La descarga de algunas herramientas es gratuita.
El resultado final será un número creciente de personas adquiriendo habilidades de hacking

y desarrollo de malware, junto con una creciente demanda de los gobiernos, los criminales
y los terroristas para explotar sus habilidades. Para comprender mejor porqué tantos actores
diferentes están interesados en los ciberataques y lo que se convierten después, es necesario
examinar los objetivos de las organizaciones responsables de organizar ataques de APT.
1.6 ¿Quién está detrás de los ataques de APT?

Los motivos detrás de la mayoría de los ataques de ATP son tan antiguos como la
civilización misma: espionaje, sabotaje, crimen, terrorismo, guerra, protestas y vandalismo.
Estas amenazas son familiares para todo el mundo, aunque sus manifestaciones físicas
están generalmente más allá de las experiencias de trabajo cotidiano de la mayoría de los
ciudadanos y personal de la empresa. La persona promedio rara vez se encuentra con espías,
criminales o hackers mientras hacen sus negocios, pero las redes traen a esas amenazas
mucho más cerca de casa.
Hoy en día cualquier empresa, de cualquier tipo o tamaño o cualquier usuario de TI es un

posible objetivo de un ataque sofisticado de los intrusos (hackers) profesionales o de malware
criminal. Prácticamente todas las empresas u organizaciones del sector público poseen
cierta información de valor para un atacante, ya sea los secretos comerciales, conocimientos
privilegiados de acuerdos comerciales, instalaciones para iniciar las transferencias de
dinero o datos de identificación personales (del personal o de los clientes) que podrían ser
aprovechados con fines de fraude de identidad.
Los ataques sofisticados a los sistemas bancarios también pueden afectar a los ciudadanos.
Los consumidores son un objetivo mucho más suave que las instituciones financieras. Los
resultados de un fraude a un cliente individual del banco pueden ser relativamente pequeños,
pero hay muchos millones de ellos y el malware automatizado facilita organizar ataques
a gran escala.
10
trobel, Warren; Deborah Charles; “With troops and techies, U.S. prepares for cyber warfare,” Reuters, 7 junio de 2013,
S
consultado el 22 de agosto de 2013, in.reuters.com/article/2013/06/07/usa-cyberwar-idINL1N0EF0NF20130607

La figura 2 muestra los principales actores detrás de las amenazas de APT. Establece sus
objetivos generales, así como el posible impacto al negocio de sus ataques. Cada fuente de
amenaza se examina con más detalle en los siguientes párrafos.
Parte de este contenido puede parecer un poco dramático y tal vez alarmante para los gerentes
de negocios cotidianos. Podría ser percibido como una amenaza remota para un gerente de
seguridad con los pies en la tierra o un auditor con necesidades inmediatas centrado en los
incidentes cotidianos que son resultado de descuidos del usuario, errores de operación o fallos
del equipo.
Pero los objetivos, el alcance y los impactos de los ataques profesionales se están volviendo
cada vez más amplios, por lo que es importante que todos los gerentes empresariales y los
consumidores individuales comprendan la fuente y los motivos del riesgo de APT y sean
capaces de evaluar la probabilidad y el impacto, sin importar lo remoto que pueda parecer
en el presente.
02
Figura
Fuentes de la
amenaza de APT
Amenaza Lo que buscan Impacto al negocio

Agencias de Política, defensa o secretos comerciales Pérdida de secretos comerciales, ventaja
inteligencia competitiva
Grupos criminales Las transferencias de dinero, Pérdida financiera, acceso a datos de
oportunidades de extorsión, información clientes a gran escala o pérdida de
de identidad personal o cualquier secretos comerciales
secreto para su posible venta posterior
Grupos terroristas Generación de terror generalizado Pérdida de producción y servicios,
a través de la muerte, destrucción y irregularidades en el mercado de valores
trastornos y posible riesgo para la vida humana
Grupos activistas Información confidencial o interrupción Violación de datos grave o pérdida del
de servicios. servicio.
Fuerzas armadas Inteligencia o posicionamiento para Graves daños a las instalaciones en
apoyar futuros ataques contra las caso de conflicto militar.
infraestructuras nacionales críticas.
Agencias de inteligencia
Al hablar de espionaje con una persona normal, es probable que evoque un modelo mental
del Agente 007, James Bond. Pero el espionaje es ahora una parte fundamental de los
negocios internacionales modernos. El robo de información a compañías patrocinado por el
Estado es una amenaza clara y presente para una empresa que posee o maneja la propiedad
de información valiosa, sin importar qué tan grandes sean o dónde estén ubicados.
Una barrera importante para mitigar esta amenaza para muchas empresas es que hablar de

espionaje puede ser percibido por los gerentes como una idea fantasiosa en lugar de una
realidad de negocios concreta. Los evangelistas de la seguridad enfrentan el duro desafío
de convencer a los gerentes y usuarios de TI para que tomen la amenaza seriamente.
Muchas personas son comprensiblemente reacias a responder al riesgo que está fuera de
su experiencia. Con el tiempo, sin embargo, se llegan a familiarizar con el tema porque un
aumento en los ataques aumentará el nivel de concienciación de los APT.
El objetivo de la reunión de inteligencia es apoyar la seguridad nacional, alertando

oportunamente de amenazas inminentes y ayudando a informar de la planificación de defensa.
También se puede utilizar para servir a los intereses nacionales al discernir las intenciones de
los países rivales y sus industrias.
La obtención de inteligencia patrocinada por el estado es una industria importante, que

emplea varios cientos de miles de personas en todo el mundo. Hay más de 100 países en el
mundo con servicios de inteligencia profesionales, y la mayoría de países tienen más de uno.
La comunidad de inteligencia de los Estados Unidos, por ejemplo, es una coalición de 17
agencias diferentes y organizaciones que trabajan de forma independiente y colaborativa para
reunir la inteligencia necesaria para llevar a cabo las actividades de relaciones exteriores y de
seguridad nacional.11
La amenaza al negocio es que los secretos comerciales son muy vulnerables al robo y copia,
a menudo con impacto sustancial en el negocio. Los beneficios para un país de replicar los
secretos tecnológicos industriales de otra nación han sido claros para los gobiernos con una
apreciación de la historia. Los ejemplos retroceden siglos atrás. En 1712, Francois Xavier
d'Entrecolles, un misionero jesuita francés, robó la técnica china de la fabricación de la
porcelana y la trajo a Europa, conduciendo al desarrollo de la porcelana de Meissen y una
consecuente reducción de las exportaciones de porcelana china.
Unos 70 años después, a la altura de la revolución industrial, Samuel Slater, un inglés

también conocido como el "padre de la revolución industrial americana" o "Slater el traidor,"
dependiendo de la nacionalidad de cada uno, memorizó todo lo que pudo acerca de la
tecnología de hilado de algodón de Gran Bretaña y se dirigió inmediatamente a Nueva York,
replicando los diseños británicos y eliminando sin ayuda de nadie la ventaja competitiva de
Gran Bretaña.
Sin importar si el objetivo es la fabricación de porcelana, hilado de algodón, armas de guerra,

diseño de chips o ingredientes secretos, la propiedad intelectual siempre será un blanco del
espionaje. La reparación legal a veces puede ayudar, pero rara vez es suficiente para mitigar
el impacto completo en el negocio, sobre todo cuando un gobierno extranjero es el culpable.
El ciberespionaje es simplemente la siguiente extensión lógica del espionaje tradicional. Tiene
11
Vea www.intelligence.gov para obtener más detalles.

la ventaja de permitir que cantidades masivas de información sean robadas de manera remota,
barata, subrepticia y con poco riesgo personal para los autores. En los últimos años, las
agencias de seguridad nacional han advertido a sus industrias que muchos estados extranjeros
están ahora equipados y motivados para llevar a cabo ataques sofisticados de ciberespionaje
para robar secretos comerciales. Por ejemplo, la agencia de seguridad nacional británica MI5
advierte a las empresas del Reino Unido que:
Una amplia gama de actores hostiles usan el espacio ciber para dirigirse contra el
Reino Unido. Los estados extranjeros están generalmente equipados para llevar a
cabo el ciberespionaje y los ataques a las redes de ordenadores más perjudiciales.
Los actores hostiles pueden dirigirse al gobierno, los militares, las empresas y
los particulares. Utilizan redes de ordenadores para robar grandes cantidades
de datos sensibles sin ser detectados. Esto podría incluir proyectos de propiedad
intelectual, investigación y desarrollo, datos estratégicos sobre los planes de fusión
y adquisición de la empresa o cualquier otra información que el propietario quiera
proteger.12
La organización y la escala de algunos ataques han ido creciendo progresivamente hasta

lo que muchos observadores consideran proporciones alarmantes. Los ataques implican a
grandes cantidades de hackers explotando miles de plataformas informáticas. Un solo ataque
puede capturar una cantidad sorprendentemente grande de información, tanto como decenas o
cientos de gigabytes de datos.
No todos los países establecen las mismas prioridades y objetivos para sus servicios de
inteligencia. Las agencias occidentales, por ejemplo, ponen una prioridad alta en inteligencia
para apoyar las iniciativas políticas, de defensa y contraterrorismo. En cambio, muchos
Estados en el hemisferio oriental ponen una prioridad más alta en el robo de secretos
comerciales para apoyar a las industrias propiedad del Estado. Es probable que se dirijan y
exploten una amplia variedad de propiedad intelectual comercial además de los objetivos
más tradicionales de inteligencia política y militar. China y Rusia, en particular, han sido
reiteradamente acusadas de participar en el espionaje a gran escala en empresas comerciales.
Mandiant, una consultora especializada, afirma que su análisis de amenazas de APT lleva a
concluir que es probable que la principal fuente de ataques es la República Popular de China,
específicamente la Segunda Oficina del tercer departamento del departamento de personal
general del ejército de liberación popular, conocido comúnmente por su designación de
cubierta militar de unidad como unidad 61398. Mandiant cree que esta unidad ha robado
sistemáticamente cientos de terabytes de datos de por lo menos 141 organizaciones.
El hecho desafortunado para las empresas de negocios es que los beneficios del
12
Ver los ciberconsejos en el sitio oficial del MI5 en www.mi5.gov.uk.

ciberespionaje son simplemente demasiado grandes para que las agencias de seguridad
nacional se puedan resistir. De hecho, probablemente parecería bastante derrochador para
cualquier servicio de inteligencia omitir los medios modernos más eficaces para reunir de
manera encubierta información secreta sobre los objetivos geográficamente remotos. No hay
ningún indicio de que la amenaza de espionaje comercial disminuirá a corto, medio o largo
plazo. Como el famoso futurista Alvin Toffler dijo: “El siglo 21 estará dominado por las
guerras de la información y el aumento del espionaje económico y financiero.
Bandas criminales
La delincuencia organizada es un negocio muy diferente de espionaje patrocinado por el
Estado, pero hay similitudes en la gama de herramientas y técnicas empleadas y, en algunos
casos, los usos finales de la inteligencia reunida. Una investigación realizada por Verizon, por
ejemplo, ha indicado que el cibercrimen con motivaciones financieras representa el 75% de
las brechas publicadas (el espionaje financiado por el Estado ocupó el segundo lugar).
Sin embargo, no todos los criminales se enfocan en las víctimas de esa manera sostenida.
Muchos crímenes son de naturaleza oportunista debido a que muchas bandas criminales
prefieren buscar y aprovechar los objetivos más suaves que pueda encontrar. Este tipo de
delitos pueden ser comparados con un globo: Presiónalo en un solo lugar y al instante se
infla en algún otro lugar. En efecto, puede ser cambiado, pero no puede ser erradicado. Pero
un objetivo con probabilidades de ser una víctima de extorsión como una empresa de apuestas
en línea, o cualquier fuente rica de secretos comerciales o datos de identidad personal, tiene
una gran probabilidad de convertirse eventualmente en el objetivo de un ataque sostenido de
una banda del crimen organizado.
Es importante tener en cuenta también que las bandas criminales que organizan ataques
de APT no necesariamente roban la información para su propio consumo. La venta de
credenciales de identidad robadas y de inteligencia militar son y seguirán siendo líneas de
negocio exitosas para los grupos del crimen organizado, pero estos grupos también tienen
estrechos contactos con los servicios de inteligencia y los agentes de información,
y a menudo venden los secretos robados al mejor postor.
La existencia de estos vínculos entre los servicios de inteligencia y el crimen organizado

se destacó en un informe en 201213 preparado por Northrop Grumman Corporation para
la Comisión de Revisión en Economía y Seguridad EE.UU.-China, que señala que: “Los
cibercriminales organizados y profesionales de inteligencia patrocinados por el Estado que
llevan a cabo la explotación de una red informática, a menudo operan en el mismo entorno
y a veces en contra de categorías de objetivos similares.”
Es probable que esta tendencia de colaboración entre criminales y espías continúe y sea aún
13
rekel, Bryan, Patton Adams; George Bakos; “Occupying the Information High Ground: Chinese Capabilities for Computer Network
K
Operations and Cyber Espionage,” prepared for the US-China Economic and Security Review Commission by Northrop Grumman
Corporation, EE. UU., 2012, origin.www.uscc.gov/sites/default/files/Research/USCC_Report_Chinese_Capabilities_for_Computer_
Network_Operations_and_Cyber_%20Espionage.pdf

más fuerte mientras los criminales organizados desarrollan habilidades cibernéticas

y las agencias gubernamentales intentan extender sus capacidades aprovechando los recursos
externos disponibles.
Terroristas
El objetivo del terrorismo es producir terror generalizado a través de la muerte, la destrucción
y la perturbación. Los dos últimos objetivos se logra muy eficientemente a través de la
destrucción o manipulación de los sistemas de procesos industriales que controlan servicios
esenciales para los ciudadanos, como energía y telecomunicaciones.
Según el juicio de muchas autoridades, la amenaza de un ataque terrorista importante

empleando técnicas de APT es una posibilidad real, pero afortunadamente un incidente tan
grave todavía tiene que ser experimentada. Sin embargo, la posibilidad de que tal ataque
se materialice sigue creciendo mientras aumentan los conocimientos y las herramientas
necesarias para organizar un ataque efectivo.
Tal amenaza representa uno de los riesgos más graves para el negocio y la sociedad porque
muchos sistemas de datos de control de supervisión y adquisición de datos (SCADA) que
controlan los procesos industriales son potencialmente vulnerables a ciberataques bien
planeados y deliberados, que podrían ocasionar la interrupción generalizada de servicios al
consumidor, así como daños a la infraestructura crítica y posible pérdida de vidas.
La posible consecuencia de un ciberataque coordinado, aunque exagerado, fue ilustrada en la

película de acción americana de 2007 "Live Free o Die Hard" (o “La Jungla 4.0”). Aunque
es un relato ficticio, la película indica el posible impacto que pueden producir en la sociedad
las interrupciones generalizadas en el suministro de energía y la manipulación maliciosa de
sistemas críticos de control como las señales de tráfico automatizadas.
Evaluar el riesgo potencial de cualquier ataque terrorista es difícil porque la mayoría son
impredecibles por naturaleza, constantemente cambiantes y a menudo dirigidos contra las
comunidades generales con víctimas seleccionadas al azar. Lo único que podemos decir
con certeza es que el riesgo está aumentando continuamente, aunque la percepción general
se mantendrá en gran medida complaciente siempre que haya una ausencia de incidentes
importantes visibles.
Activistas
Cuando se trata de aprovechar la tecnología, los grupos activistas han estado a menudo un
paso adelante en el juego, y esta tendencia va en aumento incluso a pesar de que la naturaleza
de los ataques de los activistas o “hackers activistas” ha cambiado de manera significativa.
Por ejemplo, El Informe de Investigación de Filtraciones de Datos del 2013 de Verizon14
informó que la proporción de los incidentes que involucran a los llamados hackers activistas
se mantenía estable, aunque también señaló que el motivo por el que muchos activistas
habían cambiado notablemente del robo de datos a la interrupción, mediante enfoques como
los ataques distribuidos de denegación de servicio (DDoS) contra los objetivos de su interés.
El término "hacktivismo" describe el uso las vulnerabilidades de los ataques a la red de
14
Verizon, “2013 Data Breach Investigations Report,” EE. UU. 2013, www.verizonenterprise.com/DBIR/2013

ordenadores para promover objetivos políticos o éticos. Está diseñado para servir como una
forma moderna de protesta, publicidad o desobediencia civil. Estos grupos han alterado sitios
web de empresas específicas, realizaron ataques de denegación de servicio o publicaron
información confidencial robada a sus víctimas.
Las actividades de los grupos de hackers activistas como Anonymous han sido bien
documentadas en la prensa. Un punto clave a considerar es que estos grupos responden
rápidamente a los acontecimientos, cambiando al instante los objetivos de una empresa a
otra o tornando de manera inmediata su atención hacia cualquier país que pudiera ofender
sus valores. Las empresas pueden ser el objetivo de un ataque debido a su comportamiento,
imagen, industria, ubicación o asociaciones.
Los ataques de denegación de servicio por grupos de hackers activistas pueden tener
graves consecuencias para las víctimas. Un ataque de nueve días por el grupo de hackers
Anonymous a PayPal en 2012 resultó en una pérdida informada de más de 5.3 millones de
dólares. Eventualmente muchos de los individuos implicados serán atrapados y condenados,
aunque es poco probable desalentar a las futuras generaciones que pretenden transmitir un
ideal político o ético.
Fuerzas armadas
La guerra electrónica, las operaciones de información y la recogida de información de
inteligencia han sido durante mucho tiempo parte integral de las capacidades de las
fuerzas armadas en todo el mundo. Sin embargo, en la última década, las fuerzas militares
han comenzado a desarrollar habilidades más sofisticadas de ciberguerra, esencialmente
ampliando el escenario militar de operaciones al ciberespacio.
Escrito en el The Wall Street Journal en junio de 2013, Anders Fogh Rasmussen, Secretario
General de la OTAN, abogó por un rol de mayor ciberdefensa para la OTAN, basándose
en el trabajo del Centro de excelencia de ciberdefensa cooperativa (CCD COE) en Tallinn,
Estonia, que se creó a raíz del acoso cibernético de cuatro días a Estonia en 2007.15 Él añadió:
"La OTAN protegió a sus miembros durante los años del Muro de Berlín. Debemos estar
preparados para protegerlos durante la era del cortafuegos”.
Alrededor de la misma época, Reuters informó que Estados Unidos ha establecido un cuartel
general de 358 millones de dólares en Fort Meade, Maryland, para el mando cibernético de
las fuerzas armadas y tiene el objetivo de equiparlo con más de 3,000 soldados cibernéticos
para finales de 2015.16 Se prevé que la mayoría de estas tropas deben concentrarse en la
defensa, detectar y detener las intrusiones informáticas a las redes militares y otras redes
importantes de los EE. UU., pero también habrá un creciente interés en las capacidades
ofensivas mientras que los mandos militares refuerzan el plan para ejecutar golpes
15
asmussen, Anders Fogh; “NATO’s Next War—in Cyberspace,” The Wall Street Journal, 2 de junio de 2013, consultado el
R
22 de agosto de 2013, online.wsj.com/article/SB10001424127887323855804578508894129031084.html
16
Rasmussen, Anders Fogh; “NATO’s SIGUIENTE War—in Cyberspace,” The Wall CALLE JOURNAL, 2 de junio de 2013, consultado
22 de agosto de 2013, online.wsj.com/article/SB10001424127887323855804578508894129031084.html

cibernéticos o cambiar al modo de ataque si la nación sufre un ataque electrónico. La doctrina

de la ciberseguridad está evolucionando hacia una inclinación a pasar a la ofensiva con el
fin de prevenir más eficazmente los ataques. Varias autoridades de seguridad nacional han
afirmado que la mejor forma de ciberdefensa es el ataque.
Al hablar en una cumbre de Reuters sobre ciberseguridad en mayo de 2013, el general del
ejército de los EE.UU. Keith Alexander, jefe del mando cibernético, fue citado diciendo:
"Vamos a capacitarlos al más alto nivel posible y no solamente en defensa, sino en ambas
partes. Es necesario tener eso.”17
La República Popular de China es conocida por adoptar con entusiasmo las habilidades de la
ciberguerra. Hace dos décadas el ejército de liberación popular (PLA) identificó la necesidad
de modernizar su doctrina y estructura y se embarcó en una "revolución en asuntos militares".
Desarrollar una fuerte capacidad de alta tecnología es un componente integral de su nueva
doctrina militar. La revista The Economist informa que China tiene planes de “ganar las
guerras de la información en la mitad del siglo XXI”.18 El informe de Northrop Grumman19
preparado para la Comisión de Revisión en Economía y Seguridad EE.UU.-China señala que:
“Se ha informado que el ejército de Liberación Popular de China ha adoptado la idea de que
la manera correcta de luchar en la guerra se basa en la capacidad de ejercer el control sobre la
información y los sistemas de información de un adversario, a menudo de manera preventiva”.
Se afirma ampliamente que China es una fuente importante de ciberataques, pero el gobierno
chino no es el único que acoge la ciberguerra. Además de los Estados Unidos, que se señala
está invirtiendo en el desarrollo de sus habilidades cibernéticas militares, hay indicios de que
Rusia, Israel, Corea del Norte e Irán también construyen capacidades importantes
Los ciberataques pueden utilizarse para alterar o dañar los sistemas de información y su
infraestructura de apoyo. Este tipo de ataques pueden variar desde sencillos ataques de
denegación de servicio hasta sofisticados intentos de manipular los sistemas de control de
procesos industriales. Este es un territorio nuevo para todos los jugadores. El CCD COE de la
OTAN en Tallinn, Estonia, ha publicado un manual sobre el tema, pero hay muy poco sobre
la forma de establecer leyes o acuerdos para guiar las reglas de contratación responsable. A
diferencia de las anteriores extensiones del campo de batalla militar hacia el aire y el espacio,
los principios existentes de disuasión y respuesta proporcional son difíciles de aplicar en
el ciberespacio. Los ataques son mucho más fáciles de ocultar, burlar o negar cuando son
lanzados a través de las redes digitales.
Los ataques militares de APT pueden formar parte de una operación de reconocimiento
17
trobel, Warren; Deborah Charles; “With troops and techies, U.S. prepares for cyber warfare,” Reuters, 7 junio de 2013, consultado el 22 de
S
agosto de 2013, in.reuters.com/article/2013/06/07/usa-cyberwar-idINL1N0EF0NF20130607
18
“Cyberwar: War in the Fifth Domain,” The Economist, 1 de julio de 2010, consultado el 22 de agosto de 2013,
www.economist.com/node/16478792
19
Krekel, Bryan, Patton Adams; George Bakos; “Occupying the Information High Ground: Chinese Capabilities for Computer Network
Operations and Cyber Espionage,” prepared for the US-China Economic and Security Review Commission by Northrop Grumman
Corporation, EE. UU., 2012, origin.www.uscc.gov/sites/default/files/Research/USCC_Report_Chinese_Capabilities_for_Computer_
Network_Operations_and_Cyber_%20Espionage.pdf

para reunir inteligencia o una misión para instalar una puerta trasera o caballo de Troya
para ayudar a futuros ataques. A primera vista, estos ataques parecen perturbadores, aunque
no inmediatamente amenazantes, pero es necesario recordar que el objetivo último de la
ciberguerra es causarle daño a un enemigo. Cualquier intrusión de una red civil por las
fuerzas armadas debe ser reportada a una agencia de seguridad nacional adecuada, sobre todo
porque las consecuencias podrían ser aún más graves para las partes interesadas fuera de la
organización.
La doctrina actual sobre la ciberguerra en gran medida pretende obtener la infraestructura de

información del enemigo, aunque algunos expertos predicen que esto evolucionará cada vez
más en maneras de contención más sutiles. Gran parte del poder real de las redes digitales
se encuentra en su poder para influir, engañar o manipular el comportamiento, aunque las
habilidades cibernéticas todavía tienen que madurar a un nivel lo suficientemente sofisticado
para lograr ese objetivo. A largo plazo, es probable que la ciberguerra pueda convertirse en el
arte de la ilusión en vez de la ciencia del sabotaje.
1.7 ¿Quién está en riesgo?

Aproximadamente tres cuartas partes de todos los ataques están dirigidos a empresas
comerciales en una amplia gama de sectores industriales. La figura 3 muestra las industrias
más consideradas como objetivos en 2012, de acuerdo con los estudios y las investigaciones
realizadas por Mandiant, una compañía de EE. UU. que se especializa en investigaciones
sobre APT.20
Los APT se dirigen a compañías de todos los tamaños en todos los sectores de la industria,
03
Objetivos de los
Figura
ataques de APT
durante 2012
■
A Aeroespacial y defensa
■
E Energía, petróleo y gas
O A
■
F Finanzas
■
C Hardware y software
informático
E ■
L Servicios legales y de consultoría
P
■
M Medios y entretenimiento
T ■
T Telecomunicaciones
F ■ Farmacéutica
P
M
L C ■
O Otro
20
Mandiant, “M-Trends® 2013: Attack the Security Gap™,” EE. UU., 2013, www.mandiant.com/resources/m-trends

así como en todas las regiones geográficas que contienen activos de alto valor. El personal de
todos los niveles de antigüedad, desde los auxiliares administrativos hasta los altos ejecutivos,
pueden ser seleccionados como objetivos para un ataque de spear phishing. Es posible que
las pequeñas compañías y los contratistas se vean impactados porque son proveedores de
servicios para la víctima elegida. Las personas pueden ser seleccionadas si se considera que
son un posible puente para obtener acceso al objetivo final.
Ninguna industria con secretos valiosos u otras formas de ventaja comercial que pueda
copiarse o socavarse mediante espionaje está a salvo de un ataque de APT. Ninguna empresa
que controle transferencias de dinero, que procese datos de tarjetas de crédito o almacene
información de identificación personal de personas puede resguardarse de los ataques
criminales. Y ninguna industria que suministre o soporte una infraestructura nacional crítica
es inmune a una intrusión de ciber soldados.
Los ataques de APT a menudo abarcan organizaciones de terceros que proveen servicios a las
empresas objetivo. Los proveedores pueden ser percibidos por un atacante como el talón de
Aquiles de las grandes empresas y departamentos gubernamentales, porque generalmente están
menos protegidos. No importa qué tan eficaz pueda ser la seguridad del perímetro externo de
la empresa, puede ser inútil a menos que se extienda a través de su cadena de suministro.
En mayo de 2013, Australian Broadcasting Corporation informó que los planos para el
edificio de una organización de inteligencia de seguridad australiana de 630 millones de
dólares australianos habían sido robados a través de un ciberataque a un contratista de obras.21
La información robada incluía datos de cableado de comunicaciones, ubicaciones del servidor
y sistemas de seguridad. Se informó que el ataque fue rastreado hasta un servidor chino.
Salvaguardar la cadena de suministro no significa una proeza porque la visibilidad del

riesgo, los procedimientos y los eventos en las instalaciones de terceros estarán gravemente
limitados en el mejor de los casos. Los contratos comerciales por sí solos no son suficientes
para garantizar la seguridad. Las inspecciones frecuentes, las evaluaciones del riesgo y la
monitorización de vulnerabilidades son necesarios para asegurar que las conexiones de
confianza permanecen privadas y seguras.
La exposición a ataques de spear phishing se puede extender incluso hasta el personal más
junior de las empresas. Por ejemplo, las estadísticas obtenidas por Symantec indican que más
de la mitad de todos los objetivos de las APT son asistentes personales o personal junior en
funciones de ventas, relaciones públicas o reclutamiento.22 Estas personas son seleccionadas
porque son fáciles de contactar y a menudo tienen acceso a los altos ejecutivos y a áreas
específicas dentro de la organización.
21
“ Hacked!” Four Corners, Australian Broadcasting Corporation, 27 de mayo de 2013,
http://www.abc.net.au/4corners/stories/2013/05/27/3766576.htm
22
Symantec, 2013 Internet Security Threat Report, volumen 18, consultado el 22 de agosto de 2013,
www.symantec.com/security_response/publications/threatreport.jsp

1.8 ¿Qué daño pueden hacer?

La mayoría de los ataques experimentados hasta el momento han sido diseñados para robar
o manipular activos intelectuales en lugar de causar daño físico directo. Sin embargo, el daño
físico es una amenaza factible y debe considerarse durante la evaluación de riesgos.
Los peores escenarios posibles pueden ser catastróficos. Mediante la manipulación de

sistemas de control de supervisión en una planta industrial, un ataque de APT podría dañar
o destruir equipo, dando como resultado interrupciones importantes y la posible pérdida
de vidas y daños al medio ambiente. El gusano Stuxnet logró penetrar instalaciones de
procesamiento nuclear en Irán, causando daños graves a largo plazo a las centrifugadoras.
Las intrusiones a largo plazo por las agencias de inteligencia bien podrían dar como
resultado un patrón del creciente daño al negocio. Consideremos, por ejemplo, cómo podría
evolucionar la siguiente secuencia de acontecimientos durante varios años:
• La primera fase de un ataque de APT comienza con una ola de recopilación de información
de inteligencia, sin daños inmediatos al negocio. Esa actividad podría incluso provocar que
cínicamente los gerentes de negocios respondan "¿y qué?”.
• Las fases posteriores de la actividad de APT generan una mayor preocupación hacia los
robos enfocados de información secreta que amenace las negociaciones a corto plazo y que
abra la posibilidad de que un competidor extranjero explote la propiedad intelectual robada.
• La fase final de un ataque de APT es potencialmente la más seria porque la empresa
objetivo se encuentra en competencia con un rival que tiene acceso a sus sistemas de
información y que puede leer correos electrónicos, datos de los clientes y propuestas
comerciales, e incluso dañar las operaciones del negocio si lo desea.
Nunca es fácil determinar el impacto total de un ciberataque importante. Cualquier predicción

sobre el posible coste de un evento en el futuro, o incluso en el pasado, necesariamente
implicará varios supuestos sin probar y una buena cantidad de predicciones educadas, porque
muchos impactos, como la pérdida de las ventas en el futuro, son imposibles de medir con
precisión.
Sin embargo, hay precedentes, investigaciones y técnicas que pueden usarse para ayudar
a calcular los costes a largo plazo de una brecha importante. El instituto Ponemon, un
organismo independiente de investigación, publica una serie de estadísticas para ayudar
a cuantificar el impacto económico de los ciberataques.23 El instituto calcula que el coste
promedio anual del cibercrimen a través de 56 organizaciones en el 2012 fue de 8.9 millones
de dólares, con un rango de 1.4 millones a 46 millones.
1.9 Características de un ataque de APT

Las amenazas de seguridad rara vez se dividen en categorías ordenadas. Los servicios de
inteligencia en todo el mundo tienen muchas similitudes en sus “aspectos de competencia”,
pero también tienen metas y objetivos muy distintos. En cambio, los criminales generalmente
persiguen el objetivo común de robar los activos de otras personas, aunque podrían exhibir
23
Ponemon Institute publica informes anuales sobre el coste del cibercrimen; ver www.ponemon.org.

marcadas diferencias en su modus operandi. Una confusión adicional es que los activistas
y grupos terroristas pueden tener objetivos y motivos muy diferentes mientras comparten
semejanzas en la naturaleza de sus ataques.
Una consecuencia de esto es que la posible fuente y motivo de un ataque pueden ser difíciles
de juzgar por las características del incidente mismo. Otro punto es que es posible que las
evaluaciones de riesgo de APT varíen significativamente en cuanto a probabilidad e impacto
de una compañía a otra, aunque las medidas de seguridad requeridas para prevenir, detectar y
responder a éstos pueden ser bastante similares.
La realización de una evaluación del riesgo de APT está cubierta extensamente en el capítulo
2 de este libro. Determinar cómo mitigar el riesgo asociado con APT comienza con un buen
entendimiento de sus características, las mismas que se discuten en los siguientes párrafos.
Buena investigación
Es una suposición segura que la mayoría de las agencias que lanzan una APT investigaron
a profundidad el mercado y determinaron precisamente qué compañías, departamentos
gubernamentales, proveedores o institutos son de mayor interés. Los ataques de APT
profesionales rara vez son oportunistas o aleatorios. Están diseñados para robar activos
intelectuales identificados o para penetrar para una futura explotación, con el fin de robar
datos, extorsionar, lograr una ventaja comercial o, incluso, para la ciberguerra. El objetivo
de una APT puede esperar que el autor habrá estudiado cuidadosamente a la organización.
¿Quién tiene probabilidad de ser un objetivo? Puede ser cualquier usuario con acceso a datos,
sistemas o infraestructuras de interés. Eso podría incluir a ejecutivos, personal administrativo
o directivos seleccionados del negocio en funciones clave de apoyo, como recursos humanos,
TI o legal.
¿Qué más se necesita para organizar un ataque? Un atacante primero buscará obtener un
buen entendimiento de la organización y la infraestructura de la empresa. Esto se puede
extender a las estructuras de los equipos e incluso a los procedimientos para gestionar un
incidente de seguridad (para ayudar a evadir o detectar el descubrimiento). El siguiente paso
será seleccionar los objetivos individuales. La parte final de la investigación será determinar
los intereses actuales del negocio o la persona para cada una de las personas objetivo para
ayudarse a desarrollar un correo electrónico atractivo que pueda animar al destinatario a abrir
un archivo adjunto o conectarse a una página web vinculada.
Sofisticado
Las generaciones progresivas de los ataques de APT han sorprendido e impresionado
a los analistas de malware con su sofisticación. Muchas intrusiones de APT explotan
vulnerabilidades de día cero (aquellas que se desconocen y se explotan antes del primer día
de un lanzamiento público). Incluso algunas intrusiones han aprovechado varias de estas
vulnerabilidades en un solo ataque. Claramente este tipo de ataques no se pueden detener con
mecanismos de detección anti-malware tradicionales que se basan en el reconocimiento de
firmas de ataques conocidos previamente.

También es probable que los ataques de APT exploten una variedad de credenciales falsas,
como contraseñas robadas, códigos de autenticación clonados, direcciones de correo
electrónico falsas o certificados digitales falsificados. Además, emplearán un amplio marco
de módulos de propósito especializado diseñados para ejecutar tareas automatizadas sobre
demanda desde un servidor central de control y mando. Los módulos para realizar tareas
específicas se pueden descargar, ejecutar en la memoria y descartarse inmediatamente.
El malware utilizado en los ataques de Octubre Rojo que se describieron anteriormente

en este capítulo contenía más de 30 categorías de diferentes módulos, cada uno diseñado
para realizar una tarea específica. También incluye un software especial para permitir que
los equipos infectados resuciten automáticamente al recibir un archivo adjunto de correo
electrónico en caso de que el cuerpo principal del malware haya sido descubierto y eliminado,
o el sistema parcheado.
Muchos ataques de APT también fueron diseñados para dirigirse a múltiples plataformas,
incluyendo routers, conmutadores, teléfonos móviles y dispositivos de almacenamiento
externo y adaptar sus acciones a entornos de software diferentes. Los ataques concebidos
hace casi una década se diseñaron para explotar las instalaciones de grabación de audio y
video para monitorizar el entorno físico de los ordenadores comprometidos. El ataque Flame
se programó para extraer información de contacto de los dispositivos con Bluetooth cercanos.
En la práctica, la sofisticación de los ataques de APT puede variar significativamente de

acuerdo con el objetivo del atacante, las habilidades y las herramientas disponibles, y la
vulnerabilidad percibida en el entorno del objetivo. Los atacantes profesionales tienen
una variedad de recursos ofensivos disponibles y pueden elegir no aplicar sus mejores
capacidades cuando van tras un objetivo menor o uno que consideran que está mal defendido.
Por este motivo, algunos ataques de APT pueden parecer asombrosamente simples de
rechazar, pero se debe recordar que el atacante puede tener una capacidad más sofisticada
en reserva.
Furtivo
Un principio fundamental del fraude, el espionaje y otros intentos para robar secretos
o penetrar en los sistemas es que, idealmente, la víctima no debe ser consciente de la brecha.
“Operar de manera silenciosa y profunda” es el lema clásico de los espías exitosos y los
estafadores. Otro término popular es “operar bajo y lento”, refiriéndose a cómo sucede la
exfiltración de información de manera lenta y gradual para evitar la detección.
Los ataques de APT ciertamente son furtivos. Comienzan con correos electrónicos que
genuinamente parecen phishing. Pasan con facilidad a través de los sistemas de detección
de malware basados en firmas. Se almacenan a sí mismos en lugares fuera de alcance. Se
esconden entre el tráfico de la red, manteniéndose invisibles al radar hasta que están listos,
y después se activan para lograr sus objetivos. Se pueden disfrazar usando técnicas de
ofuscación y adaptar su apariencia para evadir los intentos de evitar o detectar su presencia.

Otras formas de ciberataque no son así. Por ejemplo, los ataques de denegación de servicio
causan una interrupción del negocio obvia e inmediata, desencadenando respuestas
operacionales y técnicas reconocidas, mismas que se pueden desplegar rápidamente para
limitar el daño. Pero los APT son diferentes. Los ataques de APT suceden sin previo aviso
y son invisibles, cubriendo sus rastros extremadamente bien.
Los ataques de APT explotan el conocimiento secreto de vulnerabilidades de día cero para
obtener acceso y evitar la detección. Pueden esconder sus cargas profundamente en la
infraestructura de TI en los sectores de arranque, memoria volátil v u otros lugares ocultos
donde las búsquedas rutinarias no las encontrarán.
La naturaleza furtiva de las intrusiones de APT se ha demostrado en numerosas ocasiones

durante la última década. Los ataques contra las compañías de Fortune 500 con funciones
de seguridad con los recursos necesarios han pasado desapercibidos durante meses y a
veces años, dejando persistentes dudas sobre la amplitud del daño al negocio y generando
incertidumbre permanente acerca de si todas las puertas traseras se han eliminado totalmente.
La investigación realizada por Mandiant, una compañía ubicada en Washington D.C.

especializada en análisis de APT, muestra que en 2012 la duración promedio de tiempo
que los atacantes estaban presentes en una red de la víctima antes de la detección era una
alarmante cifra de 243 días.24 Sin embargo, incluso esta medida era considerada una gran
mejora en comparación con años anteriores.
Los ataques encubiertos presentan una serie de retos importantes para los gerentes de
seguridad.
En particular, realizan las siguientes complicadas preguntas:
• ¿Cómo se puede saber si un ataque ha tenido lugar?
• ¿Cómo se evalúa el daño de una intrusión que lleva mucho tiempo ocurriendo?
• ¿Qué evidencia se puede reunir si los rastros de la auditoría han cambiado?
• ¿Cómo se sabe cuándo se ha erradicado una infección completamente?
Estas preguntas son difíciles de responder e indican la necesidad de un enfoque holístico para
abordar las amenazas de APT. Se requiere de todo un espectro de controles de seguridad para
evitar, detectar y responder efectivamente a los ataques de APT. También se necesitan más
medidas para erradicar la infección y proporcionar seguridad a las partes interesadas sobre
la efectividad de la acción de remedio que se tomó. Las empresas maduras ya contarán con
muchos de los controles necesarios, pero es probable que se requieran algunos procesos y
controles nuevos, y que muchos de los existentes se deban extender o fortalecer para mitigar
el riesgo efectivamente.
Persistente
Cuando los ladrones, hackers o estafadores son detectados, generalmente se rinden, huyen
y mantienen un bajo perfil, pero este no es el caso de un APT. La mayoría de los autores de
24
Mandiant, “M-Trends® 2013: Attack the Security Gap™,” EE. UU., 2013, www.mandiant.com/resources/m-trends

ataques de APT operan sin miedo a las retribuciones, y algunos incluso se pueden considerar
inmunes o por encima de la ley. Se ha dicho que ser víctima de una APT se parece más a
ser acechado por un acosador que ser asaltado por un ladrón: Puede no ser tan doloroso
inmediatamente, pero el efecto es de largo plazo y potencialmente puede cambiar la vida.
Si una organización es de interés para un grupo de crimen organizado o para un servicio

extranjero de inteligencia, es poco probable que el atacante pierda el interés en el objetivo
solo porque la organización logró repeler un ataque en particular. El ataque puede volver con
una venganza.
Se ha dicho que no todos los ataques de criminales organizados son persistentes. Muchas
bandas prefieren ir tras de objetivos débiles. Pero uno de los principales bancos comerciales25
o incluso uno de sus clientes comprometidos podría bien considerarse como un objetivo a
largo plazo prometedor para el robo de dinero y datos de identidad. Estar familiarizado con
los procesos, infraestructura y sistemas internos de la víctima también es de mucha ayuda
para los ciberataques futuros.
Muchas APT son proyectos a largo plazo. Una buena porción de la actividad se enfocará en
hacer un reconocimiento o en medidas para ayudar en futuras intrusiones, como la inserción
de caballos de Troya y procesos de monitorización. De esa manera, si se cierra una vía de
ataque, otra se puede abrir, tal vez por una puerta trasera insertada durante un ataque anterior,
o intentando un nuevo vector de ataque. Una vigilancia constante es el precio que debe pagar
para estar tranquila una empresa que pueda volverse el objetivo del APT.
Excepciones
Siempre hay excepciones. No todos los ataques de una fuente de APT o que explotan las
técnicas de APT presentan todas las características anteriores. Hay varias razones para esto
y vale la pena mencionarlas porque pueden ayudar a arrojar luz sobre algunas de las
anomalías que serán encontradas en cualquier análisis de incidentes de APT.
Es común encontrar técnicas de vanguardia utilizadas por agencias profesionales en ataques

organizados por aficionados entusiastas que son propensos a causar daño grave. Esto es
porque el código y las vulnerabilidades utilizadas en ataques de APT profesionales son
analizados y publicados tan pronto como son descubiertos. Esta publicidad puede generar una
oleada de ataques similares que pueden o no ser una APT, dependiendo de la definición que
se elija.
No es desconocido para los diferentes tipos de agente el colaborar o, al menos, intercambiar

sus conocimientos, habilidades o datos. Por ejemplo, un grupo del crimen organizado puede
ser enemigo de muchas agencias de inteligencia, pero también puede ser amigo de algunas.
Incluso pueden operar como subcontratista o vendedor de activos útiles, haciendo aún más
confusos los intentos por comprender con precisión quién está detrás de un ataque.
25
n término que se origina en el Reino Unido para referirse a grandes bancos comerciales que tienen muchas sucursales. El término “high
U
street” está destinado a indicar que estos bancos son las instituciones principales más extendidas, como las que se encontrarían en el sector
comercial principal de un pueblo o ciudad. High street es más o menos un sinónimo del término americano “Main Street.”

Hay un número limitado de hackers sofisticados de primer nivel. En un campo de rápido

crecimiento, la demanda sobrepasará la oferta. Incluso las principales agencias de inteligencia
podrían encontrar necesario emplear personal con menos experiencia, incluso becarios,
para ampliar sus capacidades. Esto puede provocar variaciones marcadas en el nivel de
sofisticación de los ataques llevados a cabo por la misma fuente.
Velocidad y sigilo son a menudo mutuamente excluyentes. Las agencias sofisticadas

mantienen unas cuantas armas secretas en reserva, pero las balas cibernéticas podrían tener
una vida útil limitada. Siempre hay un riesgo de que una plataforma de destino con una
vulnerabilidad identificada, sobre todo una secreta, podría ser parcheada, actualizada o
retirada antes de que puede ser completamente explotada. Ocasionalmente, se abandonarán
las precauciones por el interés de capitalizar las inversiones, lo que ocasionará una oleada de
ataques apresurados que tomarán a las víctimas por sorpresa.
1.10 Etapas de un ataque de APT

La mayoría de los ataques de APT siguen un patrón de ciclo de vida diferente, aunque no
hay dos ataques idénticos. El enfoque varía según los objetivos del atacante, los resultados
de los hallazgos de ataque inicial y el plazo deseado para la explotación de la información
recopilada.
Los ataques realizados por agencias de inteligencia están planeados y gestionados

profesionalmente. Por lo general, se basarán en un ciclo de obtención de inteligencia
estructurado, que comienza por definir los requisitos del cliente; luego avanza a través de la
selección de objetivos, planificación del ataque, recopilación y análisis de material; y termina
con la difusión y explotación de la propiedad intelectual o el conocimiento reunido.
No existe una línea divisoria clara entre ciberespionaje y ciberguerra porque

el primero es necesario para permitir la segunda, aunque puede haber marcadas diferencias
en la doctrina, la velocidad y el impacto entre un ataque diseñado para robar secretos
comerciales y uno en apoyo de operaciones militares. Pero cuando se inicia un conflicto, el
atacante adoptará una «cadena mortal» de movimiento rápido basada en el análisis, la toma
de decisiones y la explotación en tiempo real.
El ciclo de ataque más comúnmente encontrado consiste en seis etapas de la actividad, como
se ilustran en la figura 4 y se describen con más detalle en los siguientes párrafos.

04
Figura
Etapas en el ciclo
APTde
Riskataque de APT
Management
Selección de
objetivos
Explotación de Investigación
la información del objetivo
Diseminación Penetración
de inteligencia del objetivo
Exfiltración Comando
de datos y control
Descubrimiento
del objetivo
Selección de objetivos
Las actividades ofensivas necesitan ser priorizadas y programadas para aumentar al
máximo el valor de la inteligencia reunida así como el uso de los recursos disponibles. Los
objetivos se seleccionan sobre la base de los requerimientos del cliente y las prioridades
estratégicas, o tal vez las necesidades a corto plazo para apoyar otros ataques en progreso.
Los planes podrían ser ajustados cuando se presentan nuevas oportunidades, por ejemplo, el
descubrimiento de una nueva vulnerabilidad, la violación de un mecanismo de seguridad,
o quizás como resultado de la nueva inteligencia obtenida de un objetivo anterior.
Investigación del objetivo

Cada objetivo es investigado para identificar posibles fuentes de información y puntos
de ataque adecuados. El atacante necesita comprender la naturaleza y estructura de la
organización e identificar empleados o contratistas con acceso a la información de valor para
los clientes del atacante.
Las fuentes de información, como los informes de la compañía y los sitios web, son
estudiadas cuidadosamente. El atacante recopila material útil, tal como direcciones IP,
direcciones de correo electrónico y datos personales de los empleados, para apoyar el ataque.
Las redes sociales, como LinkedIn y Facebook, son una excelente fuente de información
sobre las personas objetivo para ayudar a preparar ataques personalizados.

Los gerentes bien posicionados o el personal de apoyo se seleccionan como objetivos

iniciales para ayudar a ganar un punto de apoyo en la infraestructura. Sus intereses, tanto
comerciales como personales y las relaciones se investigan para proporcionar suficientes
conocimientos de fondo para elaborar una invitación de correo electrónico convincente que
aliente a la víctima a visitar un determinado sitio web o abrir un archivo adjunto.
Entrar en el objetivo
El atacante tiene como objetivo realizar una intrusión inicial en la infraestructura de la
empresa a través de un ataque de ingeniería social simple, referido a menudo como spear
phishing. Normalmente, se envía a la persona objetivo un correo electrónico, que aparenta
venir de un colega de confianza y con un tema de interés directo para la víctima.26 El
atacante invita a abrir un archivo adjunto o hacer clic en la URL de un sitio web, instalando
inconscientemente la carga para la primera etapa del ataque.
Este compromiso inicial se basa en malware que aprovecha las vulnerabilidades conocidas
que pueden pasar a través de filtros antimalware, como explotaciones de día cero que todavía
no han sido publicadas. Entonces, la carga inicial pretende crear una o varias puertas traseras,
permitiendo a la infraestructura de red ser penetrada fácilmente por el atacante en cualquier
momento futuro.
Mando y control
El siguiente paso es establecer una capacidad de mando y control con informes periódicos de
progreso hacia atrás al sistema de control del atacante.
Por lo general, el primer objetivo es establecer comunicación con el sistema de control central
del atacante. En esta etapa, se pueden descargar módulos adicionales y la configuración
inicial ajustada o actualizada para apoyar más ataques.
El malware instalado generalmente está estructurado en numerosos módulos, cada uno de

los cuales está diseñado para llevar a cabo una actividad en particular. Algunos módulos
están diseñados para buscar bases de datos particulares o archivos de interés. Otros tienen
la tarea de monitorizar y reportar de vuelta el progreso. Algunos funcionan en un modo
fuera de línea; otros permanecen permanentemente en línea. El objetivo colectivo del
malware instalado pretende permitir al atacante búsquedas directas, extraer datos a voluntad,
monitorizar los eventos de interés y cubrir todo rastro de intrusión.
Descubrimiento del objetivo

Una vez dentro de la infraestructura objetivo, el atacante explora (utilizando métodos
manuales o automatizados) todas las plataformas en red dentro del alcance, mapeando la red,
comprometiendo a más equipos, dirigiéndose a sistemas seleccionados y tipos de archivo,
recolectando credenciales de usuario y con el objetivo de aumentar los niveles de privilegio
para ganar el control de administrador de los dominios y plataformas.
26
l ataque spear phishing / phishing de ingeniería social de Red October empleó un correo electrónico que promocionaba la venta de un
E
automóvil diplomático para atraer a las oficinas del servicio diplomático para desencadenar la infección.

Se instalan más puertas traseras para asegurarse de que el atacante puede regresar a la red en
caso de que el compromiso inicial sea detectado. Los ataques sofisticados también podrían
tratar de monitorizar los sistemas de informes de incidentes para garantizar la detección
temprana de cualquier detección.
Exfiltración de datos
Cuando se han establecido los privilegios adecuados, los datos objetivo son reunidos
y canalizados a un servidor interno donde son comprimidos y cifrados para ser transmitidos
más adelante a la ubicación externa elegida por el atacante.
Para cubrir sus huellas, los atacantes a menudo remiten datos a la ubicación del atacante
a través de sitios de proxy intermediarios. Los ataques que parecen originarse en un país
pueden, de hecho, ser puestos en marcha y controlarse desde un lugar totalmente diferente.
Diseminación de inteligencia
La diseminación de la inteligencia no es tan sencilla como uno podría imaginar. Los datos
tienen que mantenerse seguros porque cualquier fuga podría comprometer las fuentes y
métodos de ataque, o crear un grave incidente diplomático.
Los clientes que reciben los datos deben ser confiables y validados, y los sistemas de
almacenamiento de los datos deben asegurarse a un nivel alto. Esto no es fácil para una
empresa comercial, sobre todo una que no acostumbra operar bajo las normas de seguridad
del gobierno ni emplear una fuerza de trabajo mundial.
Explotación de la información
Algunos datos robados, como la licitación de las ofertas, pueden explotarse inmediatamente.
Los proveedores que ofertan a los mayores contratos tienen probabilidades de estar en
grave desventaja frente a un competidor con conocimientos internos de los precios y
especificaciones.
Otros secretos robados, como los secretos comerciales, resultados de investigaciones o nuevos
diseños de productos, pueden tardar tiempo, quizá años, en ser aprovechados. Tendrían que
crearse nuevas empresas, construirse fábricas y competir con productos diseñados. Es posible
que el impacto no se sienta durante la mayor parte de una década.
No todos los datos son explotados en detrimento de la víctima. Es posible que estén
disponibles habilidades locales para desarrollar productos o servicios de la misma calidad.
Productos rivales podrían ser dirigidos a un mercado completamente diferente o podrían
alejarse demasiado de los originales como para causar un impacto. De hecho, gran parte
de la ventaja competitiva en productos exitosos puede mentir sobre las habilidades de la
fabricación o comercialización.
El mayor peligro se presenta cuando un fabricante rival obtiene información privilegiada

sobre los planes de producto, diseños, precios y estrategia de comercialización y es capaz
de aprovechar esta información en tiempo real.

1.11 ¿A dónde puede conducir esto?

Los ataques APT han evolucionado rápidamente. En poco más de una década, el mundo ha
tenido una transición de un estado de ignorancia a uno llamado a la acción. La perspectiva
de malware causando una catástrofe física fue considerada como fantasía por la mayoría
de profesionales de la seguridad en el inicio del siglo. Hoy la amenaza es real y todas las
empresas principales están en la línea de fuego.
Los atacantes han progresado desde inicios pequeños hasta la producción a escala industrial
y la posesión de malware sofisticado. Por otra parte, el número de actores desarrollando
capacidades de APT ha crecido de un puñado de agencias de inteligencia con visión a futuro
hasta los gobiernos de la mayoría de los principales países.
Los objetivos se han extendido desde los ministerios de gobierno hasta las empresas con
secretos comerciales y las cadenas de suministros que dan soporte a los servicios nacionales
críticos. Las fuerzas armadas consideran ahora que el malware es una eficaz arma de guerra.
La doctrina de la ciberguerra y las reglas de combate están siendo elaboradas. Se debate la
necesidad de nuevas leyes y tratados internacionales.
¿Dónde o cuándo terminará? La respuesta es que nunca se detiene ni disminuye. Las

capacidades y los recursos asignados para la ciberguerra y la inteligencia reunida aumentarán
progresivamente durante muchas décadas por venir. Los ciudadanos y las empresas de negocios
todavía tienen un largo camino para asegurar de manera confiable sus sistemas e infraestructura
de los ataques de caballo de Troya, y nuevas vulnerabilidades surgen cada semana.
El malware de APT se está volviendo cada vez más sofisticado y las organizaciones que lo
aprovechan son cada vez tienen mejores recursos. Muchos de los ataques descubiertos en
los últimos años fueron los resultados del desarrollo concebido hace aproximadamente una
década, y no fueron detectados durante varios años. Con base en estos antecedentes, debemos
suponer que hay una nueva generación de ataques sofisticados y furtivos en la operación.
Durante la próxima década también podemos esperar ver ciberconflictos reales entre las
naciones o las comunidades, así como la aparición de terroristas con capacidades de APT.
Los objetivos también suelen extender más abajo en la cadena de suministro para abarcar
a contratistas y proveedores de software más pequeños. Además, los ataques se volverán
mejor planificados porque sus autores construyen sobre conocimientos adquiridos de ataques
anteriores y aprovechan la inteligencia obtenida del creciente uso de las redes sociales por los
clientes y personal de la empresa.
Sin duda, la tecnología de la información mejorará, pero en ausencia de cualquier avance

importante, es probable que sea poco más que versiones mejoradas de las herramientas que
tenemos hoy. La gestión de redes y las capacidades de respuesta a incidentes también mejorará,
mientras que las empresas desarrollan o adquieren los servicios de centros de operaciones de
seguridad con mejor monitorización, minería y capacidades de mando y control.

Sin embargo, todas las empresas seguirán siendo vulnerables al error humano y a los ataques
de ingeniería social que pueden permitir que un atacante obtenga un punto de apoyo en la
infraestructura. Los seres humanos nunca serán perfectos en su disciplina o comportamiento.
A menos que se puedan construir sistemas que no queden inmediatamente comprometidos
por un simple error humano, siempre habrá el riesgo de un ataque de APT.
1.12 Puntos de aprendizaje

Este capítulo examinó las diferentes fuentes, objetivos, modus operandi y características de
los ataques de APT y describió algunos ataques de la vida real. Este es un breve resumen de
los puntos de aprendizaje que se deben considerar:
• Los ataques de APT pueden ser organizados por los servicios de inteligencia, crimen
organizado, terroristas, activistas o fuerzas armadas. El ciberespionaje permite que
cantidades masivas de información sean robadas de manera remota, barata, subrepticia y
con poco riesgo personal
para los autores.
• Cualquier organización que guarda secretos de interés para las agencias de inteligencia
extranjera, suele ser objeto de un ataque de ciberespionaje. Aproximadamente tres cuartas
partes de todos los ataques están dirigidos a empresas comerciales.
• Las bandas criminales que organizan ataques de ATP a menudo tienen contactos con
los servicios de inteligencia o agentes de información y pueden robar información para
venderla más adelante al mejor postor.
• Evaluar el riesgo potencial de cualquier ataque terrorista es difícil porque son impredecibles,
constantemente cambiantes y mayormente dirigidos contra las comunidades generales con
víctimas seleccionadas al azar.
• Los ataques militares de APT pueden formar parte de una operación de reconocimiento para
reunir inteligencia o una misión para instalar una puerta trasera o caballo de Troya para
ayudar a futuros ataques.
• Las APT atacan a compañías de todos los tamaños en todos los sectores, a través de
personas de todos los niveles de antigüedad, desde el personal administrativo hasta los
altos ejecutivos. Una pequeña empresa o contratista podría ser objetivo porque es un
proveedor de una empresa objetivo mayor. Una persona podría ser seleccionada porque es
un trampolín para obtener acceso al objetivo final.
• La mayoría de los ataques APT obtienen acceso a las empresas engañando al usuario
para visitar un sitio web infectado o hacer clic en un archivo adjunto infectado o ventana
emergente.
• Enfrentar un ataque sofisticado de un adversario con los recursos necesarios requiere
más que un conjunto de prácticas de seguridad de referencia. Exige conocimientos
especializados y tecnología de vanguardia.
• La única defensa eficaz contra una explotación de día cero es un proceso de detección de
malware que es capaz de analizar el comportamiento del código entrante.
• La mayoría de las defensas de seguridad están diseñadas para prevenir o detectar los ataques
que se han encontrado previamente. La evaluación de riesgos también debe considerar
nuevas formas de ataque que están fuera de la experiencia de la organización.
• Con la rápida identificación y respuesta, es posible contener exitosamente el daño inmediato
de una intrusión. Las empresas con buena gestión de crisis y comunicaciones pueden
sobrevivir al más grave de los incidentes.

Capítulo 2. Evaluando el riesgo de una APT
2. Evaluar el riesgo de una APT

2.1 El ciclo de gestión de riesgos
No existe ninguna empresa que opere sin riesgos. Es una parte integral del entorno
de negocios. Sin embargo, no todos los riesgos son inevitables. Cuando se analizan
cuidadosamente, se encuentra que algunos riesgos son resultado del funcionamiento de
una línea particular de negocios, mientras que otros riesgos se crean, inconscientemente
o deliberadamente, por las acciones o la falta de atención de las personas.
La gestión de riesgos ayuda a mitigar lo primero y a prevenir lo segundo. Una vez que el
mayor riesgo para el negocio es reconocido y evaluado, se puede tomar la decisión de evitar,
mitigar o aceptar el riesgo. El criterio para esa decisión es una función de la probabilidad y el
impacto potencial al negocio.
La gestión de riesgos es un ciclo continuo de evaluación de riesgos, identificación de

controles mitigadores, implementación de acciones correctivas y seguimiento de la eficacia,
un proceso que se ilustra en la figura 5.
05
Figura
Ciclo de gestión
de riesgos de APT
Identificación
de riesgos de
APT
Monitoreo de Evaluación
riesgos de APT de riesgos
de APT
Gestión de
riesgos de APT
2.2 Identificación de los activos en riesgo

El punto de partida al identificar el riesgo de una ATP es reconocer el valor de los diversos
activos que podrían encontrarse en riesgo si la empresa es atacada. Una vez que se
comprende la naturaleza de los activos más críticos, sensibles o valiosos de la empresa, ésta
se encontrará en mejor posición para evaluar la probabilidad y el impacto de un ataque de
ATP. Los activos pueden ser físicos, financieros o intelectuales

Activos físicos
Los activos físicos son el tipo de activo más fácil de reconocer y valorar, pero puede ser
difícil evaluar la factibilidad de un ataque de ATP dañino sobre la infraestructura física
o medir el impacto potencial completo sobre las operaciones de negocios.
Los ataques en sistemas industriales de control que podrían llevar a una planta de
procesamiento a un estado de peligro son posibles, pero los precedentes son muy pocos y
espaciados, haciendo que sea muy difícil cuantificar la probabilidad o el impacto durante la
evaluación del riesgo.
El riesgo teórico, sin embargo, es real y no puede ser ignorado. Se ha informado de varios
ejemplos de tales daños:
• El más conocido es el ataque del gusano Stuxnet , descubierto por primera vez en 2010, el cual
se cree que dañó hasta 1,000 centrifugadoras iranís usadas para el enriquecimiento de uranio,
alternando aumentos y disminuciones de las velocidades de operación por breves períodos.
• El ejemplo más antiguo que se ha atribuido a un ataque cibernético dañino fue el informe de
la destrucción de un oleoducto siberiano en 1982, supuestamente mediante una bomba lógica
implantada por la CIA en software SCADA que fue robado de una compañía canadiense por el
KGB. Se cree que la explosión resultante tuvo el poder de tres kilotones de dinamita.
• En 2007, investigadores de los Laboratorios Nacionales de Idaho del departamento de energía
de EE. UU. demostraron en un video públicamente presentado por el departamento de
Seguridad Nacional, la destrucción de un generador eléctrico de la red Aurora con un valor de
1 millón de dólares, manipulando los controles SCADA.
Muchas plantas industriales se encuentran lejos de ser inmunes a un ataque cibernético

deliberado porque ese tipo de amenaza aún no era concebible cuando las instalaciones
fueron diseñadas originalmente. Los componentes no fueron fabricados para soportar ataques
técnicos sofisticados y los sistemas de control fueron diseñados para dar fácil acceso a través
de redes a los ingenieros móviles.
Los grandes equipos pueden ser sorprendentemente fáciles de dañar. A menudo, son
vulnerables a ataques inerciales que aceleran partes móviles más allá de sus límites de
seguridad o ataques de resonancia que crean dañinas ondas estacionarias. Las plantas también
son vulnerables a un ataque en oleadas si las válvulas de control pueden ser manipuladas para
concentrar fluidos hasta un punto vulnerable, resultando en un shock hidráulico conocido
como martillo de agua.
Debe asumirse que las fuerzas armadas y las agencias de inteligencia de muchos países
estarían interesadas en edificar la capacidad de organizar esos ataques en contra de la
infraestructura nacional crítica de los países enemigos. También es posible que los grupos
terroristas intenten desarrollar esa capacidad, aunque la perspectiva parezca ser ambiciosa
en la actualidad.

El punto de partida para desarrollar cualquier ataque de ese tipo, sería un ejercicio de
acopio de inteligencia sobre el diseño de la instalación. Obtener acceso a la escalera lógica
de software usada para programar controladores, a menudo puede proveer la información
necesaria sobre cómo poner a una planta en un estado de peligro.
Activos financieros
Los activos financieros son más líquidos que los activos físicos, lo que los hace vulnerables
al robo o a la manipulación encubierta. Son regularmente atacados por el crimen organizado
para obtener ganancias personales y ocasionalmente, por activistas o terroristas, por motivos
políticos.
En abril de 2013, por ejemplo, el Promedio Industrial Dow Jones se desplomó 150 puntos
en un período de siete minutos, destruyendo temporalmente billones de dólares en valores
accionarios. La pérdida fue provocada por un tweet falso de la cuenta de Twitter de
Associated Press, que afirmaba que dos explosiones habían sacudido la casa blanca. Un
grupo que se denominó a sí mismo el Ejército Electrónico Sirio se atribuyó el crédito por
hackear la cuenta. El índice Dow se recuperó de inmediato, demostrando dos grandes puntos
de aprendizaje: 1) Un solo mensaje fraudulento puede causear un cambio mayor en el valor
percibido de los activos intelectuales y 2) esa fluctuación puede corregirse rápidamente.
Los activos financieros en riesgo de ataques de ATP son amplios y variados. Pueden incluir
cualquiera de los siguientes:
• Cuentas de sistemas para pagos en línea.
• Información de tarjetas de crédito y sus valores de verificación.
• Cuentas de redes sociales comprometidas.
• Lavado de dinero u oportunidades bancarias en paraísos fiscales.
• Manipulación de la información de los precios de las acciones o del momento de las
transacciones.
• Manipulación de los derechos contractuales para la recepción de dinero o activos.
• Contratos de derivados que podrían resolverse en beneficio del atacante, a través de la
manipulación de valores de mercado o registros financieros.
Activos intelectuales
Muchos programas de seguridad de la información se enfocan en salvaguardar la información o
los activos de TI, como el hardware, el software y los contenidos, pero también son importantes
otras formas de activos intelectuales para proveer una ventaja competitiva en los negocios.
Los activos intelectuales clave a los que se les debe prestar atención, porque pueden estar
expuestos a un ataque de ATP, incluyen los siguientes:
• Información
• Conocimiento
• Relaciones
• Reputación
• Valor de la marca

El valor de los activos intangibles es siempre difícil de evaluar porque los estándares de
contabilidad contemporáneos no reconocen su valor. El precio de las acciones puede reflejar
el valor comercial ganado por esos activos, pero los contadores y las juntas de valoración
de inversiones raramente reconocen el valor que reside en la información, las redes y los
sistemas de aplicación.
Para muchas organizaciones, evaluar el valor de los activos intelectuales será un nuevo
ejercicio, pero una evaluación significativa del riesgo de una APT no puede llevarse a cabo
sin una idea clara de cuáles activos podría tratar de robar un intruso en nombre de una
compañía rival.
Información
La información es el enfoque principal de los ataques de ciberseguridad. Los datos que
permiten el liderazgo u otras ventajas comerciales son buscados por los servicios de
inteligencia en apoyo de sus industrias, o por grupos del crimen organizado que buscan
vender la información a clientes interesados. Los objetivos específicos podrían incluir los
siguientes:
• Información de ventas que contenga los requerimientos de los clientes, las órdenes y los
precios de productos de interés directo para los competidores.
• Registros de recursos humanos que contienen información personal de identidad o de
interés directo para grupos del crimen organizado, correos y archivos de oficina que
revelan estrategias de negocios, detalles de ofertas competitivas o detalles personales de los
individuos, para facilitar futuros ataques de ingeniería social.
• Secretos comerciales, que pueden incluir recetas propietarias, algoritmos, resultados de
investigación o diseño de nuevos productos.
Conocimiento
Para muchas empresas, el conocimiento que su personal clave posee es la fuente principal de
ventaja competitiva para conseguir contratos.
El conocimiento es un activo difícil de robar, pero muy frecuentemente se le permite fugarse

hacia los competidores a través de la contratación del personal que lo conoce. Algunas
compañías incluso comparten su conocimiento abiertamente con competidores potenciales
a través de empresas conjuntas para poder tener éxito en nuevos mercados. Otras prefieren
guardar su conocimiento superior para proteger su ventaja competitiva.
Es posible que las investigaciones o los secretos de producto, robados sin el conocimiento
profundo de cómo funcionan o cómo pueden aprovecharse en la práctica, sean prácticamente
inútiles. En algunos casos, puede ser claramente peligroso, como se muestra en el ejemplo de
la explosión del oleoducto de Siberia.
Es perfectamente razonable para las empresas evaluar el impacto de la propiedad intelectual

robada por una potencia extranjera como insignificante si se cree que el país implicado es
incapaz de explotarla debidamente.

Relaciones
Un contribuidor de valor intelectual que a menudo es ignorado por los contadores es el valor
potencial que se esconde en las relaciones. Este aspecto de las redes fue notado por vez
primera por Robert Metcalfe, coinventor de Ethernet, que descubrió que el valor potencial
de una red es proporcional al cuadrado del número de usuarios del sistema.
Lo que esto realmente significa, es que el número de relaciones dentro de una red crece
mucho más rápido que cualquier crecimiento de tamaño de la red. El valor comercial extraído
de las relaciones en las redes sociales de rápido crecimiento ofrece un enorme potencial
de crecimiento.
Cuando las redes son relativamente pequeñas, rara vez notamos este efecto. Pero cuando
contemplamos las modernas redes sociales como Facebook, el potencial de negocios es
enorme. Pero la privacidad y la confianza en las redes es básica para una explotación exitosa.
Una sola pérdida de datos puede robar detalles de las relaciones y dañar permanentemente
la confianza en el proveedor del servicio de la red.
Las relaciones también pueden ser aprovechadas por los atacantes, especialmente a través
de las redes sociales. Se han llevado a cabo experimentos exitosos para obtener inteligencia
militar sensible usando perfiles de usuario falsos diseñados para atraer víctimas.27
Reputación y valor de la marca

La reputación corporativa es un activo difícil de evaluar. Es difícil de medir como una
palanca de ventas, que puede ser el producto de numerosas iniciativas y activos. La
reputación puede tardar años en ser construida y puede colapsarse de la noche a la mañana
como resultado de un incidente dañino. Este es el tipo de activo que rara vez se aprecia
en su totalidad hasta que desaparece; y eso es precisamente lo que sucede después de una
uptura importante.
2.3 Identificación de las amenazas específicas de APT para los activos

Habiendo obtenido la comprensión de la naturaleza de los ataques ATP y de los actores
detrás de ellos, el siguiente paso dentro de la evaluación de riesgos es identificar amenazas
específicas a los activos intelectuales principales que se encuentran en riesgo en una empresa.
En la práctica, este es un ejercicio difícil y subjetivo. Los ataques ATP generalmente sino
tienen precedentes, son inesperados e inciertos. Los directivos de negocios (que entiende el
impacto potencial al negocio) no están familiarizados con la amenaza y pueden inclinarse
a descartarlas sin evidencia concreta. Los comités de valoración de inversiones también son
propensos a cuestionar el gasto en medidas que abordan un riesgo teórico cuando no existen
precedentes.
27
Ver www.darkreading.com/privacy/robin-sage-profile-duped-military-intell/225702468.

Es importante, por tanto, garantizar que los gerentes sénior e influyentes y los directivos
estén completamente informados e involucrados en el proceso de evaluación, porque es fácil
minimizar las amenazas reales como imposibles o improbables.
Al mismo tiempo, es importante mantener las amenazas en perspectiva, porque algunas que
podrían parecer alarmantes a primera vista, tal como el robo de secretos comerciales, pueden
resultar relativamente inocuas, por ejemplo, si el atacante no tiene una capacidad significativa
para aprovechar el material robado.
Lo opuesto también puede ser cierto, por ejemplo, una amenaza que puede parecer inofensiva
para un director de negocios, como que un atacante obtenga acceso a una librería de código
fuente, puede ser dañino (incluso fatal) si no se comprueba.
Al identificar amenazas específicas a los activos intelectuales valiosos, deben tenerse en

mente las siguientes preguntas:
• ¿Está el posible atacante en posición de entender y aprovechar realmente los activos
robados?
• ¿El atacante en cuestión opera en el mismo mercado?
• ¿Podría el atacante vender la información robada a una empresa rival?
• ¿Existe alguna posibilidad de que el atacante utilice el conocimiento obtenido para dañar
o interrumpir las operaciones del negocio?
• ¿Podría el atacante ser atraído por la posibilidad de instalar una puerta trasera para un futuro
ataque, por ejemplo, en caso de que comiencen hostilidades en la región?
Estas son siempre preguntas difíciles de responder para los gerentes de negocio ordinarios,
debido al desconocimiento y la incertidumbre. Es importante informar a los directivos por
completo y darles el tiempo y la oportunidad de reflexionar sobre las implicaciones totales
para las operaciones cotidianas del negocio.
2.4 Identificación del riesgo de APT

Existe un posible gran riesgo de APT relacionado con las empresas modernas, así que la
selección cuidadosa y las prioridades claras son esenciales para evitar generar demasiadas
acciones menores que reducirían la atención prestada a los riesgos más grandes e importantes.
El riesgo puede ser identificado para procesos del negocio específicos, pero es más fácil
gestionar un catálogo de riesgos en toda la empresa, porque el riesgo de varios procesos de
negocios, a menudo, comparte una acción mitigante en común. El proceso de identificación
del riesgo debe considerar a los activos más críticos, sensibles y valiosos, como se describió
en los capítulos previos.
El riesgo puede ser evaluado cuando se descubren vulnerabilidades en controles de seguridad

física, procedimientos de operación, personal, plataformas o aplicaciones. La presencia de
las vulnerabilidades de seguridad juega un papel mayor en la probabilidad de que el riesgo
ocurra y en su impacto potencial. El proceso de identificación del riesgo debe tomar en cuenta

y considerar todas las vulnerabilidades de seguridad conocidas, lo que ayudará a informar

sobre el proceso de evaluación del riesgo y permitirá que las acciones de mitigación sean
identificadas.
2.5 Evaluación del riesgo de APT

El siguiente paso es evaluar y priorizar el riesgo identificado en términos de probabilidad
e impacto Este proceso idealmente debe ser llevado a cabo en un grupo de trabajo donde las
partes interesadas claves y los gerentes con conocimiento puedan expresar sus preocupaciones
y votar sobre la probabilidad y severidad del riesgo. El trabajo en equipo también ayuda
a reducir la probabilidad de introducir errores por la falta de conocimiento o prejuicios
personales
Un mapa de calor del riesgo, como se ilustra en la figura 6, es una herramienta útil para
ayudar a evaluar, priorizar y registrar el riesgo. Este enfoque es recomendable porque la
experiencia nos ha enseñado que es mucho más rápido, fácil y preciso para los gerentes
evaluar tipos de riesgo en relación con los demás, en vez de intentar calificarlos aisladamente.
06
Ejemplo de mapa de
Figura
calor de la evaluación
del riesgo de APT
1 2 3 4 5
Alto Daño grave a una planta 5

de procesamiento
Filtración
de datos
importante de 4
registros de clientes
Pérdida
permanente Robo de
de la secretos
base de datos ERP comerciales
Impacto 3
Compromiso
Ataque de una
Fallo importante de DDoS licitación importante
en la
infraestructura Pérdida
de TI de personal 2
clave a una
empresa rival
Bajo
1
Bajo Probabilidad Alto

El riesgo que se muestra en la esquina superior derecha del mapa de calor representa los
desafíos más graves y justifica a acción correctiva inmediata. El riesgo en la esquina inferior
izquierda puede ser ignorado en su mayoría. El riesgo más difícil de atender está en el centro
del mapa, el cual requiere de mayor consideración y debate.
El riesgo en la esquina superior izquierda justifica medidas de contingencia a largo plazo.

Por ejemplo, en esta evaluación, existe un riesgo real pero poco probable de un daño grave
a una planta de procesamiento. Esta es una evaluación típica para un riesgo de este tipo, que
generalmente justifica la consideración a largo plazo, pero no la acción correctiva inmediata.
Se destaca la necesidad de una revisión regular de la evaluación de riesgo y un análisis más
considerado acerca de qué acciones tomar para abordar el riesgo de impacto extremadamente
alto pero con muy pocas probabilidades.
Estas evaluaciones pueden cambiar notablemente en caso de cualquier aumento de la tensión

política en el país en el que se encuentra la planta. Una consideración adicional es si el ataque
puede ser organizado por un futuro adversario potencial para obtener inteligencia avanzada o
implantar una puerta trasera en apoyo de cualquier operación ofensiva futura.
La escala en cada eje del mapa de calor puede usarse para generar calificaciones numéricas
para el riesgo, lo que permite el desarrollo de una clasificación del riesgo (registro de
riesgo). La ventaja de esa clasificación es que puede expandirse fácilmente para registrar
las dimensiones adicionales del riesgo, como la propiedad, acciones de mitigación, fechas
objetivo y otros detalles.
2.6 Riesgo moral

Un gran problema con muchos tipos de riesgos de seguridad que requieren tratamientos
caros, es que la parte responsable de la creación o gestión del riesgo puede no ser aquella
que sufre el daño de cualquier incidente relacionado. En muchos casos, es el consumidor o
el ciudadano el que sufre el impacto real de una violación de datos mayor (aunque siempre
existe la posibilidad de la acción legal).
Este es un problema bien conocido denominado “riesgo moral” y es difícil de abordar porque
muchos gerentes de negocio responsables de procesos peligrosos pueden considerarse a sí
mismos aislados de las consecuencias totales de un incidente mayor. Es importante, por
lo tanto, asegurarse de que las evaluaciones de riesgo consideren el impacto total de una
amenaza, ya sea para los consumidores, socios de negocios u otras partes interesadas. De lo
contrario, existe una posibilidad de que los impactos evaluados serán subestimados.
2.7 Mitigación del riesgo de APT

Para cada riesgo identificado, el equipo de evaluación del riesgo debe acordar la acción de
mitigación adecuada, y asignar responsabilidad de cada riesgo a un gerente para supervisar
la implementación de dicha acción.

Las acciones para mitigar el riesgo pueden incluir cualquiera de las siguientes:
• Aplicación de controles apropiados.
• Aceptación del riesgo, a sabiendas y objetivamente, siempre que realmente satisfaga las
políticas y criterios para la aceptación del riesgo de la organización (ver más abajo).
• Evitar el riesgo.
• Transferir el riesgo de negocios relacionado a otra parte, por ejemplo, a un asegurador
o proveedor.
La acción acordada deber considerar el costo, cronograma y dificultad de implementar

posibles medidas de mitigación, así como la probabilidad y el impacto del riesgo. Una
consideración importante adicional es la existencia de cualquier requerimiento legal,
regulatorio o contractual relacionado.
La aceptación del riesgo debe ser considerada únicamente si el impacto y la probabilidad

se encuentran dentro de los niveles de apetito al riesgo. La aceptación de cualquier riesgo
identificado deberá ser formalmente aprobada por la junta ejecutiva o el comité de riesgo
y documentada en el registro de riesgos de la organización.
2.8 Creación del caso de negocio para contramedidas

Todo gasto mayor requiere la creación de un caso de negocio ante la gerencia o, si es un
gasto significativo, ante un comité de valoración de inversiones Este puede ser un obstáculo
difícil de vencer, porque la seguridad rara vez puede ofrecer evidencia concreta de un retorno
de inversión positivo. Otro problema es que el aumento del gasto en seguridad reduce la
probabilidad de incidentes, lo que tiende a disminuir la percepción de las personas sobre la
necesidad de medidas adicionales.
La mayoría del gasto cotidiano en seguridad puede justificarse con base en requerimientos
de cumplimiento regulatorios o legalmente obligatorio. Los ataques de ATP son diferentes.
El tipo de acción requerida va mucho más allá de las medidas necesarias para satisfacer
las demandas de cumplimiento. Debe, por lo tanto, ser aprobado sobre la base que es una
inversión de negocios razonable.
Al presentar los hechos acerca de los ataques de ATP, cualquier consejo ejecutivo
seguramente exigirá acción. El problema es que, sin una comprensión detallada de la materia
en cuestión, el consejo no podrá juzgar cuánto gasto en seguridad es suficiente. Obtener el
apoyo de la junta ejecutiva y la gerencia de negocios para las mejoras en seguridad, requiere
una convincente presentación de costes y beneficios. Las buenas presentaciones y habilidades
de relaciones administrativas son importantes. Obviamente, es de ayuda presentar un retorno
de inversión financiero, pero ahorrar no es la única forma de demostrar valor.
Un buen caso de negocio puede presentar un argumento convincente para el cambio

inmediato, junto con beneficios claramente identificados que se pueden alinear con la
estrategia de negocios. También ayuda demostrar que el coste y los beneficios han sido
cuidadosamente evaluados y que cualquier riesgo relacionado con la implementación de los
cambios ha sido identificado y será gestionado.


Este capítulo examinó el proceso de la gestión de riesgos como se podría aplicar a la
evaluación y mitigación del riesgo de ATP. Este es un breve resumen de los puntos de
aprendizaje que se deben considerar:
• La gestión de riesgos es un ciclo continuo de evaluación, identificación de controles de
mitigación, implementación de acciones correctivas y supervisión de su efectividad.
• La evaluación de riesgo ayuda a identificar, acordar y priorizar las acciones necesarias para
mitigar el riesgo de ataques de ATP.
• El riesgo se categoriza de acuerdo con la probabilidad y su posible impacto al negocio.
• El punto de partida al identificar el riesgo de ATP es reconocer el valor de los activos en
riesgo. Los activos pueden ser físicos, financieros o intelectuales.
• Los ataques a los sistemas de control industriales que podrían poner en peligro a una planta
de procesamiento son posibles pero, afortunadamente, muy poco comunes.
• Los activos financieros son altamente vulnerables al robo y la manipulación. Es probable
que sean objetivos de los grupos del crimen organizado para la ganancia personal.
• El valor de los activos intangibles, tales como la reputación corporativa, es sustancial pero
difícil de medir, ya que los estándares de contabilidad contemporáneos no reconocen ese
valor.
• El riesgo de una ATP crea impactos que abarcan a toda la organización, y la mejor forma
de abordarlos es con una iniciativa de alcance global. El riesgo puede ser identificado
para los procesos específicos de negocios, pero es mejor manejar una cartera de riesgo en
toda la empresa porque el riesgo para múltiples procesos, a menudo, comparte una acción
mitigadora en común.
• El mapa de calor del riesgo es una herramienta útil para ayudar a evaluar, priorizar y
registrar el riesgo. Este enfoque se recomienda porque es más fácil y rápido que otros
métodos, y generalmente produce resultados más precisos.
• “Riesgo moral” es el término utilizado para describir una situación donde la parte
responsable de la creación o la gestión de riesgos no es la parte que sufre el daño.
• Las acciones para mitigar el riesgo pueden incluir la implementación de controles
adicionales o tomar acciones para aceptar, evitar o transferir el riesgo.
• Las acciones de mitigación deben tomar en cuenta el coste, el cronograma y la dificultad de
su implementación, así como la probabilidad y el impacto del riesgo.
• El caso de negocio para el cambio debe presentar un argumento convincente para el cambio
inmediato, junto con unos beneficios claramente identificados que se puedan alinear con la
estrategia de negocios.

Capítulo 3. Gestión de la seguridad para amenazas de la APT
3. Gestión de la seguridad para

amenazas de APT
3.1 Introducción
Este capítulo examina la amplia variedad de controles de seguridad, procesos y
contramedidas técnicas que pueden aplicarse para ayudar a prevenir, detectar y mitigar el
impacto de un ataque de APT.
Es muy poco probable que las contramedidas de seguridad existentes que se encuentran
en la empresa contemporánea típica sean suficientes para prevenir o siquiera detectar un
ataque sofisticado y bien planeado. Existen investigaciones que confirman esta aseveración.
Un estudio independiente realizado por el Instituto Ponemon reveló que dos tercios de
las organizaciones admiten que sus defensas fueron insuficientes para detener un ataque
dirigido.28 Según una investigación realizada por Verizon, aproximadamente el 70% de las
brechas fueron descubiertas por un agente externo, no por las propias víctimas.29
Esto no es una sorpresa para los profesionales de seguridad experimentados, muchos de los
cuales han luchado durante largo tiempo para vender buenas prácticas de seguridad a los
desinteresados desarrolladores de sistemas y gerentes de negocios, que generalmente ven la
seguridad como una distracción innecesaria, costosa y que consume mucho tiempo. Dentro
de este contexto, las intrusiones de APT han venido a cambiar el juego al incrementar las
preocupaciones corporativas por un orden de magnitud, y demandan un cambio de postura de
seguridad similar y procesos de respuesta.
Este capítulo brinda un panorama general de las mejoras en la gestión de seguridad necesarias
para responder al reto de una APT. Desafortunadamente, no existe una única contramedida
adicional, técnica u operacional, que pueda garantizar la prevención, detección o erradicación
de una infección por APT. La solución se encuentra en un enfoque holístico que combine
medidas físicas, técnicas, educacionales y operacionales más estrictas, coordinadas a través
de un sistema efectivo de gestión de la seguridad.
Combatir un ataque de APT también requiere de habilidades especializadas. Los ataques

son y pueden ser diseñados para explotar las debilidades que se perciben en la víctima. No
pueden ser enfrentados por políticas generales, controles de referencia o productos de venta
libre. Se requiere una respuesta personalizada, apoyada por un alto grado de creatividad e
improvisación. Esto requiere el desarrollo o reclutamiento de habilidades especializadas, ya
sea que vengan desde adentro de la organización o a través de un servicio de soporte externo.
28
Ponemon Institute, “2012 Cost of Cyber Crime Study,” EE. UU., 2012, www.ponemon.org
29
Verizon, “2013 Data Breach Investigations Report,” EE. UU., 2013, www.verizonenterprise.com/DBIR/2013

Las víctimas de APT generalmente exhiben numerosas debilidades en la seguridad, que

examinaremos en los siguientes párrafos, pero ningún ataque es perfecto o completamente
invisible. Los ataques de APT también tienen debilidades. Sin importar qué tan sofisticados
parezcan por su habilidad para esconderse a través del disfraz, la ofuscación del código o
el uso de diferentes vectores de ataque, siempre habrá signos reconocibles y debilidades
ocasionales. Un analista de seguridad experimentado con un buen conjunto de herramientas
eventualmente detectará, evitará y erradicará las intrusiones más sofisticadas. Este capítulo
explica muchas de las medidas necesarias para obtener esa capacidad.
Al establecer el alcance de los mecanismos técnicos, humanos y de procedimientos que se

necesitan para mitigar un ataque de APT, habrá siempre un cierta superposición entre la guía
convencional de seguridad de la información y los controles, tales como que se plantean en
la familia de productos COBIT 5, los controles críticos del Instituto SANS30 y los estándares
de seguridad ISO/IEC 27001. En las empresas maduras, muchos de estos controles ya
se encuentran implementados, ya sea para mitigar riesgos generales de seguridad o para
satisfacer cumplimientos regulatorios. Este libro no pretende reinventar las guías de seguridad
existentes de la industria, sino llamar la atención hacia los beneficios de estos controles. En
vez de eso, se enfoca en las mejoras específicas necesarias para mitigar el riesgo de APT,
resaltando las áreas dentro de los estándares establecidos donde los controles requieren
fortalecimiento o extensión adicional.
3.2 Deficiencias en los procesos de gestión existentes

El punto de partida para comprender las medidas necesarias para combatir los ataques
de APT es comprender las debilidades en los controles existentes y apreciar los talones
de Aquiles de los ataques de ATP. La figura 7 ilustra las debilidades típicas así como las
medidas correctivas recomendadas en los procesos de gestión que generalmente se esperan
que mitiguen los riesgos de seguridad de la información. Las soluciones tecnológicas
mencionadas en la columna de Acciones correctivas recomendadas se explican en el
siguiente capítulo.
30
Ver www.sans.org/critical-security-controls.

07
Figura
Deficiencias típicas
en los procesos de
gestión existentes
Gestión Debilidades típicas relativas Acciones correctivas

Proceso a los ataques de APT recomendadas
Sistema de gestión Los ciclos tradicionales de planificación, Establecer un proceso rápido de evaluación
de seguridad de la implementación y revisión son demasiado y mitigación del riesgo de APT.
información (ISMS) lentos para responder a un riesgo de APT
de evolución rápida.
Las políticas de seguridad a menudo Fortalecer las políticas, disciplina y
carecen de claridad y enfoque, y están procesos de revisión para las áreas
comunicadas y aplicadas de manera vulnerables a un ataque de APT.
deficiente.
Las brechas y superposiciones se La asignación de responsabilidades
encuentran entre las responsabilidades específicas para coordinar la respuesta de
de seguridad para los sistemas y la la organización ante el riesgo de APT.
infraestructura afectada por un posible
ataque de APT.
Los casos de negocio para la mitigación de Obtener el apoyo del consejo ejecutivo
las APT pueden no satisfacer los criterios para un programa paliativo diseñado a la
de valoración de inversiones. medida de las demandas específicas del
riesgo de APT.
Proceso de gestión Las evaluaciones del riesgo del negocio Inversión de conocimientos especializados
de riesgos carecen de conocimiento especializado sobre las APT en el proceso de evaluación
sobre los motivos y los métodos de las APT. del riesgo del negocio.
Las evaluaciones del riesgo de la unidad Realizar una evaluación especializada del
de negocio individual pueden no reflejar el riesgo de APT en toda la empresa.
impacto total de una intrusión de APT en
toda la empresa.
Los riesgos relacionados con las Realizar evaluaciones de riesgo para las
tecnologías emergentes, tales como nuevas tecnologías y actualizar toda la
el almacenamiento en la nube y los documentación relacionada.
dispositivos móviles, pueden no ser
considerados adecuadamente en el
proceso de gestión de riesgo existente.
Seguridad de las El personal y los contratistas rara vez se Realizar revisiones de seguridad de las
personas encuentran sujetos a un escrutinio más allá personas con acceso a los sistemas de
del análisis de crédito. soporte de los servicios de infraestructura
crítica.
Los programas existentes de Realizar campañas específicas de
concienciación en seguridad pueden no educación para el personal en las áreas que
abordar un riesgo de APT específico. podrían ser objetivo de un ataque de APT.
Realizar pruebas de ingeniería social

en aquellos empleados que podrían ser
objetivo de ataques de APT.

07
Figura
Deficiencias típicas en
los procesos de gestión
existentes (continuación)

Seguridad física El equipo podría estar expuesto a peligros Instalación que provee acceso a sistemas
de “rápida implantación” a través de críticos y sensibles en zonas seguras.
memorias USB o de dispositivos de
keylogger. Sellar todos los puertos USB de los
dispositivos de los clientes y servidores en
zonas abiertas.
Inspección periódica de las máquinas en

las zonas de oficina abiertas.
Los ordenadores portátiles de los Implementación de un cifrado fuerte y
ejecutivos que visitan países con completo del disco basado en hardware,
servicios agresivos de inteligencia pueden con protección segura de arranque en los
encontrarse comprometidas por ataques ordenadores portátiles de los ejecutivos
“malévolos” (por ejemplo, al dejarlos en que viajan.
una habitación desocupada).
Implementación de la autenticación de dos
factores para proteger esos dispositivos.
Arquitectura de Los sistemas y servidores sensibles Implementación de una arquitectura con
redes y críticos no están suficientemente estrictos controles de segregación, filtrado
segregados. y monitorización.
Eliminación de los sistemas sensibles o

críticos de las redes empresariales, o su
colocación en dominios de red protegidos.
Instalación de aplicaciones de firewall para

salvaguardar los servidores expuestos.
Gestión de redes Los procesos de monitorización de redes y Instalación de tecnología de Inspección
sistemas no son suficientes para detectar profunda de paquetes (DPI) para hacer el
los ataques de APT entrantes o los escrutinio de las comunicaciones.
datos robados salientes.
Aplicación de un patrón de cotejamiento
de las comunicaciones para ayudar a
identificar protocolos de mando y control
de APT.
Instalación de la tecnología de Prevención

de fuga de datos (DLP) para detectar
información confidencial saliente.

07
Figura Deficiencias típicas en
los procesos de gestión
existentes (continuación)

Detección Los antivirus basados en firmas y la Las medidas contra el software
de software exploración delos sistemas de detección malintencionado deben incorporar una
malintencionado de intrusiones (IDS) no son suficientes para capacidad heurística, estadística o de
detectar ataques de APT. comportamiento.
El código entrante debe ser simulado en

entorno de pruebas para prevenir que
programas maliciosos sean ejecutados.
Gestión de El software malintencionado implantado Implementación de tecnología para
plataformas no es visible para los usuarios o monitorizar los cambios en la integridad
informáticas administradores. de los archivos y la configuraciones de la
plataforma.
Considerar la realización de inspecciones

forenses periódicas en las plataformas que
manejan información sensible o crítica.
El proceso de gestión de parches Implementación de exploraciones continuas
es demasiado lento para prevenir de vulnerabilidades, especialmente para los
vulnerabilidades de seguridad en las sitios accesibles desde Internet.
plataformas.
Control de acceso de Los derechos de acceso no tienen un Implementar un modelo de reducción de
la aplicación. escrutinio riguroso. privilegios para disminuir el alcance de un
escalamiento de APT.
Desarrollo y Muchos sistemas de información están Eliminar las vulnerabilidades de seguridad
mantenimiento diseñados para un ambiente de red privado en el proceso de desarrollo del sistema, por
de sistemas. y son vulnerables a ataques internos (por ejemplo, implementando un ciclo de vida de
ejemplo, a través de un caballo de Troya). desarrollo del sistema (SDLC) seguro.
Los sistemas y plataformas heredados Realizar pruebas de intrusión e implementar
pueden contener numerosas programas de acción correctiva.
vulnerabilidades de seguridad.
Proceso de informe Las indicaciones tempranas de los Capacitar a los usuarios para informar sobre
de incidentes ataques de APT no son informadas a los correos sospechosos o contactos externos.
administradores de seguridad.
Considerar incentivos para animar al
personal a reportar tales eventos.
Gestión de la El proceso está diseñado principalmente Implementación de planes de contingencia
continuidad del pensando en los desastres naturales más para mitigar los ataques DDoS y las
negocio que en los ataques deliberados y dirigidos. brechas de datos a gran escala.
Gestión de crisis La estructura existente del equipo de gestión Establecer un equipo de respuesta a
de crisis puede carecer de la organización incidentes de seguridad informática (CSIRT).
y las herramientas especializadas para
gestionar un incidente de APT. Considerar el desarrollar un centro de
operaciones de seguridad (SOC).
3.3 Medidas clave para mitigar los ataques de APT
La prevención y detección exitosa de los ataques de APT requiere de una gran cantidad de
medidas de seguridad individuales. Los siguientes principios y medidas de seguridad son
particularmente importantes y deben incluirse en cualquier programa de reducción del riesgo
de APT.
Evaluación y respuesta de riesgos coordinados

Una de las mayores debilidades al gestionar la respuesta al riesgo de APT es la dificultad
para coordinar acciones a través de múltiples unidades de negocios, funciones de servicio,
sistemas de información, infraestructura y cadenas de suministros. En la práctica, existen
numerosas brechas y superposiciones en responsabilidades, conocimientos y capacidades.
La solución a este problema es asignar responsabilidades específicas para la evaluación del
riesgo y la coordinación de la respuesta de la organización a los APT. Tal responsabilidad
requiere empoderamiento del consejo ejecutivo porque necesariamente atravesará las líneas
existentes de la gestión de informes.
Gestión de activos
Los activos de hardware y software son artículos valiosos y necesitan ser identificados,
registrados y gestionados para propósitos contables. Los inventarios de activos son una
herramienta esencial para gestionar la seguridad, especialmente cuando han sido enriquecidos
con detalles de propiedad y estado de configuración. En la mayoría de las organizaciones, los
directorios empresariales están siendo progresivamente expandidos para dar seguimiento y
controlar el estado de la seguridad de las plataformas y los dispositivos de los clientes. Esta
es una pieza esencial en el desarrollo de la infraestructura de una empresa que se encuentra
libre de vulnerabilidades o por lo menos, que comprende la postura de seguridad de sus
plataformas y dispositivos.
Acceso de privilegio mínimo

El principio de privilegio mínimo al conceder derechos de acceso es una regla largamente
aplicada para reducir al mínimo el riesgo de acceso no autorizado a los sistemas de
información. Dentro del contexto de los ataques APT, es especialmente importante reducir al
mínimo el número de usuarios con privilegios de administración en las aplicaciones críticas,
servidores y dispositivos de los clientes.
Los ataques de APT buscan conseguir privilegios de administración para obtener el control
completo de las plataformas y aplicaciones, para así enterrar su software malintencionado
dentro de los núcleos de los sistemas operativos. Otorgar accesos administrativos a grandes
poblaciones de usuarios incrementa sustancialmente el riesgo general y, en particular, el
posible impacto en el negocio de una intrusión de APT exitosa.
Eliminar los privilegios de administrador a los dispositivos de los clientes reduce en gran
medida el posible impacto de una infección de APT, aunque no eliminará por completo el
riesgo. Los dispositivos de los clientes pueden aún verse comprometidos, por ejemplo, a
través de una descarga dirigida, pero el atacante tendrá mayor dificultad para esconder el
software malintencionado y extender el alcance del ataque.
Segregación de redes

El beneficio primario de las redes es que habilitan la comunicación y la transferencia de

datos. Desafortunadamente, este beneficio es una espada de dos filos: Mientras más fácil
es establecer relaciones y acceso a fuentes remotas, más simple se vuelve para un intruso el
robar información y sabotear servicios.
Cualquier red que contenga datos sensibles, valiosos o críticos para el negocio necesita
ser segregada del riesgo que conllevan las conexiones de redes abiertas. Las grandes redes
empresariales deben ser divididas en dominios de red lógica separados, cada uno de ellos
protegido por un perímetro de seguridad definido. Las fronteras entre los dominios de red
pueden ser vigiladas por accesos seguros, como cortafuegos, para filtrar y dirigir el tráfico
entre dominios.
Es particularmente importante garantizar que a los servidores que contienen información

altamente sensible o crítica no se les permita llevar a cabo libremente transferencias de datos
a locaciones externas, porque eso permitiría que un caballo de Troya exporte datos a un
atacante remoto. Las transferencias externas deben sujetarse a estrictas reglas y controles.
La segregación de redes es un control, por encima de todos los demás, que necesita
ser atendido adecuadamente para mitigar el riesgo de los ataques de APT. Este es un
requerimiento básico de seguridad para cualquier empresa, sin embargo, la experiencia
obtenida de ataques previos ha demostrado que muchas redes empresariales no tienen la
segregación suficiente para proteger los datos y procesos críticos.
Gestión de vulnerabilidades
La gestión de vulnerabilidades es el proceso de identificar, priorizar y mitigar las debilidades
de seguridad conocidas en los sistemas y plataformas de información. En su forma más
simple, se trata de mantenerse al día con los parches críticos de seguridad para los sistemas
de software, así como los últimos lanzamientos presentados de software y definiciones
de antivirus. Este no es un ejercicio trivial para las plataformas que controlan sistemas de
producción críticos que necesitan estar disponibles continuamente 24 horas al día, 7 días a la
semana.
Aunque los ataques avanzados de APT pueden incorporar explotaciones de día cero,
muchos se basan en vulnerabilidades conocidas para infectar los sistemas, por lo que es
vital garantizar que todas las plataformas reciban el parche tan rápido como sea posible.
Desafortunadamente, la experiencia nos enseña que muchas empresas tardan demasiado
en implementar los parches críticos, a menudo por días, semanas e incluso, meses. Los
sistemas que tienen vulnerabilidades conocidas necesitan ser protegidos (por ejemplo, por un
cortafuegos) del riesgo relacionado con conexiones externas.
Educación del usuario

La mayor parte de las empresas en la actualidad realizan un modesto grado de educación de
seguridad y capacitación de concienciación para los usuarios de TI, pero esto no es suficiente
para mitigar el riesgo de ataques bien investigados de ingeniería social. La respuesta es
incrementar el alcance, la intensidad y la sofisticación del programa educacional, enfocándolo
en los gerentes y el personal que tiene más probabilidades de ser blanco de tales ataques.

Cambiar el conocimiento y la percepción de las personas es una tarea difícil. Transformar su

comportamiento es un orden de magnitud aún más difícil. Sin embargo, se pueden alcanzar
ambos objetivos con la suficiente planificación, esfuerzo y apreciación de la psicología
humana.
Lograr un cambio mayor en el comportamiento requiere de varios niveles de intervención:

• Transmitir la concienciación del riesgo y la respuesta recomendada, lo que simplemente
requiere comunicación clara e informativa.
• Influenciar las actitudes, lo que requiere de un proceso de autodescubrimiento, por ejemplo,
a través de historias, casos de estudio o ejercicios.
• Cambiar el comportamiento, lo que demanda incentivos atractivos, que sobre todo deben ser
personales, inmediatos y ciertos.
Debe buscarse asesoría profesional para desarrollar materiales de concienciación, porque

a menudo, los intentos poco profesionales no son efectivos. Como mínimo, el personal de
la empresa con funciones de mercadotecnia o comunicaciones debe ser consultado para el
diseño y presentación de material educativo.
Tecnología para mitigar los ataques de APT

En las últimas dos décadas se han desarrollado numerosas tecnologías de seguridad o
procesos técnicos para prevenir y detectar intrusiones maliciosas.
Muchas tecnologías de seguridad se basan en el principio de explorar, filtrar o bloquear las

comunicaciones entrantes y salientes. La primera de esas tecnologías surgió a principios de
1990 y podía efectuar un filtrado simple del tráfico, basado en la información del encabezado
de los paquetes individuales de datos. A través de los años, estas tecnologías se han vuelto
progresivamente más sofisticadas e inteligentes, escarbando aún más profundo en los
contenidos de los paquetes, reuniéndolos en corrientes de actividad, entendiendo patrones de
comportamiento malicioso y ejecutando cualquier código adjunto en zonas de “simulación en
entorno de pruebas” seguras.
Existen muchas variantes de herramientas de exploración y filtrado disponibles, operando en

diferentes niveles de los protocolos de comunicaciones y usando una variedad de técnicas de
detección. El punto más importante es que no existe una única tecnología de seguridad que
garantice la prevención o detección de un APT. Un enfoque de defensa en profundidad, que
explota tantos niveles de inspección como puedan ser permitidos y gestionados, ayudará a
mitigar el riesgo, y al combinarse con controles de procedimientos y personales adecuados,
puede permitir a la empresa reducir el riesgo de una APT a un nivel aceptable.
Muchas aplicaciones de seguridad combinan varias tecnologías en un solo dispositivo. Las

empresas pueden comprar un producto multifuncional, seleccionar por separado los “mejores”
dispositivos de cada línea o adquirir una variedad de tecnologías compatibles de un solo
proveedor.

Es probable que el caso de negocio para la provisión de muchas de estas tecnologías, así
como los recursos calificados necesarios para administrarlas, sea un desafío para los procesos
de autorización de inversión tradicionales. Este costo debe ser cuidadosamente sopesado
contra el posible impacto al negocio de un ataque de APT dañino.
El capítulo 4 describe las tecnologías relevantes y los procesos técnicos que son más útiles
para mitigar un ataque APT.
3.4 Interrupción de la “cadena de muerte”

Las organizaciones pueden tener muchas carencias de seguridad, pero los actores de un APT
también exhiben unas pocas y estas pueden ser suficientes para permitir que un ataque sea
detectado y contenido.
Los expertos de Lockheed Martin señalan acertadamente que una respuesta efectiva a una
intrusión de APT demanda una mayor evolución en análisis, procesos y tecnología. También
creen que es posible anticipar y mitigar intrusiones futuras con base en un conocimiento
sólido de los métodos del atacante.
Esta estrategia es un enfoque basado en la inteligencia, enfocado en la amenaza para la

mitigación de ataques de APT. La teoría es que, al estudiar los métodos del atacante e
identificando los indicadores clave, la empresa puede detectar y mitigar ataques futuros.
Para comprender la estructura y las etapas de un ataque, Lockheed Martin desarrolló el

concepto de una “cadena de muerte” cibernética (ver figura 8). La cadena de muerte es la
secuencia de actividades que un intruso lleva a cabo para realizar un ataque APT. En esencia,
es su versión del ciclo de ataque de APT descrito en el capítulo 1.
Los expertos de Lockheed Martin defienden el compartir a través de la comunidad de

seguridad los indicadores reconocidos de compromiso identificados en ataques previos, para
exponer las técnicas, tácticas y procedimientos usados por un atacante.
Un indicador es una pieza de información que describe objetivamente una intrusión.

El concepto se basa en la asunción de que muchos aspectos de un APT, tales como las
direcciones IP, exploits, y código malintencionado, probablemente serán utilizados en ataques
futuros. Una vez que la cadena de muerte completa ha sido comprendida, detectar un solo
aspecto de un ataque puede ser suficiente para identificar y mitigar otros aspectos del ataque.
Este concepto se puede aplicar al ciclo de ataque de APT descrito en el capítulo 1, para
identificar oportunidades para prevenir, detectar o interrumpir el ataque. La figura 9 establece
cómo puede funcionar este enfoque. Se pretende que las entradas sean ilustrativas, más que
definitivas y completas.

08
La “cadena de
Figura
muerte” de
Lockheed Martin
Reconocimiento Armamento
Investigación, identificación Acoplamiento de un troyano
y selección de objetivos, p. de acceso remoto con un
ej., rastreando sitios web exploit en una carga útil
de internet entregable
Entrega Explotación
Transmisión al entorno Después de la entrega, el
objetivo, usualmente, a accionamiento del código
través de archivos adjuntos de los intrusos
de correo electrónico, sitios
web o medios USB extraíbles
Instalación Comando y control

Comunicación establecida
Instalación de un troyano por los hosts prometidos
de acceso remoto o puerta con un servidor controlador
trasera para permitir el de internet
acceso futuro
Acciones sobre los objetivos

Acción tomada por los
intrusos para lograr sus
objetivos, comúnmente el
robo de datos o el acceso a
otros sistemas

09
Figura
Oportunidades en el
ciclo de ataque de APT
Etapas del Ayudas de APT Respuesta de APT

Ciclo de ataque Medidas preventivas Detección Acción
Selección de objetivos Evitar la publicidad Capacitar al personal Pedir consejo a las
e investigación innecesaria para para informar sobre agencias de seguridad
investigaciones secretas, averiguaciones nacional cuando
desarrollo de productos sospechosas o las indicaciones de
o negociaciones anormales. planificación del ataque
contractuales. sean detectadas.
Informar al personal
Evitar la publicación de encargado de las
detalles de contactos estadísticas web para
personales del personal identificar los signos de
clave que podría ser investigación de ataque.
blanco de los actores
de APT.
Entrar en el objetivo Capacitar al personal Mantener actualizados Enlistar la asistencia de
para estar alerta de los sistemas anti proveedores de servicios
correos electrónicos malware y de detección de TI y seguridad.
sospechosos. de intrusiones (IDS),
preferentemente Obtener soporte de una
Explorar continuamente incorporando una consultoría especializada
las plataformas habilidad heurística, y con experiencia en la
accesibles desde estadística o de gestión de ataques de
internet en busca de comportamiento. APT.
vulnerabilidades.
Instalar un sistema de
prevención de intrusiones
(IPS).
Usar una simulación en

entorno de pruebas para
identificar programas
maliciosos entrantes.
Mando y control Garantizar que la red Registrar e inspeccionar Bloquear los comandos
tenga la segregación el tráfico del servidores y protocolos de control
adecuada de zonas de nombres de dominio identificados.
críticas. (DNS).
Bloquear todo el
Explorar el tráfico de tráfico saliente en el
redes entrante en busca perímetro, excepto aquel
de protocolos de mando explícitamente requerido
y control conocidos y para soportar el negocio.
patrones API.

09
Oportunidades en el
Figura
ciclo de ataque de APT

(continuación)
Etapas del Ayudas de APT Respuesta de APT

Ciclo de ataque Medidas preventivas Detección Acción
Descubrimiento del Implementación de Examinar los registros Reforzar los controles de
objetivo políticas estrictas de de auditoría en seguridad de redes (por
seguridad de redes para busca de evidencia ejemplo, cerrar puertos no
limitar el acceso a los de exploraciones y usados).
servidores críticos. navegación sospechosa.
Revisar los registros de
Establecer una capacidad auditoría para establecer
de vigilancia de red el alcance de la intrusión.
interna (por ejemplo,
un sistema interno de
detección de intrusos,
IDS).
Establecer un honeypot
para atraer al atacante.
Exfiltración de datos Configurar la red para Investigar las Bloquear transferencias
prevenir la exfiltración de transferencias de datos de datos no autorizadas a
datos de los servidores sospechosas (por locaciones desconocidas.
críticos. ejemplo, fuera de horarios
regulares).
Instalar un sistema de
prevención de fugas de
datos (DLP).
Diseminación y Garantizar que los Buscar signos de Consultar a las agencias
explotación de secretos comerciales explotación, tales como de seguridad nacional por
inteligencia. tengan protección legal. fallas inesperadas al ayuda.
conseguir contratos o
anuncios de productos
rivales con similitudes
a los diseños de la
compañía.
3.5 Signos que delatan un ataque de APT

La naturaleza oculta de los ataques de APT hace de su detección una tarea difícil, la cual se
refleja en el gran número de intrusiones que no han sido detectadas durante meses o años
en las empresas, aún aquellas con funciones de seguridad experimentadas. Sin embargo, al
adoptar medidas adicionales recomendadas en este capítulo, es ciertamente posible identificar
un ataque antes de que surja algún posible daño mayor al negocio.
Las capacidades clave para detectar un ataque de APT pueden resumirse de la siguiente manera:
•Comprender qué se está buscando.
•Saber dónde (y cuándo) buscar.
•Tener la capacidad de diferenciar la actividad de APT del comportamiento normal.

•Tener acceso a las habilidades y herramientas necesarias para detectar y aislar software de
APT malintencionado.
Estos requerimientos se examinan a detalle en el resto de este capítulo. Al igual que en los
capítulos anteriores, habrá un útil resumen de los puntos de aprendizaje al final.
El concepto de cadena de muerte es elegante y provee un enfoque útil estructurado para buscar
indicios de un ataque de APT y comprender dónde buscar signos de actividad adicionales.
Es probable que un ataque de APT profesional investigue las debilidades y reúna información
a través de una cantidad de canales de comunicación, incluyendo llamadas telefónicas
y correos fraudulentos, así como cualquier plataforma y dispositivo de cara al exterior.
Aunque son diseñados para ser indetectables, siempre existen posibles signos de un intento o
intromisión actual.
De la misma forma que alguien en casa podría descubrir la presencia de una plaga a través
de restos delatores de desechos o artículos perdidos, dañados o afectados, así las empresas
pueden desarrollar la capacidad de ubicar un ataque de APT a través de los indicadores de
compromiso en el comportamiento, el desempeño o la configuración de los sistemas, procesos
e infraestructura circundante.
En algunos casos, esto puede hacerse a través de indicadores físicos, tales como comunicaciones
sospechosas. En otros casos, puede lograrse a través de chequeos automatizados, por ejemplo,
en el tráfico de redes entrante y saliente. Pero para estar absolutamente seguros, será necesario
llevar a cabo un nivel de análisis experto en los registros de auditoría, información almacenada,
comunicaciones y actividad de memoria de los ordenadores.
Todo el personal de la organización necesitará ser informado y alentado a estar alerta e

informar sobre indicadores de comportamiento sospechosos, especialmente en los momentos en
los que existe un riesgo identificado o en ubicaciones en las que hay una amenaza en aumento.
Las preocupaciones sobre el espionaje han sido tradicionalmente evaluaciones muy

resguardadas. Sin embargo, el riesgo ahora se ha incrementado a un nivel donde cualquier
preocupación sobre la “necesidad de saber” de los empleados está por mucho, sobrepasada
por la necesidad de involucrar los ojos y oídos de la mayor cantidad posible de personal a lo
largo de la empresa.
Debe establecerse un procedimiento claramente identificado para informar sobre todos estos
incidentes, y es recomendable que la empresa adopte una política de “sobreinformación
prudente”, alentando al personal a informar sobre cualquier evento que levante sospechas.
Comportamiento sospechoso
A continuación, algunos ejemplos de comportamiento sospechoso o actividad de redes que
vale la pena investigar.

Comportamiento humano
Los indicadores de alerta temprana de posibles ataques de APT pueden incluir:
• Llamadas telefónicas poco usuales a asistentes personales o personal de ventas,
especialmente peticiones de detalles de contacto no publicados, tales como direcciones de
correo electrónico.
• Correos electrónicos de fuentes desconocidas que contienen archivos adjuntos o vínculos.
• Correo electrónico que no parece ser genuinamente de conocidos.
Actividad de la red
Algunos factores relacionados con los ataques de APT incluyen los siguientes cambios:
• Aumentos repentinos del tráfico de redes, especialmente transferencias fuera de límites.
• Patrones inusuales de actividad, tales como grandes transferencias de datos fuera de horarios
normales de oficina o hacia ubicaciones desconocidas.
• Consultas repetidas a nombres DNS dinámicos.
• Búsquedas inusuales de directorios y archivos de interés para un atacante, por ejemplo,
búsquedas de repositorios de códigos fuente.
• Grandes archivos no reconocidos destinados hacia el exterior que han sido comprimidos,
cifrados o protegidos con contraseñas.
• Detección de comunicaciones de/hacia direcciones IP falsas.
• Presencia de software con características contra el desmontaje o la depuración.
• Accesos externos que no utilizan los proxys locales.
• Solicitudes externas que contienen llamadas de interfaz de programación de aplicaciones
(API).
• Cambios inexplicados en la configuración de plataformas, routers o cortafuegos.
• Aumento del volumen de eventos/alertas IDS.
Los ataques APT generalmente intentan no dejar ninguna señal identificable. Existen,
sin embargo, patrones de actividad que son difíciles de variar para el atacante, como los
protocolos programados previamente que usa el software malintencionado para conectarse
con un servidor remoto de mando y control.
3.6 Momentos en los que se justifica una alerta extrema

Se debe alentar un estado de alerta intensificado en momentos en los que existe un alto riesgo
de ataque. A continuación, ejemplos de dichos momentos.
Después de la publicidad
Cualquier publicidad acerca de un invento o desarrollo de producto innovador en, por
ejemplo, un periódico o revista de negocios, tiene probabilidades de llamar la atención de
ministerios de gobierno responsables de promover la competitividad de sus industrias, quizás
alentando a un ejercicio de acopio de inteligencia para robar secretos comerciales.
Al entrar a nuevos mercados

Es probable que exista un riesgo más alto de un ataque de espionaje cuando la compañía
entra a un nuevo mercado en un país con una conocida capacidad de agresión de APT,

como cuando se lanza en algunos países una variedad nueva de productos que compiten
directamente con una empresa propiedad del estado.
Al negociar contratos mayores

Una de las presas rápidas de los ciberataques es la obtención de información de avance sobre
las estrategias de negociación u ofertas competitivas para contratos comerciales mayores. Es
muy probable que este riesgo sea particularmente alto cuando la empresa está negociando
un trato o pujando en contra de una empresa que podría ser la beneficiaria de inteligencia
gubernamental, como una organización propiedad del estado.
Después de una vulnerabilidad identificada

La organización debe asumir un estado alto de alerta después de la identificación de cualquier
vulnerabilidad mayor en una aplicación o plataforma que esté siendo ampliamente utilizada,
porque esto puede impulsar intentos oportunistas de explotar la debilidad.

Este capítulo examinó la variedad de medidas de seguridad que pueden aplicarse para mitigar
el riesgo de un ataque de APT: Este es un breve resumen de los puntos de aprendizaje que se
deben considerar:
• Las medidas de seguridad existentes que se encuentran en las empresas contemporáneas rara
vez son suficientes para prevenir un ataque de APT. La mayor parte de las violaciones son
descubiertas por una parte externa.
• No existe una sola contramedida adicional que pueda garantizar la prevención, detección o
erradicación de una infección por APT. Se requiere un enfoque holístico.
• Combatir un ataque de APT requiere de habilidades especializadas, creatividad e
improvisación, no únicamente políticas, controles y productos.
• Las organizaciones tienen muchas debilidades de seguridad que las vuelven vulnerables
a ataques de APT, pero ninguno de éstos es perfecto. Un analista experimentado y bien
equipado, eventualmente detectará y erradicará la infección.
• Las medidas clave de seguridad necesarias para mitigar un ataque de APT son la gestión
de activos, la evaluación de riesgo y respuesta coordinadas, la aplicación del principio de
menor privilegio, la buena segregación de redes, la gestión de vulnerabilidad actualizada y
la educación del usuario enfocada.
• Se encuentra disponible una amplia variedad de tecnologías de seguridad y pueden ser
extremadamente efectivas en ayudar a prevenir o detectar ataques de APT. Se describen
detalladamente en el capítulo 4.
• La cadena de muerte es la secuencia de actividades realizadas por un atacante para llevar
a cabo un ataque de APT. Se puede detener la intrusión al comprender, detectar y/o
interrumpir estas actividades.
• El personal debe ser instruido para informar sobre cualquier comportamiento sospechoso
o actividad de red que pueda indicar que un ataque de APT está siendo organizado o
planificado.
• La organización debe estar en un estado elevado de alerta cuando puede existir un mayor
riesgo de ataque, por ejemplo, después de publicitar un producto nuevo, al entrar a
nuevos mercados, al negociar contratos mayores o inmediatamente después de que una
vulnerabilidad identificada sale a la luz.

Esta página se dejó intencionalmente en blanco

Capítulo 4. Medidas de seguridad tecnológicas para mitigar los ataques de una APT
4. Medidas de la tecnología de
seguridad para mitigar los
ataques de APT
4.1 Visión general
Este capítulo aborda la amplia variedad de tecnologías de seguridad o procesos técnicos
que pueden emplear las empresas para ayudar a la prevención y detección de ataques de
APT. Cubre las medidas básicas, como los sistemas antivirus y cortafuegos, así como las
tecnologías y técnicas de seguridad más avanzadas, como informática confiable y el ciclo
de vida de desarrollo de seguridad, que se encuentran solo en un pequeño número de las
principales empresas. Sin embargo, se espera que con el tiempo cada vez más organizaciones
adopten estas medidas avanzadas.
4.2 ¿Cuánta seguridad es necesaria?

¿Cuánta seguridad se necesita realmente para evitar un ataque de APT o, al menos, para
detectarlo exitosamente y cerrarlo lo antes posible? La verdadera respuesta es “tanta como
se pueda pagar y justificar”, aunque este no es un prospecto factible para cualquier empresa
de negocios que busque mantener los costos bajos. Sin embargo, la verdad es que eliminar
el riesgo de APT requiere niveles de seguridad, tecnología, gestión, educación, habilidades y
vigilancia que sobrepasan en mucho las demandas del cumplimiento de las regulaciones y la
gestión de seguridad informática de todos los días.
Para poner esto en un contexto más práctico, ayuda considerar las medidas de seguridad en
niveles de efectividad en aumento que correspondan con el riesgo percibido y las capacidades
de protección. Desafortunadamente, es un hecho ineludible que hay una correlación clara
entre el nivel de seguridad provista y el coste, la dificultad y el tiempo que se requiere para
alcanzarlo. En las palabras del profesor Fred Piper, un respetado experto en ciberseguridad,
“si no es difícil, entonces no es seguro”.
Aquí es donde la gestión de riesgos puede ayudar, aunque es importante realizar una
evaluación de riesgos de APT coordinada en toda la empresa para asegurar que se pueda
apreciar completamente el impacto colectivo para el negocio de una intrusión y la respuesta
coordinada necesaria como un solo programa de mitigación.
La figura 10 ilustra los distintos niveles de medidas de seguridad que se pueden considerar,
abarcando desde las medidas de seguridad básica que se pueden encontrar en cualquier
empresa prudente, hasta las soluciones más avanzadas a largo plazo, todas las cuales son
practicables y están demostradas, aunque rara vez se encuentran, incluso en los departamentos
del gobierno y en compañías de Fortune 500.

10
Niveles de las
Figura
contramedidas de
seguridad
Medidas básicas de tecnología de seguridad

Antivirus, detección de intrusos, cortafuegos (firewalls), pruebas
de penetración, autenticación sólida
Medidas avanzadas de tecnología de seguridad

Prevención de intrusos, prevención de fugas de datos, escaneo de vulnerabilidades,
simulación de sandbox, monitoreo de actividad de base de datos, pruebas de
seguridad de aplicaciones
Contramedidas específicas para APT

Inspección profunda de paquetes, coincidencias de patrones de comunicaciones,
monitoreo de la integridad de archivos, gestión de la configuración de seguridad,
información de seguridad y gestión de eventos
Mejores prácticas de seguridad disponibles

Informática de confianza, inspecciones forenses, listas blancas de aplicaciones,
honeypots, ciclo de vida del desarrollo de sistemas
Cada uno de estos niveles se explican con más detalle en los siguientes párrafos: Se pretende
que los cuatro niveles sean indicativos, no absolutos. Por ejemplo, es posible encontrar
pequeñas empresas con mucha lucidez que aplican el ciclo de vida de desarrollo de seguridad
y grandes empresas que no implementan una gestión de vulnerabilidades efectiva.
4.3 Medidas básicas de seguridad

Las siguientes medidas de seguridad son absolutamente el mínimo requerido para
proteger una empresa típica de las amenazas de seguridad diarias. Estos son los bloques
de construcción fundamentales para desarrollar una infraestructura segura pero, por ellos
mismos, serían insuficientes para prevenir o detectar un ataque de APT sofisticado que
emplee una explotación de día cero.
Sistemas antivirus
Los sistemas antivirus requieren poca presentación; todos los usuarios de ordenadores
deberían conocerlos. Lo que tiene más importancia es apreciar las distintas estrategias y
técnicas empleadas por estos sistemas y reconocer sus fortalezas y debilidades respectivas.

Los sistemas antivirus generalmente son defensas de software usadas ampliamente para
prevenir, detectar y eliminar muchas categorías de malware, incluyendo virus informáticos,
gusanos, troyanos, keyloggers, plug-ins maliciosos de los exploradores, adware y spyware. Se
pueden utilizar varios enfoques. Particularmente, una o ambas de las siguientes estrategias se
usan generalmente.
• La detección basada en firmas se basa en el escaneo de los archivos entrantes o salientes
para detectar patrones maliciosos conocidos de datos con código ejecutable. La limitación
es clara: Las nuevas formas de malware no se pueden detectar con este enfoque. Otro
factor limitante es el crecimiento continuo de nuevos patrones de malware, lo que exige un
mayor nivel de esfuerzo para identificar las firmas.
• Una estrategia alternativa es emplear un enfoque heurístico (basado en la experiencia),
como inspeccionar las características y el comportamiento de un archivo ejecutable con
señales reconocidas que lo asocian con malware. Este enfoque tiene la ventaja de poder
detectar nuevas formas de ataque, pero también es probable que arroje reportes espurios de
falsos positivos.
El factor más importante para administrar los sistemas antivirus (así como cualquier otro
sistema de detección o prevención basado en firmas) es asegurarse de que se implementen las
versiones y firmas más recientes tan pronto como estén disponibles.
Sistemas de detección de intrusiones

Un sistema de detección de intrusiones (IDS) es un dispositivo de hardware o un sistema de
software que monitoriza continuamente el tráfico de la red para detectar actividad maliciosa
reconocida o violaciones a la política de seguridad. Los sistemas de IDS inspeccionan las
comunicaciones en la red y registran información relacionada con los eventos de seguridad,
notifican a los administradores en tiempo real sobre eventos de categorías importantes o
cuando se superan los límites programados previamente. El tráfico en la red se examina
comparándolo con patrones identificados o heurística asociada con ataques informáticos
comunes. Esto se puede basar en firmas de ataques predefinidas, patrones de ataque
establecidos o análisis estadísticos de comportamientos normales y anormales.
Los sistemas de detección de intrusiones frecuentemente se combinan con cortafuegos y

sistemas antivirus en aplicaciones de seguridad de propósito general.
Cortafuegos (firewalls)
Los cortafuegos los utilizan todos los usuarios prudentes de ordenadores. Un cortafuegos
es una tecnología basada en software o hardware que busca controlar el tráfico entrante y
saliente en la red analizando los encabezados de los paquetes de datos en transmisión, y
determinando si deben ser aceptados o rechazados de acuerdo con un conjunto de reglas y
políticas de seguridad programado.
Las empresas suelen usar cortafuegos de estados, que pueden llevar un registro del estado
de una conexión de red y hacer un escrutinio del tráfico de la red dentro de ese contexto.

Los cortafuegos de estado pueden filtrar paquetes de datos de acuerdo con sus direcciones de
origen y destino, números de puerto y protocolos, así como la etapa actual que ha alcanzado
la conexión (por ejemplo, inicio, transferencia de datos o finalización).
Los cortafuegos a nivel de aplicación tienen capacidades de filtrado adicionales. Pueden

examinar conexiones a procesos específicos de acuerdo con un conjunto de reglas más
complejo, y pueden distinguir entre usos alternativos del mismo protocolo.
Pruebas de intrusión
Una prueba de intrusión es un proceso para evaluar la efectividad de las medidas de
seguridad que protegen la infraestructura de una red mediante una combinación de pruebas
diseñada para simular un ataque de un atacante externo que busca tener acceso o un atacante
interno que pretende escalar sus derechos de acceso permitidos.
La mayoría de las empresas sensibles a la seguridad realizan pruebas de intrusión

regularmente, ya sea para demostrar la efectividad de las medidas de seguridad existentes
o para ofrecer evidencia convincente de la necesidad de hacer mejoras en la seguridad.
En muchos casos, las demandas de cumplimiento regulatorio son una de las principales
motivaciones para realizar pruebas de intrusión.
Cabe señalar que estas pruebas no mejoran la seguridad por sí mismas. De hecho, es
posible que incluso hayan aumentado el riesgo, ya que han resaltado las vulnerabilidades
identificadas a una comunidad más amplia. Sin embargo, sí ofrecen una hoja de ruta de las
mejoras de seguridad necesarias, lo que debe considerarse como una parte fundamental de
una gestión de vulnerabilidades robusta.
Autenticación fuerte
La autenticación fuerte ahora es una práctica estándar de la industria para la mayoría de
las comunicaciones comerciales remotas, aunque aún debe reemplazar completamente la
seguridad basada en contraseñas para las conexiones internas a los sistemas de información.
Sin embargo, la mayoría de las empresas grandes están progresivamente reemplazando los
mecanismos tradicionales basados en contraseñas por mecanismos de inicio de sesión único
(SSO) basados en tarjetas inteligentes o autenticación basada en token.
El principio fundamental detrás de la autenticación fuerte es que se basa en más aspectos que
solo un secreto compartido, como una contraseña. Es un control de autenticación multifactor
que emplea un mecanismo adicional, como un token físico, tarjeta inteligente o atributo
biométrico (como una huella dactilar).
Cualquiera que sea la solución empleada, el punto importante es que una medida de
autenticación basada en software no es suficiente por sí misma para evitar un ataque APT.
Los mecanismos basados en hardware que se basan en una criptografía fuerte y en un
almacenaje resistente a manipulaciones, ahora son un requerimiento obligatorio para
empresas con riesgo de sufrir un ataque APT.

4.4 Medidas de seguridad avanzadas

Las medidas de seguridad avanzadas están un paso más allá de las medidas básicas descritas
en la sección anterior. Son el tipo de prácticas que se pueden encontrar en las empresas más
grandes con funciones de seguridad más maduras. Implementar varias medidas de seguridad
puede aumentar el costo de un ataque hasta un punto en el que ya no es rentable para los
atacantes, lo que podría forzarlos a redirigir el ataque a otros objetivos.
Prevención de intrusiones
Los sistemas de prevención de intrusiones (IPS) tienen un concepto similar a los sistemas de
detección de intrusiones, pero van un paso adelante, ya que buscan supervisar las actividades
del sistema así como el tráfico en la red para detectar actividades maliciosas. La tecnología
IPS puede colocarse dentro de la red o instalarse en una máquina host. También está diseñado
para bloquear a cualquier intrusión que se detecte, aunque existe el riesgo de que se bloquee
el tráfico del negocio legítimo si se identifica erróneamente como una coincidencia de falso
positivo.
Los productos IPS pueden operar basándose en firmas reconocidas de tráfico malicioso
mediante un análisis estadístico o de comportamiento del tráfico y los protocolos de
comunicaciones.
Prevención de fuga de datos

El fin último de muchos ataques APT es la eliminación de datos confidenciales. Colocar
bloqueos o restricciones para evitar que el malware exporte archivos de datos es una defensa
esencial para mitigar el riesgo de robo de datos o espionaje.
La prevención de fuga de datos (DLP) es una tecnología de seguridad diseñada para detectar
y bloquear potenciales brechas de datos, tales como las transmisiones salientes de datos
confidenciales. Los dispositivos de DLP usan una variedad de técnicas para identificar
la información confidencial o sensible, incluyendo búsquedas de contenido previamente
registradas o palabras clave, así como un análisis estadístico del tráfico saliente.
El DLP no es una tecnología que sea trivial implementar, ya que implica una planificación y
administración significativas. Sin embargo, es muy efectivo cuando se usa selectivamente, por
ejemplo, en el sector financiero para ayudar a mantener una separación entre operadores con
conflictos de interés o aquellos que operan en distintas jurisdicciones.
Escaneo de vulnerabilidades
Un escáner de vulnerabilidades es un sistema de software diseñado para evaluar los
ordenadores conectados a la red, redes o aplicaciones para determinar las debilidades de
seguridad basadas en bases de datos actualizadas de fallas conocidas.
Muchos productos de escaneo de vulnerabilidades están diseñados principalmente para apoyar

a los profesionales de la seguridad a realizar pruebas de intrusión en las infraestructuras de
la empresa. Sin embargo, algunos están diseñados y destinados para un uso general por parte

de los administradores de seguridad o usuarios de ordenadores para escanear sus plataformas

y aplicaciones para detectar vulnerabilidades de seguridad, configuraciones incorrectas y
versiones desactualizadas de software.
El punto más importante que se debe considerar es que la necesidad de un escaneo de

vulnerabilidad ha evolucionado desde un requerimiento prudente de revisiones periódicas a
una urgencia por escaneos continuos (o al menos diarios).
No se espera que un escaneo de vulnerabilidades evite que un ataque de día-cero penetre

en la infraestructura de la empresa, pero ayudará a detener los ataques basados en exploits
conocidos y ayudará a reducir el impacto potencial de cualquier ataque que logre eludir las
defensas del perímetro.
Simulación en entorno de pruebas

El código malicioso diseñado para activar infecciones frecuentemente se puede detectar
ejecutando un código entrante en un entorno seguro (llamado entorno de pruebas) para
estudiar su comportamiento antes de permitir que penetre en la infraestructura de la empresa.
Las tecnologías de seguridad contemporáneas basadas en entornos de prueba pueden evaluar
archivos potencialmente maliciosos, incluyendo código ejecutable y documentos de oficina
en tiempo real. Los adjuntos en correo electrónico pueden explotarse y ejecutarse en una
selección de entornos virtuales, y se puede examinar su comportamiento para detectar una
actividad potencialmente maliciosa.
Los dispositivos de seguridad suelen combinar esta función con otras tecnologías de escaneo de
seguridad, como la inspección profunda de paquetes y la detección o prevención de intrusiones.
Aunque es una buena práctica, puede ser vencida por un malware avanzado que contenga
código para la detección de entornos de prueba que pueda ocultar al malware en un análisis.
Supervisión de actividad de la base de datos

La supervisión de actividad de la base de datos (DAM) es una tecnología que permite que el
acceso a las bases de datos sea controlado, monitorizado y registrado de forma independiente
al software de gestión de la base de datos. La tecnología DAM puede operar a través de
varios sistemas de gestión de bases de datos, correlacionando eventos y actividad de los
usuarios, aplicando políticas de segregación de tareas y generando alertas ante violaciones de
la política de seguridad.
Los sistemas DAM emplean una serie de métodos para detectar la actividad de la base
de datos, incluyendo una supervisión de la red de la actividad de SQL y el análisis de las
tablas, registros y la memoria de la base de datos. Pueden generar alertas basadas en reglas
predefinidas o comparando la actividad del usuario con perfiles de comportamiento normal.
La tecnología DAM es ampliamente utilizada para hacer cumplir los requerimientos de

cumplimiento normativo, pero también es efectiva para ayudar a prevenir, detectar y
responder a ataques APT. Particularmente, puede destacar la actividad inusual de lectura o
actualización de la base de datos, bloquear ataques de inyección de SQL y monitorizar los
ataques a la base de datos en tiempo real.

Pruebas de seguridad de las aplicaciones

Las pruebas de seguridad de las aplicaciones son un concepto similar al de las pruebas
de intrusión, pero operan a un nivel más alto en la pila de protocolos de comunicaciones.
Esencialmente, buscan explotar las vulnerabilidades en el código fuente o aquellas creadas
por versiones de software sin parchear o desactualizadas. Idealmente, las pruebas de
seguridad deben comenzar al inicio del ciclo de desarrollo, aunque tales iniciativas son
sorprendentemente inusuales.
Las pruebas de seguridad de las aplicaciones se llevan a cabo de una mejor manera con una
combinación de herramientas de escaneo automatizado con pruebas manuales e inspecciones
del código fuente. Progresivamente, se está volviendo la norma para los sistemas con
conexión a Internet, pero aún está lejos de convertirse en un proceso habitual para el negocio
para los desarrolladores de sistemas que, a menudo, están bajo la presión de alcanzar
objetivos ambiciosos para la implementación de sistemas.
4.5 Contramedidas específicas para APT

Las siguientes medidas de seguridad han demostrado ser exitosas para ayudar a prevenir
o detectar ataques APT y se recomiendan como dignas de consideración para todas las
empresas que se enfrentan a una amenaza APT identificada.
Inspección profunda de paquetes

La inspección profunda de paquetes (DPI) es una tecnología de seguridad que inspecciona
el contenido de los datos de una comunicación entrante o saliente con criterios predefinidos,
buscando software malicioso, intentos de intrusiones o contenido indeseable. Los dispositivos
DPI pueden reportar, redirigir o bloquear las comunicaciones en la red. Muchos son capaces
de analizar flujos acumulados de paquetes en la red, en lugar de solo realizar una inspección
paquete por paquete. El DPI puede usarse para evaluar el tráfico de la red con listas negras de
amenazas conocidas o con listas blancas de protocolos y contenidos permitidos.
Los cortafuegos no pueden por sí mismos lograr esto porque generalmente solo son capaces
de examinar el encabezado de los paquetes de datos transmitidos. Muchos dispositivos de
DPI combinan la funcionalidad de un sistema de detección y prevención de intrusiones
con un cortafuegos tradicional. Pueden desplegarse de manera no intrusiva, realizando
una inspección de solo lectura del tráfico de la red, correlacionando eventos de interés de
seguridad y reportando anomalías según reglas programadas previamente.
Como muchos archivos maliciosos están comprimidos o cifrados para evitar la detección, es
importante emplear tecnología que tenga la capacidad de decodificar tales comunicaciones.
Coincidencia de patrones de comunicaciones

Una debilidad en varios ataques APT es el uso de firmas identificables en las comunicaciones.
Por ejemplo, un análisis simple de rutas de URL dentro del tráfico de la red frecuentemente
puede detectar malware plantado que envía mensajes intermitentes a un comando remoto y
servidor de control.

Aunque los ataques APT emplean una variedad de servidores remotos diferentes,
generalmente se comunican usando protocolos consistentes, direcciones destino y
encabezados, los cuales pueden detectarse rápidamente con un escaneo simple una vez
que el malware ha sido analizado profesionalmente y se han identificado los métodos de
comunicación. El troyano de acceso remoto usado en los ataques de GhostNet, por ejemplo,
produjo un tráfico identificable en la red, comenzando con un encabezado “Gh0st”.
El malware frecuentemente usa direcciones IP falsas (a las que se les conoce como “bogons”
o “marcianos”) que se pueden identificar comparándolos con listas publicadas por la Internet
Assigned Numbers Authority (IANA).
Otra ayuda para la detección es el hecho de que el malware no considerará los proxy locales
que se usan para tener acceso a sitios externos. Cualquier intento de tener acceso a sitios
web sin usar el proxy correcto son indicadores potenciales de la presencia de malware APT.
Tal tráfico puede dirigirse a través de un router de “agujero negro” usado como punto de
recolección para el tráfico de la red rechazado.
El malware está diseñado para resistir el análisis usando una amplia variedad de técnicas para
evitar la depuración, el desensamblado y la ingeniería inversa. El software genuino rara vez
emplea estas medidas, así que puede emplearse un escaneo simple para detectar indicaciones
de tales medidas para detectar ataques APT con una tasa de éxito relativamente alta.
Muchos troyanos de acceso remoto usados en ataques APT usan puertos HTTP o HTTPS
para la comunicación remota porque, generalmente, estos puertos están abiertos en la mayoría
de los cortafuegos. Monitorizar el tráfico que no usa HTTP en estos puertos, especialmente
las solicitudes remotas que usan llamadas mediante una interfaz de programación de
aplicaciones (API), también pueden ayudar a identificar un potencial ataque de ATP, aunque
es probable que filtrar con estos criterios generales genere alertas para una gran cantidad de
tráfico empresarial legítimo.
Muchas comunicaciones con servidores de comando y control remotos incluyen solicitudes de

longitud fija a intervalos especificados que se “mantienen vivas”, las cuales pueden detectarse
monitorizando solicitudes repetidas en intervalos fijos, aunque es posible que este tipo de
análisis arroje una gran cantidad de correspondencias de falsos positivos ficticios.
Una comparación de los certificados digitales SSL con certificados sospechosos o maliciosos
conocidos también puede ser efectiva para identificar ataques APT. Comparar el certificado
digital con los que se sabe que han sido utilizados en ataques anteriores es un buen punto de
inicio porque frecuentemente éstos se reutilizan en ataques futuros contra nuevas víctimas.
Otros certificados SSL pueden marcarse como sospechosos, permitiendo así una investigación
adicional, si parecen usar ajustes predeterminados y valores aleatorios o vacíos en los campos
del certificado.

El análisis del tráfico saliente para identificar una fuga no autorizada de datos de la empresa
es una actividad útil, aunque consume mucho tiempo. Las comunicaciones obvias que se
deben buscar son aquellas que contienen archivos grandes comprimidos y encriptados, como
archivos .RAR, aunque algunos ataques APT han usado transferencias pequeñas de datos para
evitar la detección.
La clave para una detección exitosa de ataques de APT mediante la supervisión de la red es
adoptar una estrategia de “información excesiva prudente”, reconociendo que habrá muchas
alertas de falsos positivos e investigaciones no concluyentes antes de que se detecte un ataque
genuino. La paciencia, vigilancia y voluntad para invertir recursos en una supervisión basada
en inteligencia son las claves para una detección efectiva APT, apoyándose en una tecnología
eficiente y administradores capacitados.
Supervisión de la integridad de los archivos

La supervisión de la integridad de los archivos (FIM) es una tecnología de seguridad que
monitoriza y confirma la integridad de los archivos clave usados por los sistemas operativos
o sistemas de información. Opera calculando una suma de verificación criptográfica en cada
archivo y recalculándolo regularmente para detectar cualquier cambio no autorizado que pueda
haber ocurrido, el cual puede indicar una infección por un ataque APT. El concepto de esta
tecnología fue creado por primera vez por Tripwire, un producto de código abierto desarrollado
a principios de la década de 1990 que ahora es una tecnología de seguridad comercial.
Monitorizar la integridad de las bases de datos es especialmente importante para asegurar su

idoneidad para un uso comercial. Los ataques que tienen como objetivo cambiar la integridad
de los sistemas de información de la empresa pueden representar el riesgo más alto para los
sistemas de información y pueden causar daños irreversibles a los procesos de negocio.
Gestión de la configuración de seguridad

La supervisión de la integridad de los archivos puede considerarse un subconjunto de un tema
más amplio que busca garantizar la gestión de la configuración de seguridad. Mantener la
integridad de los sistemas de información quizás representa el fin último para asegurar que
los procesos de negocio no se vean afectados por cualquier intento de alterar su contenido.
Idealmente, todos los servidores, bases de datos y dispositivos cliente, así como los sistemas
de respaldo y recuperación deben monitorizarse continuamente para identificar cambios
no autorizados. La gestión de la configuración de seguridad es un proceso más amplio de
extremo a extremo que busca asegurar la integridad de las configuraciones de seguridad de la
plataforma y de los sistemas de información a los que soportan.
Están surgiendo tecnologías de seguridad que pueden escanear continuamente las plataformas
de la empresa, analizando los cambios en miles de atributos e informando sobre cualquier
cambio que parezca indicar la presencia de un ataque APT. Es probable que estas tecnologías
generen una serie de informes de falsos positivos, pero aumentarán significativamente la
probabilidad de detectar y responder a una intrusión en tiempo real.

Se espera que la necesidad de esta tecnología crezca en importancia con el tiempo conforme
las amenazas APT se vuelvan más dañinas para los procesos de negocio diarios.
Información de seguridad y gestión de eventos

La tecnología de información de seguridad y gestión de eventos (SIEM) permite analizar
y gestionar las alertas de seguridad generadas por los sistemas de aplicación, plataformas
y dispositivos de red. Esta tecnología ofrece una variedad de funciones, incluyendo la
supervisión y la correlación de eventos, así como notificaciones de alertas de seguridad. Sin
embargo, su función principal es servir como un punto central para la recolección, almacenaje
y análisis de eventos relacionados con la seguridad en toda la infraestructura de una empresa.
Los sistemas SIEM ofrecen una poderosa capacidad para ver las actividades y los eventos
del sistema, pero requieren de un equipo de recursos de seguridad capacitados para analizar
y responder a la información reportada. Esta tecnología ofrece una base excelente para un
centro de operaciones de seguridad (SOC).
Además de los SIEM, hay una creciente familia de herramientas de código abierto que está
surgiendo de la comunidad formada por los equipos de respuesta ante emergencias para
ayudar a analizar y responder a posibles indicadores de un ataque APT. Por ejemplo, la
plataforma AbuseHelper ayuda a rastrear, eliminar duplicados y automatizar la respuesta a
un ataque. El marco de inteligencia colectiva es un sistema de gestión de inteligencia para
ciberamenazas que permite que los equipos de respuesta a incidentes de seguridad informática
(CSIRT) combinen y almacenen información de amenazas maliciosas de varias fuentes, y que
la usen para identificar, detectar y mitigar posibles ataques.
4.6 Mejores prácticas de seguridad disponibles

La categoría final de tecnologías y procesos técnicos son aquellos que representan las mejores
prácticas de seguridad disponibles, sin embargo, es raro verlos, generalmente porque
son difíciles de vender a los propietarios de aplicaciones de negocio o porque son inversiones
a un plazo más largo que demandan un control estricto de los planes de desarrollo y la
arquitectura técnica.
Informática confiable
La informática confiable (TC) es una tecnología basada en un conjunto de estándares
abiertos desarrollados por el Grupo para la Informática Fiable, una alianza de los principales
vendedores que incluye a HP, IBM, Microsoft e Intel. La tecnología explota un monitor
de referencia seguro incrustado en un chip a prueba de manipulaciones llamado módulo
de plataforma confiable (TPM), que se instala previamente en prácticamente todos los
ordenadores portátiles y servidores profesionales.
El TPM sirve como una “raíz de confianza” segura para una autenticación fuerte y el
almacenamiento de claves de cifrado. Éste ofrece un mecanismo de autenticación a prueba de
manipulaciones para identificar los dispositivos cliente remotos que inician sesión en redes y
sistemas. El TPM también puede almacenar claves y medidas para verificar la integridad del
firmware y el software cada vez que una plataforma se pone en marcha inicialmente.

De hecho, esto permite que sólo dispositivos conocidos que ejecutan aplicaciones conocidas
se conecten a las empresas, reduciendo considerablemente el riesgo de un acceso no
autorizado o malware. El TC también permite firmar de forma segura los informes de
configuración de dispositivos para la administración de activos y las comprobaciones de
estado. También puede usarse para verificar la integridad del firmware y el software cuando
se enciende una plataforma, eliminando la amenaza de troyanos de raíz profunda o en el
sector del arranque, y ofreciendo protección contra ataques de evil maid que buscan insertar
un código troyano en el gestor de arranque en ordenadores portátiles para capturar las
contraseñas que se introducen cuando los usuarios encienden sus máquinas.
Inspecciones forenses
Las inspecciones forenses periódicas de las máquinas que puedan ser objeto de un ataque
APT son un medio efectivo para identificar los ataques APT o para dar seguridad de que las
plataformas que contienen datos críticos o sensibles no están comprometidos.
Muchos ataques APT no dejan un rastro obvio en los discos duros de los ordenadores. Buscan
residir solamente en la memoria o esconderse usando un rootkit. Encontrarlos requiere
habilidades en análisis forense, conocimientos actualizados de los métodos de ataque APT
actuales y una tecnología apropiada para realizar inspecciones forenses independientes de la
memoria física.
Las herramientas de memoria forense pueden extraer residuos de memoria activa

independientemente del sistema operativo y reconstruir la información sobre los procesos
que se están ejecutando en la máquina. Esto ofrece una imagen confiable del estado de
ejecución del sistema, los buffers de entrada y salida de la consola, así como del historial de
comandos. Se pueden realizar búsquedas para encontrar las firmas conocidas de malware.
Estas inspecciones pueden ser una contramedida que consume mucho tiempo y trabajo, así
que deben emplearse selectivamente para clientes y servidores de alto valor.
Hay herramientas de código abierto disponibles para apoyar los análisis forenses de la
memoria, así como hay productos patentados, algunos de los cuales pueden clasificar y
evaluar automáticamente la severidad de la amenaza potencial de los módulos de software
que residen en la memoria.
Lista blanca de aplicaciones

Las listas blancas de aplicaciones son una idea que ha permanecido por mucho tiempo, pero
es raro encontrarlas en la práctica por la dificultad de implementar el enfoque y por el trabajo
constante que requiere mantener las listas de aplicaciones permitidas.
El concepto es simple. En lugar de intentar bloquear el malware en la lista negra, las listas
blancas de aplicaciones solo permiten que se ejecuten los archivos permitidos. Esto puede
lograrse creando una revisión de integridad, como un código hash seguro o una firma digital
para cada aplicación aprobada. Solo se permite la ejecución de software que tiene un código
conocido. A un entorno que mantiene un control estricto de las aplicaciones que pueden
ejecutarse en ocasiones se le llama “jardín vallado”.

El principal desafío para adoptar este enfoque es la resistencia de los usuarios a perder la
capacidad de cargar y ejecutar el software de su elección sin restricciones. Hacer listas
blancas requiere identificar, autorizar y registrar todo el software con anticipación. El
concepto es robusto desde el punto de vista de seguridad, y es técnicamente practicable
implementarlo. Ciertamente debe considerarse para entornos de alta seguridad.
Honeypots
Un honeypot es una trampa diseñada para atraer a los intrusos. Un ejemplo es un servidor
adicional que contiene información que puede parecer muy valiosa para un atacante pero que,
de hecho, es artificial y no tiene valor. Los honeypots pueden ayudar a detectar, supervisar
y recolectar evidencias de un ataque APT. También sirve como una distracción útil para
aumentar la carga de trabajo del atacante y distraer su atención de posibles objetivos más
valiosos.
Los honeypots varían considerablemente en cuanto a su sofisticación y efectividad, yendo

desde un simple almacén pasivo de información diseñado para servir como un indicador
simple y crudo de un ataque, hasta un sistema de producción completamente interactivo que
se actualiza y monitoriza continuamente para permitir que un ataque sea monitorizado de
cerca por tanto tiempo como sea posible. Claramente, cuanto mayor sea la cantidad de tiempo
y los recursos invertidos para construir y mantener un honeypot, más tiempo se distraerá al
atacante y la cantidad de inteligencia y evidencias recopiladas será mayor.
Ciclo de vida de desarrollo de seguridad

El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft es un proceso de desarrollo de
software que ayuda a los desarrolladores a crear software más seguro. No es una tecnología,
aunque sí requiere de una apreciación técnica robusta para implementarse. Cuando se aplica
correctamente, ayudará a reducir los costes generales de desarrollo y mantenimiento al
identificar problemas de seguridad en una etapa mucho más temprana cuando es más fácil y
económico resolverlos.
El SDL es un proceso de aseguramiento holístico que incluye consideraciones de seguridad y

privacidad en todas las fases del proceso de desarrollo, con base en tres conceptos centrales:
formación, mejora continua del proceso y responsabilidad.

Este capítulo del libro abordó una variedad de tecnologías de seguridad y procesos técnicos
que pueden emplearse para ayudar a la prevención y detección de ataques APT. Este es un
breve resumen de los puntos de aprendizaje que se deben considerar:
• Las medidas básicas de seguridad, como sistemas antivirus, detección de intrusiones,
cortafuegos, pruebas de intrusión y autenticación fuerte son piezas fundamentales, pero son
insuficientes para prevenir o detectar un ataque sofisticado.

• Los sistemas de escaneo de malware basados en firmas no pueden detectar nuevas formas
de malware. Por otra parte, es probable que los sistemas basados en comportamiento
generen informes con falsos positivos. Sin embargo, con el tiempo, es probable que los
métodos heurísticos mejoren, mientras que los sistemas basados en firma tendrán problemas
para mantener el ritmo con los nuevos patrones de virus.
• Se necesitan medidas de seguridad más avanzadas, como sistemas de prevención de
intrusiones, prevención de fugas de datos, escaneo de vulnerabilidades, simulación en
entorno de pruebas, supervisión de la actividad de bases de datos y pruebas de seguridad de
aplicaciones para mitigar la amenaza APT de forma efectiva.
• Algunas contramedidas específicas para prevenir o detectar un APT incluyen la inspección
profunda de paquetes, correspondencias de patrones de comunicaciones, supervisión de
la integridad de archivos, gestión de la configuración de seguridad, de la información de
seguridad y la gestión de eventos. Cualquier empresa que se enfrente a una amenaza APT
identificada debe considerar estas tecnologías.
• Las mejores prácticas de seguridad disponibles, como la informática confiable, inspecciones
forenses, listas blancas de aplicaciones, honeypots y la implementación del SDL rara vez
se encuentran porque son iniciativas caras, a largo plazo y, frecuentemente, disruptivas. Sin
embargo, son muy recomendadas para organizaciones que han experimentado una brecha
grave y que están dedicidas a evitar otra.


Capítulo 5. Gestión de un incidente de una APT
5. Gestión de un incidente APT

5.1 Visión general
Este capítulo proporciona una guía integral sobre los principios, procesos, herramientas
y recursos necesarios para dirigir una respuesta efectiva a un ataque APT. Comienza con
una visión general del trabajo de preparación necesario, así como de las diversas etapas
que se encuentran al gestionar un incidente grave. El capítulo incluye una guía sobre cómo
establecer un equipo de respuesta a incidentes de seguridad informática (CSIRT) y un centro
de operaciones de seguridad (SOC), así como la manera de gestionar un incidente grave,
realizar un análisis forense e investigar la probabilidad del impacto en el negocio.
También se incluye orientación sobre cómo aprender de los incidentes mediante un análisis
de causa raíz para identificar cualquier control adicional necesario para prevenir, detectar y
mitigar ataques futuros. Incluye consejos para preparar un informe post mortem para la alta
dirección, y concluye con una lista de puntos de aprendizaje generales.
5.2 Creación de un CSIRT

La experiencia de más de dos décadas nos ha enseñado que gestionar ataques técnicos
sofisticados requiere habilidades y herramientas de soporte especializadas. Gestionar un
incidente APT requiere un equipo de especialistas en TI y profesionales de seguridad, a
los que generalmente nos referimos como CSIRT o equipo de respuesta a emergencias
informáticas (CERT).
El concepto de un CSIRT dedicado surgió inmediatamente después del brote del gusano
de Internet creado en 1988 por Robert Morris, estudiante de la Universidad Cornell
(Nueva York, EE. UU.). El gusano de Morris fue la primera gran infección de software
malintencionado de Internet y fue necesaria una respuesta coordinada a gran escala para
contener y reparar el daño.
El incidente dio pie a que la Agencia de Investigación de Proyectos Avanzados de Defensa

(DARPA) estableciera un centro de coordinación CERT en Carnegie Mellon University, en
Pittsburgh, Pennsylvania, EE. UU. El centro original ha evolucionado en la actualidad a una
red de CERT individuales en universidades, agencias gubernamentales y compañías alrededor
del mundo. CERT es una marca registrada y puede ser usada únicamente por miembros
autorizados de dicha comunidad, así que a las empresas que forman equipos nuevos de
respuesta se les aconseja adoptar el término CSIRT.
Rol del CSIRT

Un CSIRT es un equipo central o virtual que se establece dentro de una organización para
responder a los incidentes de seguridad informática. El punto de partida para desarrollar una
capacidad efectiva de gestión de incidentes APT es comprender las principales actividades de
ese equipo.

Es probable que la mayoría de las empresas de tamaño medio o grande tengan un equipo
profesional de gestión de incidentes de TI, así como un catálogo de procedimientos de
respuesta a emergencias, planes de continuidad del negocio y equipos de gestión de crisis. El
CSIRT no pretende duplicar, reinventar o competir con estas estructuras, sino fortalecerlas y
apoyarlas poniendo sobre la mesa habilidades, conocimientos y capacidades especializadas.
En particular, el objetivo de un CSIRT es el de proveer las siguientes capacidades y servicios

clave:
• Análisis de incidentes de seguridad informática.
• Evaluaciones de inteligencia.
• Resolución de incidentes (donde sea adecuado).
• Investigaciones especializadas de seguridad.
• Recolección de evidencia forense.
• Coordinación de hallazgos y respuestas con actores externos, como agencias
gubernamentales, fuerzas de seguridad y otros CSIRT.
• Orientación proactiva, como alertas, advertencias, evaluaciones de vulnerabilidad,
formación especializada y sensibilización.
No existe un modelo fijo para un CSIRT. Puede formarse a partir de un subconjunto

seleccionado de una función de seguridad central o una red virtual de centros de coordinación
de seguridad integrados en unidades de negocio o ubicaciones en el extranjero.
Las organizaciones más grandes deberían además considerar establecer un SOC dedicado
para ayudar a la detección de incidentes y proveer la respuesta especializada requerida.
5.3 Creación de un centro de operaciones de seguridad

Un centro de operaciones de seguridad (SOC) es una infraestructura centralizada diseñada
para monitorizar la seguridad de la infraestructura de TI y los sistemas de información de una
empresa. Por lo general, procesa fuentes de datos e información de auditoría de cortafuegos,
sistemas de detección de intrusiones, servidores y sistemas de información para su análisis
inmediato en tiempo real. Idealmente, un SOC está atendido las 24 horas del día, siete días a
la semana. Es una infraestructura costosa, pero necesaria para las organizaciones que pueden
justificar la inversión.
Entre otros recursos, un SOC requiere de un equipo de personal altamente capacitado y

un entorno dedicado y equipado con software de supervisión de última generación. Su
implementación involucra el establecimiento de numerosas interfaces con plataformas de
la empresa, dispositivos y sistemas de información. Esto no es un ejercicio trivial, aunque
existen servicios comerciales compartidos disponibles como una alternativa a la creación de
un centro dedicado para la empresa.
Los beneficios de un SOC son sustanciales cuando el objetivo es detectar, monitorizar y

responder a los ataques APT, porque la clave para la respuesta a incidentes eficaz es poseer la
visibilidad de los eventos de seguridad y valorar su contexto.

El uso de un servicio de gestión de seguridad de un proveedor externo puede ser una solución
práctica para muchas pequeñas o medianas empresas, aunque este es un tipo de servicio
relativamente nuevo y aún falta por verse qué tan exitosamente puede un proveedor de servicio
entender el perfil de riesgo, las políticas de seguridad y los patrones de comportamiento
normales de un cliente y luego, interpretar los eventos cibernéticos dentro de ese contexto.
Es una verdad universalmente reconocida que si la actividad en la red no puede ser vista, se
encuentra esencialmente fuera del control de su propietario o administrador. Sin embrago,
el número de eventos observables dentro de una infraestructura moderna es enorme,
más que suficiente para generar falsas alarmas (falsos positivos) frecuentes que podrían
desencadenarse por eventos que si bien no son ordinarios, tampoco son siniestros ni ilegales.
La gestión de falsos positivos es un reto importante para los SOC. Comprender el contexto
de un evento reportado es vital, porque eso ayuda a determinar su verdadero significado y
legalidad. Lograr este reconocimiento no es trivial, ya que requiere una fusión de datos de
eventos con otra información de contexto y soporte para proveer un contexto histórico o del
entorno de las acciones en cuestión.
Como mínimo, el SOC necesita un entorno seguro y dedicado. Más allá de eso, existe una
gama de herramientas muy aconsejables, que van desde tecnología sencilla de oficina hasta
tecnología muy sofisticada para minería, combinación y visualización de datos para permitir
el análisis veloz de alimentación de datos y una rápida identificación de anomalías que
podrían indicar la presencia de un ataque APT.
El SOC debe servir como un sistema de alerta temprana para resaltar la necesidad de
estados de alerta más avanzados, así como la necesidad de acción inmediata para mitigar
riesgos identificados que podrían permitir el éxito de un ataque APT. Determinar el nivel de
alerta requiere de inteligencia actualizada sobre amenazas, perfiles de riesgo y datos sobre
incidentes.
Idealmente, la información requerida para identificar, evaluar y responder a un ataque APT

debe abarcar las entradas de los dispositivos del perímetro de la red, como cortafuegos y
sistemas de detección de intrusiones, así como registros de auditoría del acceso front-end de
usuarios a las plataformas de control, así como a los sistemas de información back-end.
La meta real de todo SOC debe ser expandir continuamente el horizonte visible de amenazas,
exposiciones y datos de eventos, recurriendo a cualquier fuente útil de información disponible
que pueda ayudar arrojar luz sobre el contexto de los incidentes de seguridad detectados e
informados. La combinación de información de otras fuentes con los datos de los eventos puede
proveer una mejor comprensión del contexto. Los perfiles de riesgo, por ejemplo, permiten que
los datos sobre vulnerabilidad sean filtrados según su relevancia y el nivel de riesgo percibido y
las políticas de seguridad relacionadas con un sistema de información o plataforma.

El alcance de la combinación de datos está limitado únicamente por nuestra imaginación.

Para mejorar nuestra interpretación sobre el significado de los eventos reportados, podemos
tener en cuenta información como la hora del día, la ubicación de la fuente, patrones previos
de comportamiento, niveles actuales de amenaza o incluso, factores menos obvios como el
clima, los preparativos vacacionales del personal y fechas o aniversarios importantes.
La tecnología para conseguir todo esto se encuentra disponible, aunque su potencial para la
explotación creativa aún no ha sido completamente detonado.
No todos los eventos importantes pueden ser detectados por la tecnología por sí sola.
El personal debe monitorizar las fuentes de la información para buscar indicaciones de
exposiciones o ataques. Sin embargo, es esencial presentar los datos a los administradores de
una forma que permita que las anomalías sean rápidamente detectadas a través de múltiples
flujos cambiantes de información.
El enfoque más efectivo se encuentra en el uso inteligente de la tecnología de visualización

de datos, la cual puede aumentar significativamente la capacidad de una persona para
absorber la información entrante. Leer información textual es un proceso lento que representa
una barrera para la absorción rápida. En contraste, muchas imágenes gráficas pueden ser
rápidamente analizadas en paralelo, permitiendo a los operadores ver las relaciones entre
eventos que de lo contrario serían diferentes.
5.4 Interconexión del CSIRT con otros equipos de crisis

Varias estructuras de equipos
Muchas crisis comienzan como eventos pequeños y se convierten progresivamente a
incidentes mayores. El proceso de respuesta necesita intensificarse para igualar la gravedad
del incidente. En particular, es necesario mejorar la veteranía y la capacidad del equipo
de respuesta. Gestionar un incidente de gravedad creciente requiere de una jerarquía de
los equipos de crisis, así como un proceso de escalado bien definido. No existen dos
organizaciones o crisis iguales y existen numerosas formas de estructurar, vincular y crear los
equipos de respuesta dentro de la empresa.
Los factores claves a considerar al diseñar una estructura de equipo de respuesta eficiente
y eficaz son el tamaño de la empresa, la estructura y geografía de sus unidades de negocio
y las funciones de servicio de TI. Una consideración adicional importante es la naturaleza
de la cadena de suministro, como el grado de externalización y los acuerdos de crisis de
proveedores de servicios externos.
La figura 11 ilustra una estructura genérica de un equipo de crisis para una empresa típica
de mediano o gran tamaño. Es una simplificación excesiva, porque muchas organizaciones
también tienen regiones geográficas, funciones descentralizadas de soporte, múltiples cadenas
de suministros y estructuras de reporte matriciales. Además, es probable que haya más de
un nivel de equipo de respuesta, que refleja la necesidad de respuestas coordinadas, pero
descentradas estratégica, táctica y operacionalmente.

11
Figura
Estructura típica de
la gestión de crisis
Equipo de
crisis
empresarial
Unidad de Equipos de Equipo de crisis Equipos de

apoyo de crisis de Equipo de de comercio
crisis de TI crisis de
crisis negocios electrónico proveedores
CSIRT
Además, puede haber equipos de respuesta con funciones y composiciones específicas tales
como:
• Equipos locales de respuestas a emergencias para gestión de fuegos u otros riesgos
importantes. Podría ser necesario poner en marcha uno de estos equipos si un sistema
SCADA se encuentra en riesgo.
• Equipos delegados de continuidad de negocio para invocar acuerdos de contingencia
y gestionar las relaciones con los clientes y proveedores clave en caso de una pérdida
importante de un servicio o instalación de negocios. Tales equipos pueden ser útiles para
evaluar el daño al negocio y determinar las prioridades para la recuperación.
• Equipos de soporte dedicados, por ejemplo, para asuntos de recursos humanos (salud y
seguridad), relaciones con los medios de comunicación y otras actividades especializadas.
Una complejidad adicional es que la naturaleza de la respuesta a la crisis se vuelve cada vez
más sofisticada con la gravedad del impacto:
• Los incidentes menores a menudo pueden ser gestionados con mediante acciones locales.
El impacto es generalmente limitado y la acción requerida es rutinaria. Por lo general, tales
respuestas pueden ser definidas y preparadas por adelantado.
• Los incidentes mayores presentan un conjunto más complejo de problemas, que a menudo
resultan en un impacto en los activos más abstractos e intelectuales de la organización,
como la ventaja competitiva, los secretos comerciales, la satisfacción del cliente, el estatus
legal y la reputación corporativa.
Los incidentes mayores demandan una respuesta que sea flexible, creativa y empoderada.
Además, necesitan el apoyo de asesores expertos en el negocio, TI, asuntos legales, medios
de comunicación y seguridad. El CSIRT es un componente esencial de esa respuesta. Una
crisis mayor requiere un tratamiento diferente al de un incidente cotidiano. A medida que
aumente el potencial impacto en el negocio de un incidente, así se incrementará el nivel y
el alcance de la respuesta necesaria, exigiendo la implicación de un grupo más amplio de
gestores y personal de soporte especializado en toda la empresa.

El ritmo de desarrollo de los incidentes también puede ser muy diferente. Por ejemplo, los
ataques de negación de servicio son rápidos e interactivos exigiendo decisiones instantáneas
y reporte inmediato de eventos. En contraste, un ataque de espionaje de raíz profunda puede
desarrollarse a un ritmo mucho más lento, y requiere un nivel de análisis más profundo y una
perspectiva a mucho más largo plazo.
¿Cuántos equipos?
Una buena pregunta qué hacerse es “¿cuántos equipos necesita la empresa para gestionar
una crisis?” La respuesta no es obvia. Un único equipo es insuficiente para proveer todas las
habilidades necesarias para abordar todos los problemas surgidos de una crisis grave en la
empresa. Cien equipos son, por mucho, demasiados para coordinar. Por un lado, es bueno ver
que todas las partes de la organización se involucran, pero por el otro, es importante lograr un
enfoque claro para las decisiones, acciones y comunicaciones.
Las grandes organizaciones por lo general tienen como objetivo gestionar estas demandas
cambiantes estableciendo una jerarquía estricta de los equipos de respuesta, comúnmente
llamados equipos oro, plata o bronce, para atender los diferentes niveles de respuestas
estratégicas, tácticas y operacionales. A medida que la crisis aumenta, los equipos junior
o locales serán remplazados por los equipos senior y responsabilidad de mayor alcance.
El rol del CSIRT, sin embargo, deberá permanecer sin cambios: es un equipo de soporte
especializado con visión de la compañía y alcance global. Puede potencialmente apoyarse
en el consejo y soporte de los equipos CSIRT que operan en industrias similares o en roles
nacionales e internacionales. EL CSIRT deberá estar listo para conectarse a todos los niveles
y adaptarse a las líneas cambiantes de reporte según evoluciona la situación.
El valor de la preparación y los ejercicios

La toma de decisiones rápida pero inteligente es esencial cuando se responde a ataques
cibernéticos de movimiento rápido. Desafortunadamente, es muy fácil sacar las conclusiones
equivocadas al definir acciones cuando se está bajo presión. La clave para garantizar que se
tomen decisiones de calidad, aún con prisa, es a través de ensayos regulares y simulaciones, y
aumentando al máximo el alcance de respuestas predeterminadas a estímulos conocidos.
La gestión de crisis se vuelve más fácil con la práctica. Como lo dijo alguna vez el presidente
Richard Nixon de los EE. UU.: “La habilidad de permanecer sereno, confiado y decidido
ante la crisis no es una característica heredada, sino el resultado directo de cómo de bien un
individuo se ha preparado para la batalla”.31
Los simulacros periódicos de crisis son medios excelentes para preparar al equipo de
respuesta para incidentes reales y ayudar a identificar las herramientas, equipos y datos
útiles de soporte que puedan mejorar o acelerar la toma de decisiones cuando se trate de un
incidente real.
31
Leonard Roy Frank, Quotationary, Random House, EE. UU., 1998), p. 641

A mayor análisis requerido mientras se lidia con los eventos, más lento será el despliegue de
la respuesta correcta. En una crisis rápidamente cambiante, es un gran reto el considerar todas
las opciones alternativas, valorar sus consecuencias probables y luego, seleccionar el curso de
acción más adecuado. La alternativa a esto es considerar escenarios comunes por adelantado
y desarrollar acciones predefinidas y bien consideradas.
Una buena analogía para ayudar a comprender el valor de las respuestas predeterminadas es
considerar la forma en que un conductor responde al ver una luz roja de freno encenderse
en el automóvil al frente. La reacción instintiva, sin pensamiento lógico, es pisar el freno
inmediatamente. Es una decisión automática que salva vidas.
Existe un límite en el alcance del desarrollo de las respuestas preparadas con anticipación.
En la práctica, es necesaria una buena cantidad de improvisación creativa al responder a
una amenaza. Sin embargo, sin importar la singularidad de la situación, es mucho lo que
puede ser determinado o preparado anticipadamente para conseguir una toma de decisiones
más rápida y mejor. Ayuda tener los hechos y los números esenciales a mano, ejemplos de
textos para comunicados acordados previamente y la autorización aprobada previamente para
cualquiera de las respuestas posibles que sean consideradas más allá de la competencia o el
presupuesto de las funciones de seguridad.
Un CSIRT requiere de un gran nivel de autoridad delegada para poder operar de manera
decisiva de cara a un ataque grave. El equipo puede necesitar tomar decisiones inmediatas
con riesgo significativo para la empresa, como poner fuera de línea un servidor de
producción, cerrar una red local, interceptar las comunicaciones internas o tal vez, incluso
enfrentarse con un atacante. Idealmente, esos escenarios deben ser identificados y discutidos,
y los procesos de permisos o autorizaciones acordados por adelantado con la alta gerencia.
5.5 Etapas en la gestión de incidentes graves

No existen dos organizaciones o crisis iguales. Hay numerosas variaciones en la organización
de los equipos de respuesta, procedimientos para el tratamiento de incidentes y las estrategias
de gestión de crisis, así como importantes diferencias en los incidentes y ataques. Algunos
son cambiantes y dinámicos, otros se desenvuelven progresivamente y evolucionan. Sin
embargo, todos los incidentes siguen un camino general desde la detección inicial hasta
el cierre final, y todos requieren la aplicación de una mezcla de habilidades, procesos y
herramientas. La figura 12 ilustra las diversas etapas en la gestión de un incidente APT
grave. Cada etapa es a su vez descrita en los siguientes párrafos.

12
Etapas en la gestión
Figura
y planificación de
incidentes mayores
Identificación de
incidentes Evaluación de daños Gestión de crisis
Detección y notificación Evaluación inicial y Gestión de la
de incidentes contención respuesta
Investigación Recuperación Contención

Investigación del atacante, Erradicación de malware y Análisis y contención de
motivos e impacto puertas traseras daños
Lecciones aprendidas Reporte post mortem

Análisis de causa raíz de Presentación de los
factores contribuyentes hallazgos a la gerencia
5.6 Identificación de incidentes

De acuerdo a una investigación publicada por Verizon, aproximadamente el 70 por ciento
de las brechas revisadas durante la investigación fueron descubiertas por una parte externa.32
Estas organizaciones no estaban al tanto de que su seguridad había sido vulnerada hasta que
la parte externa los alertó del problema.
Esta situación puede mejorarse sustancialmente con buenos procesos de supervisión de redes
y plataformas, así como iniciativas educativas para animar al personal a reportar correos
electrónicos o contactos externos sospechosos. También es necesario que los puntos de
notificación centrales reúnan, analicen y respondan a los reportes de presuntas intrusiones o
ejercicios de ingeniería social.
5.7 Evaluación de daños

Determinar el nivel del daño es esencial para decidir la naturaleza y el grado de la respuesta
necesaria. Los pasos clave de este proceso son:
• Establecer la naturaleza del incidente. ¿Es una pieza de malware diseñada para robar datos o
un gusano con la intención de causar daño?
• Identificar el alcance del compromiso. ¿Se encuentra en una máquina, una red o en toda la
empresa?
32

• Si es posible, trate de determinar por cuánto tiempo ha estado presente la infección, porque
esto puede influir en la estrategia de recuperación (por ejemplo, las copias de seguridad
también pueden estar dañadas).
• Estimar las habilidades y el nivel de los recursos requeridos para contener y reparar el daño.
• Preparar un informe breve para el equipo de CSIRT.
Los incidentes pueden variar en gran medida en su naturaleza y gravedad. La terminología

también cambia con la gravedad del incidente. Muchas personas considerarían un desastre
como un evento altamente dañino, pero un incidente como algo relativamente menor.
Reconocer las sutiles diferencias en la terminología tiene importantes implicaciones al
determinar el nivel de respuesta a los eventos reportados.
No existen definiciones establecidas para estos términos, principalmente porque sus

impactos son subjetivos, pero existe una clara jerarquía de palabras que transmiten niveles
de daño potencial, comenzando con un evento (claramente algo significativo o inusual) y
incrementando hacia un incidente, una emergencia, un desastre y finalmente, una crisis:
• Una emergencia generalmente sugiere un incidente local grave, que requiere la
atención de la dirección.
• Un desastre sugiere un nivel de impacto o daño mucho mayor, algo equivalente a un edificio
incendiado o una inundación. La declaración de un desastre a menudo activa planes de
contingencia.
• Una crisis es más grave e implica que un incidente mayor se encuentra fuera de control
y con creciente gravedad. Si el equipo de crisis de una compañía decide reunirse, es una
situación muy seria.
Los niveles de seriedad o de impacto en el negocio no pueden definirse fácilmente por

adelantado. Sólo pueden decidirse al momento del incidente. Un incidente se convierte en una
crisis solamente cuando el equipo de respuesta decide que lo es.
5.8 Gestión de crisis

Se pueden desarrollar planes formales para muchas clases de incidentes menores, pero cuando
una APT grave ataca, es más importante tener un equipo CSIRT bien entrenado en el que
cada miembro entienda su rol y esté equipado con las herramientas y recursos necesarios
para evaluar y contener el daño. Sin embargo, las buenas habilidades de gestión de crisis
son poco frecuentes. Éstas demandan algo más que una respuesta entusiasta y determinada
a los desafíos. Una crisis puede ser evitada únicamente mediante una cuidadosa aplicación
de habilidades de análisis, resolución de problemas, supervisión y comunicación. La gestión
de crisis incluye proporcionar respuestas a los medios de comunicación, partes interesadas,
el público, reguladores y en algunos casos, agencias de gobierno. La empresa debe incluir
en sus planes, los pasos necesarios para involucrarse con el público y mantener una buena
reputación durante y después de la crisis.
La gestión de crisis es una tarea difícil. Demanda confianza, razonamiento estratégico y

desafío continuo. Esto es difícil de lograr en un entorno veloz y estresante, cuando es difícil
pensar claramente y los miembros del equipo se sienten poco capaces, nerviosos o cansados.

La habilidad más importante requerida es la de tomar las riendas de los recursos de la

empresa detrás del equipo de crisis. Explotar ese potencial requiere de un nivel de visión e
imaginación que no se encuentra generalmente en un entorno de crisis de gran presión.
El poder de la gestión de crisis eficaz es irrefutable. Las investigaciones han demostrado que las
compañías que logran un buen resultado durante una crisis pueden disparar su valor de mercado.
Hay buenas razones para esto. Una crisis genera publicidad que puede ser para bien o para
mal. La empresa que se desempeña bien durante una crisis, impresiona a clientes y accionistas
por igual. La respuesta a crisis de RSA es un buen ejemplo de ello. Las empresas que se
desempeñan mal ven hundirse el valor de sus acciones. Además, el clima creado por una crisis
puede permitir a los gerentes gestionar cambios difíciles para resolver debilidades existentes
desde hace mucho tiempo. Esto presenta una oportunidad para que la función de seguridad logre
las mejoras necesarias para prevenir y responder a mejor a futuros ataques APT.
5.9 Contención
La contención del daño debe ocurrir en paralelo, pero bajo la dirección del esfuerzo general
de la gestión de crisis. Es poco probable que sea un proceso rápido. Investigaciones realizadas
por Verizon indican que se tarda una semana o más en contener el 60 por ciento de las
violaciones, menos de una de cada 10 es contenida en un día.33 Los pasos clave a seguir son:
• Identificar los sistemas que han sido comprometidos y los archivos que han sido accedidos.
• Aislar los sistemas infectados tanto como sea posible.
• Determinar cómo parece propagarse la infección y cerrar los posibles canales de más
ataques o infecciones.
• Preservar la integridad de toda la evidencia reunida.
• Revisar los registros de cortafuegos e IDS para detectar indicadores de intrusión.
• Examinar los sistemas para detectar procesos o aplicaciones no autorizadas. Buscar
exhaustivamente las máquinas afectadas para detectar software malintencionado plantado.
• Buscar señales de datos comprometidos en otras máquinas.
5.10 Recuperación
La remediación eficaz requiere una buena comprensión de los cambios realizados a las
aplicaciones y plataformas por el software malintencionado. Las acciones claves que serán
necesarias incluyen:
• Eliminar el malware y cualquier puerta trasera relacionada.
• Cerrar los puertos que hayan sido abiertos por el malware.
• Cambiar los ajustes de configuración modificados a sus valores correctos.
• Restaurar archivos borrados o dañados.
• Reparar los cambios hechos a las entradas en el registro.
En muchos casos, será necesario restaurar los sistemas operativos de las plataformas, aunque
existen herramientas automáticas que afirman ser capaces de reparar daños APT sin la
necesidad de un reinicio.
33

5.11 Investigación
El siguiente paso importante es una investigación detallada para identificar al atacante,
investigar los motivos del ataque y, con base en este conocimiento, evaluar el daño probable
consecuente y el futuro riesgo al negocio. Las preguntas clave que se deben considerar son:
• ¿Cuál es el origen del ataque? ¿Es una fuente conocida de ataques APT?
• ¿Alguna otra organización ha sido atacada por esta fuente o con este método?
• ¿Cuál parece ser el motivo del ataque? ¿Es para robar información, causar daño o recopilar
inteligencia para ser usada en un ataque futuro?
• ¿Cuál es la naturaleza de los datos que puede haber sido comprometidos, secretos de
negocios, datos financieros, registros de clientes, detalles de ofertas comerciales o planos
de productos?
Ningún análisis técnico puede indicar el probable daño al negocio de una intrusión. Depende
de una cuidadosa consideración sobre el atacante, el motivo del ataque, la capacidad del
atacante para aprovechar la información robada o el daño causado, y las opciones para
mitigar el daño hecho por el ataque.
5.12 Aprendizaje a partir de incidentes

Identificar y aprender las lecciones de los incidentes de seguridad graves es un proceso
esencial para detectar las debilidades de seguridad y entender la mejor forma de prevenir
y reducir al mínimo el impacto de ataques futuros. Todas las empresas deben contener un
análisis de causa raíz de los incidentes graves para prevenir que estos ocurran nuevamente.
Es un ejercicio sorprendentemente simple, pero poderoso, que puede proporcionar una visión
mucho más grande acerca de las causas subyacentes del incidente que la que puede obtenerse
por especulación o evidencia anecdótica.
Existe una cantidad de herramientas de gestión para ayudar a llevar a cabo dicho ejercicio.
Una de las técnicas más simples y rápidas es el diagrama “de espina de pescado” de
Ishikawa,34 que puede ser utilizado para la lluvia de ideas y registro de las posibles causas
de un problema, estructuradas de acuerdo a las categorías y subcategorías de fallos más
probables. Un ejemplo de ese diagrama se encuentra en la figura 13. Puede verse que este
enfoque proporciona un medio simple y rápido para identificar y estructurar las causas que
contribuyen a un incidente.
34
Se nombra por Kaoru Ishikawa, el profesor japonés que inventó la técnica.

13
Figura
Ilustración de un
diagrama de Ishikawa
Entorno
Gerencia Gente
Incidente
5.13 Informe post mortem mayor
La etapa final al gestionar un incidente mayor es elaborar un reporte post mortem y presentar
los hallazgos principales y recomendaciones a la gerencia. Las consideraciones claves para
realizar esta tarea son:
• Explicar la fuente, el cronograma y el estatus actual del incidente.
• Identificar las acciones y decisiones clave, así como quién las tomó y por qué.
• Calcular el coste aproximado del incidente, incluyendo el coste directo como daño físico,
tiempo perdido de producción, costes de recuperación e investigación, y costes legales así
como costes indirectos, como ventas perdidas y posible daño a la reputación.
• Señalar las fortalezas y debilidades en el proceso de respuesta.
• Hacer una lista de los puntos de aprendizaje a partir del análisis de causa raíz.
• Hacer recomendaciones firmes para cambios y mejoras de seguridad.

Este capítulo del libro examinó los principios, procesos, herramientas y recursos necesarios
para organizar una respuesta efectiva a un ataque APT. Este es un breve resumen de los
puntos de aprendizaje que se deben considerar:
• Debe establecerse un equipo de respuesta de incidentes de seguridad informática (CSIRT),
ya sea como un equipo central o virtual, para responder de manera eficaz a los incidentes
informáticos.
• Las empresas más grandes deben considerar crear un centro de operaciones de seguridad
dedicado (SOC) para monitorizar la seguridad de la infraestructura de TI y los sistemas
de información.
• El CSIRT debe interactuar con otros equipos de crisis de la empresa y cadena de
suministros. No existe un plano estandarizado porque cada organización es diferente.

• Los factores clave a considerar al diseñar una estructura de equipo de respuesta eficaz son el
tamaño de la empresa y la estructura y geografía de sus unidades de negocio y funciones de
servicio de TI.
• La buena preparación para las crisis y los simulacros periódicos son esenciales para
garantizar una respuesta rápida y óptima a un incidente grave.
• Todos los incidentes siguen un camino general de detección inicial al cierre final, el cuál
puede ser utilizado para ayudar a estructurar la estrategia general de crisis.
• Es importante aprender de incidentes anteriores. Debe llevarse a cabo un ejercicio de
análisis de causa raíz después de cualquier incidente mayor.


Capítulo 6. Realizando una revisión de controles de APT
6. Llevar a cabo una revisión

de controles APT
6.1 Introducción
Este capítulo del libro ofrece una guía para los gerentes de seguridad y los auditores de TI
sobre cómo proceder para realizar una revisión de controles, especialmente para el riesgo de
APT. Incluye consejos sobre cómo determinar los objetivos, el enfoque y el alcance para la
revisión; establece una metodología paso a paso para su realización; e identifica herramientas
y técnicas de soporte útiles.
6.2 Metodología
La efectividad de una revisión es determinada en gran medida por el grado de planificación
y preparación. Los pasos clave del proceso se ilustran en la figura 14 y se describen con más
detalle en los siguientes párrafos.
14
Etapas de la realización
Figura
de una revisión de
controles APT
Comprender Identificar los riesgos Revisar los perímetros

el negocio, sus de seguridad y y controles de
procesos y sus activos. activos clave. seguridad.
Evaluar el riesgo a los Comunicar y acordar

sistemas críticos y la los hallazgos y las
infraestructura. recomendaciones.
Comprender el negocio, sus procesos y sus activos.

Las revisiones de los controles APT deben ser amplias y abarcar a toda la empresa para
reflejar la naturaleza misma de la amenaza, que es introducirse en la infraestructura de la
organización y ampliar progresivamente el acceso obtenido para robar o comprometer activos
intelectuales valiosos.
Las actividades clave son:

• Apreciar una perspectiva general de la empresa.
• Detectar activos y procesos críticos o sensibles.
• Identificar a los directores y gerentes responsables.
El principal resultado de esta etapa es un conjunto de activos o procesos clave que se revisará
y una lista de propietarios responsables o los que toman las decisiones.

Identificar los principales riesgos y activos de seguridad

El siguiente paso es consultar a los directores/gerentes responsables de estos activos y
de los procesos clave y desarrollar una evaluación de riesgos de alto nivel basada en las
evaluaciones de riesgos anteriores o usando las técnicas descritas en el capítulo 2.
Las tareas clave para esta etapa son:

• Comunicar la naturaleza del riesgo de APT.
• Realizar/revisar la evaluación de alto nivel de los riesgos de APT.
• Destacar el riesgo de un alto impacto y una alta probabilidad.
• Juntar los riesgos identificados en distintas áreas del negocio en un solo mapa de riesgos.
• Identificar los sistemas sensibles o críticos y la infraestructura que los soporta.
• Destacar los riesgos asociados con la adopción de tecnologías emergentes.
Los resultados clave de esta etapa deben ser un mapa de riesgos de alto nivel para los riesgos
de seguridad y una lista de sistemas sensibles o críticos y su infraestructura.
Revisar los perímetros y controles de seguridad.

Evaluar la idoneidad de los controles del sistema requiere una apreciación de la seguridad del
entorno que le rodea. Los sistemas no operan en un entorno completamente seguro o en uno
completamente abierto. El punto de inicio es establecer una imagen realista de la seguridad
de las redes internas de la organización.

• Trabajar del “exterior al interior” para evaluar las capas de protección ante amenazas
externas.
• Evaluar la seguridad del diseño de red de la empresa y sus controles.
• Revisar los puntos clave del acceso y la salida, y determinar su capacidad para controlar,
bloquear o monitorizar los flujos de información importante para la seguridad.
El resultado de esta etapa debe ser un mapa de alto nivel de las redes de la empresa, con una
indicación de la efectividad de las medidas tomadas para proteger o segregar los sistemas
críticos o sensibles y sus usuarios.
Evaluar el riesgo hacia la infraestructura y los sistemas críticos

Después se pueden evaluar las vulnerabilidades de seguridad asociadas con los sistemas
individuales dentro del contexto de la seguridad del perímetro de la red. Se pueden señalar los
riesgos inaceptables y se pueden hacer recomendaciones para fortalecer los controles al nivel
de la plataforma o la red.

• Revisar las vulnerabilidades de las aplicaciones y plataformas críticas.
• Evaluar el riesgo potencial de compromiso.
• Identificar los controles ausentes o inadecuados.
El resultado de este proceso es una lista de riesgos y recomendaciones de acciones correctivas.

Capítulo 6. Realizando una revisión de controles de APT
Comunicar y llegar a un acuerdo sobre los hallazgos y las recomendaciones

La etapa final es integrar los hallazgos y las recomendaciones en un programa de acciones
correctivas y acordar cada acción con la parte interesada responsable.

• Desarrollar un plan de acciones de correctivas.
• Comunicar y acordar las deficiencias y las recomendaciones con los propietarios del sistema
o del activo.
• Informar a la dirección sobre los hallazgos y las recomendaciones.


Apéndice A: Cuestionario/lista de verificación para una APT
Apéndice A:
Cuestionario/lista de tareas APT
Este apéndice incluye un simple cuestionario/lista de tareas para ayudar a los gerentes a
considerar y evaluar el riesgo asociado con un APT, aprovechando la guía que se encuentra
en este libro.
Busca servir como una guía de referencia útil para los gerentes del negocio, de TI o de
seguridad para revisar y abordar el riesgo de APT.
¿La empresa es un posible objetivo de un ataque APT?

La organización:
• ¿Tiene secretos políticos o de estado?
• ¿Posee secretos comerciales u otras ventajas competitivas para el negocio que serían de
interés para competidores en el extranjero?
• ¿Desarrolla productos de vanguardia que los competidores extranjeros querrían copiar?
• ¿Ofrece servicios o apoya servicios comerciales que podrían considerarse de una
importancia nacional crítica?
• ¿Desarrolla, fabrica o da soporte a productos del área militar?
• ¿Opera en mercados competitivos en el extranjero?
¿Cuál puede ser el impacto de un ataque APT?

La organización:
• ¿Consideró el efecto del robo de secretos comerciales, investigaciones o planes de productos
por parte de un competidor extranjero?
• ¿Evaluó el impacto para el negocio de una fuga de datos de alto perfil que involucre
registros de clientes o empleados?
• ¿Consideró seriamente la posibilidad de que los sistemas SCADA que controlan los
procesos industriales o equipos se vean comprometidos, ocasionando un incidente de
seguridad mayor y/o una pérdida de servicio prolongada?
• ¿Calculó el posible coste de una prolongada investigación de seguridad y de un costoso
programa correctivo?
¿Cómo de expuesta está la organización a un ataque APT?

La organización:
• ¿Realizó una evaluación de riesgos para establecer la probabilidad y el potencial impacto
para el negocio de un ataque APT?
• ¿Mantuvo un estricto control sobre todas las conexiones externas a la red?
• ¿Implementó una arquitectura de red que segregue los sistemas críticos o sensibles y los
usuarios?

• ¿Se aseguró de que las plataformas informáticas y las aplicaciones estén libres de las
vulnerabilidades conocidas?
• ¿Invirtió en tecnología de supervisión para detectar intrusiones no autorizadas?
¿Qué tan preparada está la organización para un ataque APT?

La organización:
• ¿Cuenta con uno o más expertos con suficientes conocimientos para ayudar a identificar el
riesgo de un APT y para responder apropiadamente a un incidente?
• ¿Mantiene un proceso efectivo de manejo de crisis de CSIRT y del negocio?
• ¿Realiza simulacros regulares de crisis, incluyendo la posibilidad de un ataque APT?
¿Estableció relaciones con autoridades policiales y de seguridad nacional?
• ¿Cuenta con contratos o acuerdos con compañías que pueden proveer rápidamente servicios
y asesoría para APT?

Apéndice B: Lista de ataques de las APT
Apéndice B: Lista de ataques APT

La siguiente tabla muestra las evaluaciones clave de los principales ataques APT que se
experimentaron en los últimos 15 años en el orden en que ocurrieron. Por la sensibilidad del
daño y el consecuente secretismo que mantuvieron las víctimas, muchos factores permanecen
desconocidos y solo pueden inferirse. Sin embargo, todas las declaraciones en este apéndice
se basan en afirmaciones reportadas o alegadas que son de dominio público.
Organizaciones
Nombre del Posible fuente o Innovador objetivo o Impactos o
ataque beneficiario Características afectadas Resultados
Moonlight Maze Se rastreó a un Un sofisticado El Pentágono, Decenas de
1998-2000 ordenador en la ataque de la NASA y el miles de archivos
antigua Unión ciberespionaje a Departamento de robados,
Soviética, aunque gran escala Energía los Estados incluyendo mapas
el gobierno Ruso Unidos, así como de instalaciones
lo negó. Es posible universidades y militares,
que la información laboratorios de configuración de
robada se haya investigación tropas y diseños
vendido al mejor involucrados en de hardware
postor investigaciones militar, dando como
militares resultado daños
que por muchos
millones de dólares.
Titan Rain Se dijo que Se explotaron Los contratistas No fue revelado Es
2003-2005 fue de origen ataques de de defensa de EE. probable que sea
chino, aunque el ingeniería social UU., incluyendo a similar a Moonlight
gobierno chino en individuos Lockheed Martin, Maze
negó cualquier seleccionados Sandia National
implicación. Labs, Redstone
Arsenal y la NASA
Sykipot No se conoce. Los Vulnerabilidades Compañías Se robaron secretos
2007-2012 objetivos sugieren explotadas de día occidentales de comerciales,
que un servicio cero. una variedad incluyendo
de inteligencia de sectores, información de
es el probable incluyendo defensa, diseño, finanzas,
beneficiario. Un informática, fabricación y
análisis de los telecomunicaciones, planificación
ataques a Sykipot energía y productos estratégica de
en 2011 indicó químicos, así como compañías en
que la mayoría de organizaciones EE. UU. y el
servidores estaban gubernamentales Reino Unido, lo
en China. que ocasionó
una pérdida de
competitividad

Organizaciones
GhostNet Se reportó que Fue posible usar Objetivos políticos, Se comprometieron
2008-2009 tuvo su origen en dispositivos de económicos y de los datos políticos
China, aunque el grabación de medios en más y económicos en
gobierno chino audio y video para de 100 países, más de 1,000
negó cualquier monitorizar el incluyendo muchas ordenadores en más
implicación ambiente físico de embajadas y los de 100 países
los ordenadores centros de exilio del
infectados Dalai Lama
Operación Aurora Fue reportado que Repositorios de Muchas compañías Se robó gran
2009-2010 se originó en China código fuente de tecnología, cantidad de
atacados y incluyendo Google, propiedad
modificados Adobe Systems, intelectual, lo que
Juniper Networks ocasionó pérdidas
y Rackspace, así significativas de
como bancos, competitividad
contratistas
de defensa,
proveedores
de seguridad y
compañías de
energía
Gozi Creado por una Un servicio de Su objetivo fueron Infectó a más
Desde 2007 persona de hosting a prueba de instituciones de un millón de
nacionalidad rusa balas para preservar financieras en ordenadores en
con la ayuda de el anonimato de los Estados Unidos, todo el mundo,
cómplices de países usuarios criminales. Reino Unido, ocasionando
vecinos, y vendido La versión de 2013 Alemania, Polonia, decenas de millones
posteriormente a infectó el registro de Francia, Finlandia, de dólares en daños
grupos criminales arranque principal Italia, Turquía y en
del disco duro. cualquier otra parte
Zeus Usado por varios Un kit de Se usó inicialmente Se comprometieron
Desde 2007 criminales en EE. herramientas de para robar decenas de miles
UU., Reino Unido APT completo, información del de cuentas de
y Ucrania para incluyendo módulos Departamento de FTP en sitios de
cometer fraudes para capturar las Transporte de EE. compañías y varios
bancarios y lavado pulsciones de teclas UU., pero después millones de usuarios
de dinero del usuario y datos se usó para robar de bancos, lo que
de formularios web credenciales resultó en el robo de
con un ataque de bancarias y cientos de millones
hombre-en-el- pagos con de dólares
navegador tarjetas de crédito
o credenciales
utilizadas para
iniciar sesión en
redes sociales.

Apéndice B: Lista de ataques de las APT
Organizaciones
SpyEye Similar a Zeus y es Variaciones Diseñado para robar Se han robado
Desde 2009 utilizado por una posteriores pueden las credenciales millones de dólares
amplia variedad de modificar la de los clientes de de las cuentas de
bandas criminales. visualización de bancos en EE. UU. clientes en varios
Se ha vendido en saldos y estados de y el Reino Unido, cientos de bancos
500 dólares en cuenta y después iniciar en todo el mundo
foros clandestinos transacciones
rusos cuando la víctima
inicia sesión en su
cuenta bancaria
Stuxnet Se afirmó que había El primer malware Dirigido Se informó que
2010 sido creado por los en sabotear específicamente el malware había
Estados Unidos e los sistemas para el equipo causado daños
Israel para atacar de procesos y el software considerables a las
las instalaciones industriales. industrial de centrifugadoras en
nucleares de Irán Contenía cuatro Siemens, y contiene el laboratorio de
explotaciones de protecciones enriquecimiento
día cero diferentes. para limitar la nuclear de Natanz
Programado para propagación de la en Irán.
borrarse a sí mismo infección
en una fecha
específica
Duqu Las similitudes con Similar a Stuxnet El código se ha Capturó información
2011 Stuxnet sugieren en cuanto a su encontrado en un que podría permitir
una fuente con sofisticación, pero número limitado un futuro ataque
acceso al código. con un propósito de empresas, de APT contra los
Los servidores diferente incluyendo aquellas sistemas de control
se encontraban involucradas en industriales.
en varios países, la fabricación de
incluyendo sistemas de control
Alemania, Bélgica, industriales.
Filipinas, India y
China.
Flame El Washington Puede grabar Se utilizó para Robó información
2012 Post afirmó que audio, capturas de organizar ataques de alrededor de
fue desarrollado pantalla, tecleo, de espionaje 1,000 máquinas
conjuntamente tráfico en la red, en ministerios en Irán, Israel,
por la Agencia de conversaciones en gubernamentales, Sudán, Siria, Líbano,
Seguridad Nacional Skype e información instituciones Arabia Saudita
de los Estados de contacto de educativas e y Egipto. Los
Unidos, la CIA y las los dispositivos individuos en países ataques cesaron
fuerzas armadas de cercanos con del Medio Oriente cuando se divulgó
Israel por lo menos Bluetooth. Puede públicamente.
cinco años antes eliminarse
del descubrimiento, instantáneamente
aunque esto fue con una instrucción
negado oficialmente remota de un
servidor central

Organizaciones
Red October No se conoce. Se adapta Diseñado para Se informó que robó
2007-2012 Existen opiniones a múltiples robar secretos cientos de terabytes
contradictorias plataformas, del gobierno y de de organizaciones
sobre la fuente. El incluyendo routers, organizaciones de diplomáticas, de
análisis del malware conmutadores, investigación en comercio, militares,
indica que el código teléfonos móviles varios países aeroespaciales,
era muy diferente y dispositivos de de energía y de
al de Stuxnet, Duqu almacenamiento investigación en
y Flame, lo que externo. Se puede Rusia, Irán, Estados
sugiere una fuente resucitar al recibir Unidos y otros
diferente. un adjunto de países.
correo electrónico
Eurograbber Basado en una Capaz de burlar Se enfocó en Se robó una
2012 variante de Zeus. el sistema de bancos en Europa, estimacioń de 36
autenticación comenzando millones de euros
basado en SMS en Italia y de más de 30,000
pidiendo al usuario extendiéndose clientes en más de
instalar un nuevo rápidamente a 30 bancos en toda
software de España y Holanda Europa.
seguridad en su
dispositivo móvil.

Apéndice C: Análisis de las deficiencias de COBIT 5
Apéndice C: Análisis de las

deficiencias de COBIT 5
Este apéndice considera los procesos establecidos en el marco de negocios de ISACA
para gobierno y gestión de las TI de la empresa —COBIT 5 — e indica las áreas en las
que se requieren medidas, alcance o énfasis adicionales o mejorados para mitigar el riesgo
presentado por una amenaza de APT.
COBIT 5 Medidas adicionales recomendadas

Evaluar, dirigir y supervisar
EDM01 Recomendaciones:
Asegurar el establecimiento Mitigar una amenaza de APT requiere una política corporativa clara, que
y el mantenimiento del se comunique bien y que esté asociada con incentivos fuertes, como
marco de gobierno recompensas atractivas y sanciones serias.
Las amenazas de APT requieren de un grado de disciplina mucho mayor para

asegurar que la gerencia del negocio apoye y esté completamente consciente
del riesgo potencialmente dañino para las operaciones del negocio que
representan los ataques de APT.
Las intrusiones de APT abarcan toda la empresa, lo que requiere de

unaevaluación de riesgos y respuesta bien coordinadas.
Asegurar la entrega de Una reducción mayor en la probabilidad o el impacto de un incidente APT
beneficios ofrece un valor comercial sustancial a la empresa, incluyendo una reducción
en los costes, pérdidas y daños a la reputación asociados con una intrusión.
Estos costes no se pueden medir con precisión, pero se deben estimar

y presentar a la gerencia como un apoyo para el caso del negocio sobre
medidas de seguridad de la información mejoradas.
Asegurar la optimización del Se debe realizar una evaluación de riesgos especial para intrusiones APT, de
riesgo tal forma que se pueda ayudar a identificar el impacto total en la empresa. El
riesgo puede ser identificado para los procesos específicos de negocios, pero
es mejor manejar una cartera de riesgo en toda la empresa porque el riesgo
para múltiples procesos, a menudo, comparte una acción de mitigación en
común.
Las evaluaciones de riesgo de APT también deben incluirse en los procesos

locales de manejo de riesgos, aunque es importante asegurar que las
acciones de mitigación que se tomen en toda la empresa se coordinen
cuidadosamente para evitar la duplicación innecesaria de acciones y
asegurar la consistencia y compatibilidad de las medidas adoptadas.
Asegurar la optimización de Los APT demandan un cambio radical en las habilidades, disciplinas y
recursos contramedidas necesarias para mitigar el riesgo. Se deben revisar y mejorar
los programas, recursos y métricas de seguridad existentes para estar a la
altura del desafío, basándose en una evaluación de riesgos informada.


Evaluar, dirigir y supervisar (continuación)
Asegurar la transparencia de Las evaluaciones de la exposición de la empresa al riesgo de APT, incluyendo
las partes interesadas los consecuentes posibles daños , se deben comunicar a todas las partes
claves interesadas, incluyendo a los comités de riesgo para el negocio y de
auditoría.
El objetivo debe ser asegurar que las partes interesadas estén

completamente informadas del riesgo de APT y que reconozcan las
implicaciones, especialmente la necesidad de responsabilidades adicionales,
disciplina de los usuarios, medidas preventivas y manejo de la crisis. Se debe
asignar una responsabilidad específica para la coordinación de la respuesta
de la organización al riesgo de APT.
También se deben aplicar rigurosamente políticas estrictas y acuerdos de

confidencialidad en relación con los contratistas externos que tengan acceso
a información sensible y crítica.
La naturaleza de los ataques de APT también requiere un contrato minucioso

con las agencias de seguridad nacional y las autoridades policiales.
Las organizaciones que responden a intrusiones de APT pueden obtener un

apoyo y consejo valioso de otros equipos de CERT o CSIRT, así como de los
vendedores de seguridad.
Se deben realizar revisiones especializadas e independientes de la capacidad

de la organización para identificar y mitigar el riesgo de APT en intervalos
regulares (al menos anualmente).
Alinear, planear y organizar
APO01 Recomendaciones:
Administrar el marco de El marco de gestión de TI debe revisarse para asegurar que la política,
gestión de TI disciplina y responsabilidades apropiadas se incluyan en la respuesta al
riesgo de APT identificado.
Donde haya un sistema de gestión de seguridad de la información

(ISMS), éste también se debe revisar para asegurar que se incluyan las
políticas, estándares y procesos de seguridad apropiados para permitir a la
organización prevenir, detectar y responder a los ataques de APT.
El alcance, posicionamiento y línea jerárquica de la función CISO pueden

mejorarse para asegurar que haya suficiente autoridad para abordar rápida y
firmemente los incidentes de APT o las vulnerabilidades que puedan permitir
que suceda un ataque.
Es posible que los programas de capacitación y concienciación de

seguridad también se deban mejorar para asegurar de que se cuente con las
suficientes habilidades técnicas y sensibilización del personal para reducir el
riesgo de los ataques de APT.


Alinear, planear y organizar (continuación)
Gestionar la estrategia Se debe realizar un análisis de deficiencias para identificar carencias en la
estrategia y los programas de seguridad existentes. Esto se debe informar a
través de una evaluación de riesgos de APT que incluya a toda la empresa.
Se debe desarrollar una estrategia de seguridad y un programa a largo plazo
basado en los hallazgos del análisis de deficiencias.
La estrategia de seguridad tendrá implicaciones para la estrategia de TI, por

ejemplo, identificar la necesidad de mejoras en la gestión de acceso para los
usuarios, gestión de la red, desarrollo de sistemas y estrategias de manejo
de crisis.
Gestionar la arquitectura de Mitigar el riesgo de APT requiere un mayor uso de tecnologías como
la empresa. una autenticación y cifrado fuertes, así como una extensa monitorización
de la seguridad y una gestión efectiva de las vulnerabilidades. Estos
requerimientos tendrán un impacto significativo en la información y las
arquitecturas de TI y seguridad, las cuales deberán revisarse para ofrecer
una protección más robusta de los activos intelectuales.
Gestionar la innovación Las contramedidas ya establecidas no son suficientes para abordar
eficientemente los ataques de APT Responder a las amenazas de APT
requiere investigación en seguridad y un escaneo de la tecnología con
vistas al futuro para identificar medidas para ayudar a prevenir, detectar
y responder a las intrusiones. Se debe hacer una pequeña inversión en la
investigación y desarrollo de nuevas soluciones.
Se debe fomentar la innovación entre los practicantes de la seguridad para

ayudar a desarrollar mejores métodos para prevenir y detectar ataques,
aunque esto debe balancearse con el riesgo de que nuevas formas de
control puedan no estar suficientemente establecidas para satisfacer los
requerimientos de cumplimiento regulatorio.
Gestionar la cartera El riesgo de seguridad debe considerarse en las decisiones sobre la inversión
en el catálogo de aplicaciones de TI. Particularmente, el riesgo de APT es
suficientemente significativo para influir en los potenciales costes asociados
con las nuevas aplicaciones. Se debe realizar una evaluación de riesgos en la
empresa, y los resultados se deben usar para estimar el potencial valor con
riesgo de ataques de APT.
Gestionar el presupuesto y Es posible que se necesiten nuevos procesos y tecnologías de seguridad
costes para mitigar el riesgo asociado con los ataques de APT. Por lo tanto, se debe
revisar el presupuesto para seguridad de la información después de una
evaluación del riesgo de APT en toda la empresa.


Gestionar los recursos Manejar la respuesta al riesgo de APT puede requerir que se hagan cambios
humanos significativos en los recursos, habilidades y desarrollo profesional de la
función de seguridad de la información y las funciones de TI asociadas,
como el manejo de la red. Se debe realizar un análisis de deficiencias de
habilidades.
Se deben mejorar los programas de capacitación para el usuario y el

personal que incluyan una mayor consciencia del riesgo de la ingeniería
social. También se debe recordar al personal la importancia de adherirse
a las políticas de seguridad. Si es necesario, se deben fortalecer los
procedimientos disciplinarios.
Se debe realizar una mejor selección del personal o los contratistas

con acceso a cualquier servicio que se considere un componente de la
infraestructura nacional crítica.
Se debe recordar a los contratistas la necesidad de seguir las políticas de

seguridad. Se deben aplicar de forma estricta acuerdos de no divulgación.
También se deben revisar los preparativos para el manejo de crisis y la

composición del equipo para asegurar que la empresa esté adecuadamente
preparada para manejar un incidente mayor de APT.
Gestionar las relaciones Los administradores de seguridad deben establecer relaciones más fuertes
con los gerentes del negocio responsables de los activos que tengan
probabilidades de ser el objetivo de ataques de APT. Se debe desarrollar
un programa de comunicación mejorado para informar a los gerentes del
negocio y al personal sobre la naturaleza del riesgo de APT y el rango de
medidas necesarias para mitigar el impacto.
Gestionar los acuerdos de Se debe realizar la debida diligencia con los proveedores de servicios
servicio externos responsables por activos que puedan ser el objetivo de un ataque
de APT.
Todos los servicios de terceros con conexión a Internet se deben someter a

un escaneo continuo de vulnerabilidades. También se deben realizar pruebas
regulares de intrusión.
Se debe hacer un escrutinio a todos los cambios importantes en los contratos

de terceros, y éstos deben ser aprobados por el CISO.


Gestionar los proveedores Se deben aplicar rigurosamente acuerdos de confidencialidad para los
contratistas externos con acceso a información sensible y a áreas críticas.
Las organizaciones deben hacer un escrutinio de la cadena de suministros

para detectar posibles debilidades en la seguridad, ya que este es un
potencial canal para que un APT penetre en la infraestructura de la empresa.
Las conexiones de terceros frecuentemente son una fuente de acceso no

autorizado. Por lo tanto, se debe hacer un escrutinio y se deben supervisar
todos los acuerdos y prácticas comerciales.
Se deben realizar revisiones de seguridad a personas externas con acceso

a los sistemas o redes que dan soporte a los servicios de infraestructura
nacional crítica.
El desarrollo de software externalizado se debe controlar estrictamente para

las aplicaciones sensibles o críticas, ya que se puede robar la propiedad
intelectual o se pueden colocar puertas traseras o troyanos. Las librerías de
código fuente se deben proteger, ya que éstas son objetivos conocidos de los
ataques de APT.
Gestionar la calidad Se deben monitorizar los incidentes menores en toda la empresa, ya
que estos son una indicación de potenciales vulnerabilidades o de un
compromiso real.
Gestionar el riesgo Se debe realizar una evaluación de riesgos especial para APT, para ayudar a
identificar el impacto total en la empresa.
La evaluación de riesgos debe considerar todo el rango de activos

intelectuales y consecuentes pérdidas , incluyendo el potencial de daños a
la reputación, pérdida de ventas y responsabilidad legal, así como cualquier
potencial daño físico que pueda ser resultado de un ciberataque en los
sistemas SCADA que controlan procesos operacionales.
AP013 Recomendaciones:
Gestionar la seguridad Se debe revisar el ISMS para asegurar que existan las políticas, estándares
y procesos de seguridad apropiados para permitir a la organización prevenir,
detectar y responder a ataques de APT.
Construir, adquirir e implementar
BAI01 Recomendaciones:
Gestionar programas y Se debe revisar el programa y las metodologías de gestión de proyectos para
proyectos asegurar que el riesgo de APT se pueda identificar y abordar en una etapa
temprana apropiada.
Es posible que se deban fortalecer los programas de seguridad existentes

para estar a la altura del desafío que presenta el riesgo de APT, basándose
en una evaluación de riesgos informada.


Construir, adquirir e implementar(continuación)
Gestionar la definición de La seguridad se debe integrar firmemente en los procesos de desarrollo y
requerimientos mantenimiento de sistemas, comenzando con la etapa de requerimientos
con una evaluación profesional de los riesgos de seguridad. Se recomienda
Microsoft SDL.
Los análisis de requerimientos deben tener en cuenta el riesgo de APT,

basándose en una evaluación de toda la empresa. El análisis debe tener en
cuenta el riesgo potencial a otros sistemas de información que comparten la
misma infraestructura o entorno.
Administrar la identificación Los ataques de APT están diseñados para propagarse en toda una empresa,
y creación de soluciones enfocándose en sistemas o datos específicos con valor para el que los
origina. Por lo tanto, las soluciones para los sistemas que manejen datos
con información crítica, o aquellos que ofrecen servicios críticos, se deben
diseñar de forma que resistan cualquier ataque que surja desde el interior de
la infraestructura de la empresa.
Gestionar la disponibilidad y Se debe prestar especial atención a los requerimientos de ancho de banda
capacidad de los negocios electrónicos que puedan estar sujetos a un ataque de Ataque
de denegación de servicio distribuido (DDoS).
Administrar la habilitación Se debe comunicar el riesgo de ataques de ingeniería social al personal que
del cambio organizacional opera o administra los sistemas con posibilidades de ser objetivo de un APT.
Gestionar los cambios Los cambios al sistema son una potencial fuente de inseguridad y una
oportunidad importante para introducir mejoras en seguridad. Se debe
integrar la seguridad en los procesos de administración del cambio,
especialmente para los sistemas que manejan datos sensibles o críticos con
posibilidades de ser el objetivo de un ataque de APT.
Gestionar la aceptación y la Las solicitudes de cambios, incluyendo los cambios de emergencia, se deben
transición de los cambios examinar para identificar si hay algún riesgo de seguridad asociado y, si es
necesario, se deberán presentar a la función de seguridad de la información
para obtener información y consejo.
Se debe probar la seguridad de las aplicaciones para identificar posibles

vulnerabilidades antes de su implementación.
Una separación estricta de las instalaciones de desarrollo, prueba

y operación es esencial para minimizar el riesgo de que cualquier cuenta
esté comprometida.
Todos los cambios autorizados se deben controlar formalmente y se deben

registrar para asegurar que las modificaciones no autorizadas hechas por
malware de APT puedan identificarse con más facilidad.


Gestionar el conocimiento Es posible que se deban revisar las pautas, estándares y procedimientos
de clasificación de información para que reflejen la naturaleza especial del
riesgo de APT.
La documentación del sistema y las librerías de código fuente son uno de

los principales objetivos de APT, y se deben proteger cuidadosamente de
accesos no autorizados.
Gestionar los activos Los activos con probabilidades de ser el objetivo de ataques de APT se deben
identificar claramente y se deben someter a la evaluación de riesgo de APT
de un especialista.
Asignar la propiedad de activos sensibles y críticos es crucial para

protegerlos de los ataques de APT.
Hacer un mal uso de las instalaciones de TI, por ejemplo, cargar software
no autorizado en las máquinas del negocio, también puede presentar una
exposición a ataques de APT. Por lo tanto, se deben tener controles estrictos
para evitar que los activos del negocio se usen con fines no aprobados.
Gestionar la configuración Un estricto control de las configuraciones de la plataforma es esencial
para prevenir y detectar las intrusiones de APT. Estos ataques introducen
cambios a las configuraciones de la plataforma. Revisar y probar los cambios
al sistema operativo puede ayudar a detectar cualquier modificación no
autorizada hecha por malware de APT.
La integridad de los archivos y la gestión de la configuración de seguridad

son tecnologías recomendadas para asegurar que los procesos del negocio
no se vean afectados por cualquier intento de subvertir su contenido.
Se recomienda una gestión continua (al menos diaria) de las vulnerabilidades

para detectar debilidades de seguridad en aplicaciones y plataformas tan
pronto como sea posible.
Entrega, servicio y soporte
DSS01 Recomendaciones:
Gestionar las operaciones Los procedimientos operativos para sistemas que manejan datos sensibles
o críticos que puedan ser el objetivo de un ataque de APT se deben revisar
y reevaluar para reflejar el riesgo mejorado.
Idealmente, los sistemas sensibles o críticos se deben desconectar de las

redes generales de la empresa o se deben encontrar en dominios de red
dedicados con políticas de acceso estrictamente manejadas y con controles
de conexión.
Gestionar las peticiones e Se deben mejorar los canales de informe de incidentes existentes para
incidentes de servicio incorporar alertas a potencial actividad de APT. Se deben desarrollar criterios
para identificar señales de potenciales ataques. Se deben establecer puntos
focales de seguridad para recibir y responder a los reportes de eventos de
seguridad reales o sospechados.


Gestionar problemas Los problemas pueden ser indicadores de un posible compromiso de APT.
Los procedimientos para el análisis de problemas deben incluir preguntas
que puedan ayudar a identificar la presencia de malware de APT.
Gestionar la continuidad Se deben considerar los planes de continuidad comercial para el posible
daño de una intrusión de APT, incluyendo las posibilidades de una
brecha de datos de gran escala o un daño irreversible a la integridad
de un sistema crítico para una aplicación.
Gestionar servicios de Se deben mantener controles excepcionalmente estrictos en las conexiones a
seguridad la red y los dispositivos conectados, especialmente aquellos que se conectan
a sistemas y dominios que contienen datos sensibles o críticos que puedan
ser el objetivo de un ataque de APT.
Se recomienda hacer una gestión continua de las vulnerabilidades para

detectar debilidades de seguridad en aplicaciones y plataformas tan pronto
como sea posible.
Gestionar los controles de Los procesos del negocio externalizados son un objetivo potencial
procesos de negocio para ataques de APT. Se deben revisar los controles de gestión y los
contratos y, si es necesario, se deben fortalecer si se considera que
algún servicio puede ser el objetivo de ataques de APT.
La segregación de tareas es un principio de seguridad importante

para reducir al mínimo el riesgo de que haya cuentas comprometidas.
Se debe aplicar estrictamente cuando se diseñen controles para los
procesos del negocio.
Supervisión, Evaluación y valoración
MEA01 Recomendaciones:
Supervisar, evaluar y Los procesos de supervisión del rendimiento pueden ofrecer una
valorar el desempeño y indicación temprana del compromiso de APT. Los procesos de informe
conformidad deben incluir una consideración de las implicaciones para la seguridad
de cambios inesperados e inusuales en el rendimiento del sistema o la
infraestructura.
Supervisar, evaluar y Las amenazas de APT requieren revisiones regulares (al menos
valorar el sistema de trimestrales) para considerar las implicaciones de nueva inteligencia,
control interno amenazas emergentes y vulnerabilidades identificadas.
Supervisar, evaluar y Las empresas deben tratar de asegurar que cualquier riesgo de APT
valorar el cumplimiento asociado con servicios críticos o datos sensibles manejados en nombre
con los requisitos externos de clientes externos se identifique, y que se acuerden e implementen
los planes de seguridad apropiados.

Apéndice D: Glosario de términos

Agujero negro: un punto en la red donde el tráfico entrante se descarta sin informar a la
fuente que los datos no pudieron llegar a su destino.
Ataque de denegación de servicio distribuido (DDoS): un ataque a la red de ordenadores

diseñado para interrumpir los servicios operativos inundando, consumiendo o agotando el
ancho de banda, memoria o capacidad de procesamiento.
Ataque de fuerza bruta: un ataque basado en repetidos intentos de adivinar las contraseñas o
claves de cifrado, pasando a través de una variedad de combinaciones posibles hasta que una
es exitosa.
Autenticación fuerte: un sistema de autenticación que se basa en algo más que un secreto
compartido, como una contraseña (password), empleando un mecanismo adicional, como un
token físico, tarjeta inteligente o atributo biométrico.
Bogon:un falso paquete de IP que utiliza una dirección que aún no ha sido asignada o
delegada por Internet Assigned Numbers Authority (IANA) o un registro de Internet regional
delegado (RIR).
Botnet: una gran red distribuida de ordenadores previamente comprometidos que pueden
usarse para organizar ataques de denegación de servicio a gran escala a los servicios objetivo.
Caballo de Troya: código nocivo o malintencionado oculto intencionalmente dentro de un

programa informático autorizado.
Certificado digital: un registro electrónico firmado por una autoridad de certificación utilizado
para autenticar a un usuario o una transacción.
Coincidencias de patrón de comunicaciones: Una técnica para detectar posibles ataques

mediante la exploración de las comunicaciones para detectar signos o firmas conocidas de
actividad de APT.
Cortafuegos (firewall): un sistema o combinación de sistemas que impone un límite entre

dos o más redes, normalmente formando una barrera entre un ambiente seguro y un ambiente
abierto como el de Internet.
Equipo de respuesta a incidentes de seguridad informática (CSIRT): un equipo

establecido dentro de una empresa para responder a los incidentes de seguridad informática.

Director de Seguridad de Información (CISO, por sus siglas en inglés: Chief information
security officer): la persona a cargo de la seguridad de la información dentro de la empresa.
Las unidades de negocios individuales también pueden contratar a su propio CISO.
Enrutador de agujero negro: un enrutador configurado para recoger el tráfico que no puede
ser entregado, por ejemplo, porque es inesperado, está mal configurado o es potencialmente
malicioso.
Equipo de respuesta a incidentes de seguridad informática (CSIRT): un equipo

establecido dentro de una empresa para responder a los incidentes de seguridad informática.
Explorador de vulnerabilidades: un sistema de software que evalúa los ordenadores

conectados a una red, las redes o las aplicaciones para detectar actualizaciones de las bases de
datos de fallos conocidos, en busca de debilidades de seguridad.
Explotación de día cero: un ataque basado en el conocimiento avanzado e inédito sobre la

vulnerabilidad de un software en un sistema operativo o aplicación que no ha sido abordada
por el proveedor del software.
Falso positivo: un resultado que ha sido erróneamente identificado como un problema cuando,
en realidad, la situación es normal.
Gestión de la configuración de seguridad: un proceso que busca asegurar la integridad de las

configuraciones de seguridad de la plataforma y los sistemas de información que soportan.
Guerra cibernética: un ataque informático por motivos políticos cuyo fin es obtener
superioridad sobre un adversario al comprometer la confidencialidad, integridad o
disponibilidad de la infraestructura o los sistemas de información del objetivo.
Guerra de la información: término usado previamente al de “guerra cibernética”, pero

generalmente entendido por ser más sofisticado, con mayor enfoque en la manipulación de la
información.
Hacker activista: un hacker que interrumpe o roba información de los sistemas de las
empresas objetivo por razones ideológicas o políticas.
Honeypot: servidor configurado de manera especial, también conocido como servidor

señuelo, diseñado para atraer y controlar intrusos de tal manera que sus acciones no afecten a
los sistemas de producción.
Informática confiable (TC): Una tecnología que se aprovecha de un monitor de referencia

seguro incrustado en un chip de prueba llamado módulo de plataforma confiable (TPM).

Inspección profunda de paquetes (DPI): una tecnología que inspecciona el contenido de

los datos de una comunicación entrante o saliente con criterios predefinidos, para detectar
software malicioso, intentos de intrusiones o contenido indeseable según criterios definidos.
Intruso (hacker): un individuo que intenta obtener acceso no autorizado a un sistema

informático.
Lista blanca: la práctica de controlar el acceso o la ejecución de derechos a través de una lista
de usuarios, dispositivos o programas aprobados.
Marciano: un falso paquete de IP que utiliza una dirección IP que está reservada para el uso
exclusivo de la Internet Assigned Numbers Authority (IANA).
Menor privilegio: Un principio duradero para minimizar el riesgo de acceso no autorizado al

garantizar que se conceden a los usuarios los permisos de acceso mínimo necesarios para que
puedan llevar a cabo su trabajo.
Phishing: tipo de ataque por correo electrónico que trata de convencer a un usuario de que el
originador es auténtico, pero con la intención de obtener información para uso en ingeniería
social.
Prevención de fuga de datos (DLP): es una tecnología diseñada para detectar y bloquear
posibles brechas de datos, como las transmisiones salientes de datos confidenciales.
Prueba de intrusión: una prueba en vivo de la eficacia de las defensas de seguridad mediante
la imitación de acciones que llevan a cabo atacantes en la vida real.
Puerta trasera: un medio para recuperar el acceso a un sistema comprometido al instalar

software nuevo o reconfigurar el software existente para permitir el acceso remoto bajo
condiciones definidas por el atacante.
Rootkit: un conjunto de herramientas de software diseñadas para ayudar a un intruso a

obtener acceso no autorizado a un sistema informático.
Security Development Lifecycle (SDL): un proceso de desarrollo de software, desarrollado

por Microsoft, que ayuda a los desarrolladores a crear software más seguro.
Servidor de mando y control: Un servidor central de control diseñado para emitir comandos
remotos al malware en un sistema comprometido.
Simulación en entorno de pruebas: una tecnología que evalúa archivos potencialmente

maliciosos, incluyendo documentos de oficina y código ejecutable, al ejecutarlos en un
entorno virtual y examinando su comportamiento para detectar posible actividad maliciosa.

Sistema antivirus (o anti-malware): una tecnología ampliamente utilizada para prevenir,

detectar y eliminar muchas categorías de malware, incluyendo virus informáticos, gusanos,
Troyanos, keyloggers, plug-ins de navegador malicioso, adware y spyware.
Sistema de detección de intrusos (IDS): inspecciona la actividad en la seguridad del host y la

red para identificar patrones sospechosos que podrían indicar un ataque al sistema o la red.
Sistema de prevención de intrusos (IPS): una tecnología que monitoriza las actividades del
sistema y el tráfico de la red para detectar actividades maliciosas y bloquea cualquier intrusión
que se detecta.
Spear phishing: un ataque de correo electrónico fraudulento (phishing) dirigido contra una
víctima cuidadosamente seleccionada, aprovechando el conocimiento sobre los intereses
personales o de negocios de la víctima.
Supervisar la actividad de la base de datos (DAM): una tecnología que permite controlar,
monitorizar y registrar el acceso a las bases de datos, independientemente del software de
gestión de la base de datos.
Supervision de la integridad de los archivos: una tecnología de seguridad que monitoriza y

confirma la integridad de los archivos clave usados por los sistemas operativos o sistemas de
información.

Referencias
Referencias
Beechey, Jim; “Application Whitelisting: Panacea or Propaganda?,” The SANS Institute,
EE. UU., 2011, www.sans.org/reading_room/whitepapers/application/application-
whitelisting-panacea-propaganda_33599
Blasco, Jaime; “Are the Sykipot’s authors obsessed with next generation US drones?,”
AlienVault Labs Blog, EE. UU., 20 de diciembre 2011, labs.alienvault.com/labs/index.
php/2011/are-the-sykipots-authors-obsessed-with-next-generation-us-drones
Brown, Moira West; Don Stikvoort; Klaus-Peter Kossakowski; Georgia Killcrece; Robin
Ruefle; Mark Zajicek; Handbook for Computer Security Incident Response Teams (CSIRTs),
2a edición, Carnegie Mellon University, EE. UU., abril de 2003,
www.sei.cmu.edu/library/abstracts/reports/03hb002.cfm
Command Five Pty Ltd, “Advanced Persistent Threats: A Decade in Review,” Australia,
2011, www.commandfive.com/papers/C5_APT_ADecadeInReview.pdf
Context Response, “Network Monitoring,” Context Information Security, Reino Unido, 2013,
www.contextis.co.uk/files/Network_Monitoring_April_2013_3.pdf
“Cyberwar: War in the Fifth Domain,” The Economist, 1 de julio de 2010, consultado el
22 de agosto de 2013, www.economist.com/node/16478792
Europol, “2013 Serious and Organised Crime Threat Assessment (SOCTA),” Los países
bajos, 2013, www.europol.europa.eu/content/eu-serious-and-organised-
crime-threat-assessment-socta
Franklin, Andrew; et al.; “IBM X-Force® 2012 Trend and Risk Report,”
IBM Security Solutions, EE. UU., 2013, www-01.ibm.com/common/ssi/
cgi-bin/ssialias?subtype=WH&infotype=SA&appname=SWGE_WG_WG_
USEN&htmlfid=WGL03027USEN&attachment=WGL03027USEN.PDF
Hutchins, Eric M., Michael J. Cloppert; Rohan M. Amin, Ph.D.;

“Intelligence-Driven Computer Network Defense Informed by Analysis of
Adversary Campaigns and Intrusion Kill Chains,” Lockheed Martin Corporation,
EE. UU., 2011, papers.rohanamin.com/wp-content/uploads/papers.rohanamin.
com/2011/08/iciw2011.pdf
Kalige, Eran; Darrell Burkey; “A Case Study of Eurograbber: How 36 Million Euros was
Stolen via Malware,” Check Point Software Technologies and Versafe, 2012,
www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf

Krekel, Bryan; Patton Adams; George Bakos; “Occupying the Information High Ground:
Chinese Capabilities for Computer Network Operations and Cyber Espionage,” preparado
por Northrop Grumman Corporation para la US-China Economic and Security Review
Commission, EE. UU., 2012, origin.www.uscc.gov/sites/default/files/Research/USCC_Report_
Chinese_Capabilities_for_Computer_Network_Operations_and_Cyber_%20Espionage.pdf
Lacey, David; Managing the Human Factor in Information Security: How to Win Over Staff
and Influence Business Managers, John Wiley & Sons, EE. UU., 2009
Mandiant, “M-Trends® 2013: Attack the Security Gap™,” EE. UU., 2013,
www.mandiant.com/resources/m-trends
National Institute of Standards and Technology (NIST), Computer Security Incident Handling
Guide, Publicación especial 800-61, 2008,
csrc.nist.gov/publications/PubsSPs.html
NIST, Security and Privacy Controls for Federal Information Systems and Organizations,
Publicación esepcial 800-53, Revisión 4, 2013,
nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
Ponemon Institute, “2012 Cost of Cyber Crime Study,” EE. UU., 2012,
www.ponemon.org
Rasmussen, Anders Fogh; “NATO’s Next War—in Cyberspace,” The Wall Street
Journal, 2 de junio de 2013, consultado el 22 de agosto de 2013, online.wsj.com/article/
SB10001424127887323855804578508894129031084.html
Stamos, Alex; “Aurora Response Recommendations,” iSEC Partners, EE. UU., 2010, www.
isecpartners.com/research/white-papers/aurora-response-recommendations.aspx
Stoll, Clifford; The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer
Espionage, Doubleday, EE. UU., 1989
Strobel, Warren; Deborah Charles; “With troops and techies, U.S. prepares for
cyber warfare,” Reuters, 7 de junio de 2013, consultado el 22 de agosto de 2013,
in.reuters.com/article/2013/06/07/usa-cyberwar-idINL1N0EF0NF20130607
Symantec, “2013 Internet Security Threat Report,” volumen 18, consultado el 22 de agosto
de 2013, www.symantec.com/security_response/publications/threatreport.jsp

Referencias
Verizon, “2013 Data Breach Investigations Report,” EE. UU., 2013,

www.verizonenterprise.com/DBIR/2013
Villeneuve, Nart; James Bennett; “Detecting APT Activity with Network Traffic Analysis,”
Trend Micro Incorporated, EE. UU., 2012, www.trendmicro.com/cloud-content/us/pdfs/
security-intelligence/white-papers/wp-detecting-apt-activity-with-network-traffic-analysis.pdf
Walter, Jim; “Flame Attacks: Briefing and Indicators of Compromise,” McAfee Labs, 2012,
www.mcafee.com/us/resources/white-papers/wp-mcafee-skywiper-brief-v-1-6.pdf


Índice
Índice
A Ciclo de vida del desarrollo de la seguridad,
86
Actividad de la red que indica un ataque de COBIT 60, 113-120
APT, 72 Coincidencia de patrones de comunicaciones,
Activista, 33-34 81-83
Activos financieros en riesgo, 51 Comportamiento sospechoso, ejemplos de,
Activos físicos en riesgo, 50-51 71-72
Activos intelectuales en riesgo, 53 Conexión única [Single-sign on] (SSO), 78
Adobe Systems, 22, 110 Conocimiento en riesgo, 52
Adware, 15 Contención de daños, 98
Agencias de inteligencia, 29, 43, 50 Control de acceso, 121-124
AlienVault Labs, 21 Cortafuegos (firewall) de estado, 77-78
Análisis de la causa raíz, 99 Cortafuegos (firewall), 65, 77-78, 81
Anónimos, 34 Cuckoo’s Egg, 19-20
Aprendizaje a partir de incidentes, 99 Cumplimiento, 22, 57, 60, 75, 78
Aprovechamiento de la información, 46
Ataque de denegación de servicio D
distribuido, 33
Ataque de denegación de servicio, 17, 41, 94 Datos de tarjeta de crédito y valores de
Ataque RSA, 24-25 verificación de tarjeta, 51
Autenticación fuerte, 78 Definición de amenaza persistente vanzada
Auto replicación, 15 12
Derechos contractuales (manipulación de), 51
B Descarga drive-by, 17
Descubrimiento del objetivo, 45-46
Bandas criminales, 32-33 Detección basada en firma, 77
Bendelladj, Hamza, 23 Diagrama de Ishikawa, 99-100
Bogon, 82 Diagramas de espina de pescado, 99
Botnet, 17 Duqu, 25-26
C E
Caballo de Troya, 16-17 Educación del usuario, 65-66
Cadena de muerte, 67-68, 71, 73 Ejercicios de crisis, 94
Características de un ataque de APT38, 38-43 Ejército electrónico sirio, 51
Carnegie Mellon University, 89 Embajadas, ataques a, 21
Caso de negocio para contramedidas, 57 Enfoque heurístico (basado en la
Centro de operaciones de seguridad (SOC), experiencia), 77-78
90-91 Enrutador agujero negro, 82
Certificado digital, 40, 82 Entrar en el objetivo, 45
Certificados digitales SSL, 82 Equipo de respuesta a emergencias
Ciclo de la gestión de riesgos, 49 informáticas (CERT), 89-90

Equipo de respuesta a incidentes de I

seguridad informática (CSIRT), ver
Equipo de respuesta a emergencias Identificación de incidentes, 96
informáticas. Identificación de incidentes, 99
Escaneo de vulnerabilidad, 79-80 Identificación de los activos en riesgo, 49-53
Espionaje, 29-32 Identificación del riesgo de APT, 49
Estructura del equipo de crisis, 92-93 Informática confiable, 84-85
Etapas de un ataque de APT, 43-46 Informe Post mortem, 100
Eurograbber, 27
Inspección profunda de paquetes, 81
Evaluación de riesgo y respuesta
Inspecciones forenses, 85
coordinadas, 64, 73
Internet Assigned Numbers Authority
Evaluación del riesgo de APT, 55-56
Exfiltración de datos, 46 (IANA), 82
Explotación de día cero, 17 Intruso (hacker), 12, 28, 43
Investigación del objetivo, 44-45
F
J
Falso positivo, 91
Flame, 26, 40 Jardín amurallado, 85
Fuerzas armadas, 34-36
Fusión de datos, 91-92 K
Keylogger, 15, 77
G
Gestión de activos, 64 L
Gestión de crisis, 48, 94-95, 97-98 Lavado de dinero, 51
Gestión de la configuración de seguridad, Lista blanca de aplicaciones, 85-86
83-84 Lockheed Martin, 67-68
Gestión de vulnerabilidades, 65
GhostNet, 21-22, 82
M
Google, 22
Gozi, 22-23 Mando y control, 45
Guerra cibernética, 34-36, 39, 43, 47 Manipulación de la información de los
Gusano de internet, 89 precios de las acciones o del momento
Gusano de Morris, 89 de las transacciones, 51
Gusano, 16 Mapa de calor del riesgo, 55-56, 58
Marciano, 82
H Mitigación del riesgo de APT, 57
Módulo de plataforma confiable, 84
Hacker activista, ver activista Momentos en los que se justifica una alerta
Hess, Markus, 20 extrema, 72-73
Honeypot, 86 Monitorizacioń de integridad de archivos, 83
Hydraq, 22 Moonlight Maze, 20

Índice
O Supervisión de la actividad de la base de

datos, 80
Octubre Rojo, 26-27 Sykipot, 21
Operación Aurora, 22
P T
PayPal, 34 Tecnología de la seguridad para mitigar los
Persistencia de los ataques de APT, 41-42 ataques de APT, 66-67
Polimorfismo, 16 Terroristas, 33
Principio de menor privilegio, 64 Titan Rain, 20-21
Pruebas de intrusión, 78 Troyano de acceso remoto, 17, 82
Pruebas de seguridad de las aplicaciones, 81 Troyano de denegación de servicio, 16
Troyano de envío de datos, 16
R Troyano de hombre en el navegador, 16, 23
Troyano de hombre en el teléfono móvil, 16
Ransomware, 15
Troyano de inhabilitación del software de
Recuperación de un incidente, 98
seguridad, 17
Redes sociales, 44, 53
Troyano FTP, 16
Registro de arranque maestro, 23
Troyano proxy, 16-17
Registro de riesgos, 56
Registros de recursos humanos en riesgo, 52
República Popular de China, 35
V
Reputación corporativa, 53, 58, 93 Valor de la marca, 53
Riesgo Moral, 56 Valoración de daños, 96-97
Rootkit, 15 Ventor de ataque, 20
Virus, 16
S Visualización de datos, 92
SCADA, 33
SecurID, 24 Z
Segregación de redes, 65 Zeus, 23
Seguridad de la información y de gestión de
eventos (SIEM), 84
Selección del objetivo, 44
Servicios de inteligencia, 13, 19, 30-32, 52
Servidor de mando y control, 40, 72, 81-82
Signos que delatan un ataque de APT, 70-72
Simulación en entorno de pruebas, 80
Sistema de detección de intrusos (IDS), 77
Sistema de prevención de intrusos (IPS), 79
Sofisticación de los ataques de APT, 39-40
Spear phishing, 37, 45
SpyEye, 23-24
Spyware, 15
Stuxnet, 25, 38, 50


Advanced-Persistent-Threats Res Spa 0617 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Advanced-Persistent-Threats Res Spa 0617 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Amenazas persistentes avanzadas

Envíe sus comentarios: www.isaca.org/Cyberattack

2 Personal Copy of: Ing. Alexander J. Osorio

Comité de dirección de ISACA

Personal Copy of: Ing. Alexander J. Osorio 3

4 Personal Copy of: Ing. Alexander J. Osorio

1. Comprendiendo las APT...........................................................................................11

2. Evaluando el riesgo de una APT...............................................................................49

3. Gestión de la seguridad para amenazas de las APT................................................59

Personal Copy of: Ing. Alexander J. Osorio 5

3.5 Signos que delatan un ataque de APT............................................................70

4. Medidas de Seguridad Tecnológica para mitigar ataques de las APT.....................75

5. Gestión de un incidente de una APT........................................................................89

6. Realización de una revisión de controles de las APT.............................................103

Apéndice A: Cuestionario/lista de tareas de la APT..................................................107

Apéndice B: Lista de ataques de las APT..................................................................109

6 Personal Copy of: Ing. Alexander J. Osorio

Apéndice C: Análisis de las deficiencias de COBIT 5................................................113

Apéndice D: Glosario de términos.............................................................................121

Personal Copy of: Ing. Alexander J. Osorio 7

8 Personal Copy of: Ing. Alexander J. Osorio

Personal Copy of: Ing. Alexander J. Osorio 9

Página intencionadamente en blanco

10 Personal Copy of: Ing. Alexander J. Osorio

1. Comprendiendo las APT

1.2 ¿Qué es una APT?

Personal Copy of: Ing. Alexander J. Osorio 11

Una APT es como un adversario que posee niveles sofisticados de experiencia e

Un punto importante a considerar en esta definición es que el objetivo final de un ataque de

12 Personal Copy of: Ing. Alexander J. Osorio

Esos motivos no están completamente claros. El crimen organizado a menudo opera en

Cualquiera o todos estos motivos pueden mezclarse en el desarrollo de un ataque de APT.

1.3 ¿Cómo responden otras empresas?

Personal Copy of: Ing. Alexander J. Osorio 13

Pérdida financiera (tangible)

Incumplimiento contractual o cuestiones legales

Pérdida de información personal

Pérdida de propiedad intelectual

14 Personal Copy of: Ing. Alexander J. Osorio

La investigación de ISACA indica una clara contradicción entre la concienciación de la

1.4 Comprendiendo la jerga

Software malintencionado (malware)

Personal Copy of: Ing. Alexander J. Osorio 15

Un caballo de Troya (o simplemente troyano) es un trozo de malware que obtiene acceso a

16 Personal Copy of: Ing. Alexander J. Osorio

Vulnerabilidades de día cero

Personal Copy of: Ing. Alexander J. Osorio 17

La audacia y la ambición de esta nueva ola de ataques cibernéticos sorprendió a la mayoría de

Las evaluaciones de riesgo de la seguridad de la información lamentablemente son

18 Personal Copy of: Ing. Alexander J. Osorio

El apéndice B resume los hechos conocidos, la evidencia anecdótica y las reclamaciones

The Cuckoo’s Egg

Personal Copy of: Ing. Alexander J. Osorio 19

El incidente ayudó a sensibilizar a las comunidades de inteligencia y seguridad acerca del

Los ataques robaron decenas de miles de archivos, incluyendo mapas de instalaciones

20 Personal Copy of: Ing. Alexander J. Osorio

abarcando todos los sectores principales de la industria, incluyendo aeroespacial, defensa,

Se informó que GhostNet se había infiltrado en los ordenadores de objetivos políticos,

Personal Copy of: Ing. Alexander J. Osorio 21

22 Personal Copy of: Ing. Alexander J. Osorio

Diseñado inicialmente para simplemente capturar y transmitir información bancaria personal,

En mayo de 2013, el presunto desarrollador y controlador de SpyEye, Hamza Bendelladj, un

Personal Copy of: Ing. Alexander J. Osorio 23