Ataque APT: Amenazas Avanzadas Persistentes ¿Pueden afectar a Linux?

Ataque APT: Amenazas Avanzadas Persistentes ¿Pueden afectar a Linux?

El día de hoy, nuestra publicación es del ámbito de la Seguridad Informática, específicamente sobre el tema de lo que hoy se conoce como «Ataque APT» o Amenazas Avanzadas Persistentes (Advanced Persistent Threat)

Y si los mismos pueden afectar a nuestros Sistemas Operativos libres y abiertos basados en GNU/Linux, y como podemos hacer para evitar o mitigar los mismos.

Consejos de Seguridad Informática para todos en cualquier momento

Tengamos presente que, todo tipo de ataques informáticos suelen ser mayoritariamente dirigidos a Sistemas Operativos privativos, cerrados y comerciales como Windows y MacOS. Esto debido a la alta popularidad de los mismos.

Sin embargo, a pesar de que existe la opinión generalizada de que GNU/Linux es un Sistema Operativo muy seguro, lo cual es muy cierto, eso no quiere decir que el mismo no sea susceptible a ataques de códigos maliciosos.

Y por eso, es importante seguir cualquier recomendación o consejo que nos ayude en la tarea de preservar nuestra ciberseguridad. Consejos como algunos que hemos abordado antes, y volveremos a compartir dejando inmediatamente más abajo el enlace de dicha anterior publicación relacionada y otras similares:

“Ya sea en la casa, en la calle o en el trabajo, solemos en nombre de la productividad o la comodidad, realizar actividades o ejecutar acciones muchas veces reñidas con las buenas prácticas en materia de Seguridad Informática, las cuales a la larga, pueden ocasionar mayores problemas o costos para sí mismos o los demás. Por eso, la integración de las necesarias y vitales medidas de Seguridad Informática en nuestras actividades, personales y laborales, es una de las mejores maneras de mejorar nuestra productividad personal o como empleados, o de nuestras empresas u organizaciones donde trabajamos.” Consejos de Seguridad Informática para todos en cualquier momento y lugar

Artículo relacionado:

Consejos de Seguridad Informática para todos en cualquier momento y lugar

Artículo relacionado:

Sigstore: Proyecto para mejorar la cadena de suministro del código abierto

Artículo relacionado:

Virus en GNU/Linux: ¿Realidad o Mito?

Ataque APT: Amenaza Avanzada Persistente (Advanced Persistent Threat)

A nivel noticioso, sobre todo estos últimos años, hemos podido apreciar el aumento de los ataques informáticos, tanto a países como a organizaciones públicas y privadas. Sobre todo ahora, con el aumento del trabajo remoto (teletrabajo) debido a la coyuntura de la pandemia del COVID-19. Noticias de ataques a la cadena de suministro, ataques de ransomware o ataques de ciberespionaje, entre otros, se escuchan con mucha frecuencia hoy en día.

Sin embargo, hay un tipo de ataque que cada vez se hace más popular y puede llegar a afectar con mucha efectividad a los Sistemas Operativos basados en GNU/Linux. Y este tipo ataque informático es conocido como «Ataque APT» o Amenazas Avanzadas Persistentes (Advanced Persistent Threat).

¿Qué son los Ataques APT?

Un «Ataque APT» puede ser descrito como:

“Un ataque organizado enfocado en lograr acceso prolongado a un sistema informático por parte de una persona o grupo no autorizado. Razón por la cual, su objetivo principal suele ser el robo de datos de forma masiva o la supervisión (monitoreo) de la actividad de la red informática atacada. Los Ataques APT suelen ser muy complejos, ya que, por ejemplo suelen combinar diferentes técnicas como el SQL y el XSS. Por lo que, evitarlos o protegerse de ellos requiere de avanzadas y robustas estrategias de seguridad informática.”

En detalle, las siglas APT (Advanced Persistent Threat) hacen referencia a:

Advanced (Avanzada)

La utilización novedosa y compleja de variadas y conocidas técnicas de hacking para lograr los objetivos maliciosos planteados. Muchas de dichas técnicas por sí solas no son tan peligrosas o efectivas, pero bien combinadas y usadas pueden logran que cualquier persona o grupo logre acceso, y realice daños importantes al sistema invadido.

Persistent (Persistente)

La enorme cantidad de tiempo que puede llegar a alcanzar dichos ataques dentro de un sistema invadido antes de que logre ser detectado. Esto sobre todo es esencial, ya que, permite el logro de su objetivo principal, es decir, el robo (extracción) de la mayor cantidad de datos posible. Sigilo e indetectibilidad para lograr el mayor tiempo posible en el ataque es lo que caracteriza a los grupos que utilizan dichos métodos.

Threat (Amenaza)

La enorme amenaza que representa un ataque de estos, que combina programas maliciosos que logran invadir sistemas informáticos de forma furtiva por largo tiempo para robar datos y conocer información sensible de las actividades. Y todo por parte de atacantes altamente motivados y dotados de habilidades técnicas y recursos inusuales hacia organizaciones, que por lo general, proveen servicios críticos o manejan información sensible de usuarios internos y clientes.

¿Cómo podemos evitar ataques informáticos del tipo APT sobre GNU/Linux?

Tanto para Ordenadores como para Servidores, con GNU/Linux u otros Sistemas Operativos, lo ideal es implementar la mayor cantidad posible de medidas, entre las cuales podemos mencionar brevemente las siguientes:

Acciones básicas

1. Configurar cuidadosamente el o los firewalls usados, asegurando que mantengan los registros de eventos y bloquee todos los puertos no utilizados.
2. Crear una lista de fuentes (repositorios) de software de confianza, bloquear la instalación de software y la ejecución de scripts de fuentes de terceros.
3. Auditar con frecuencia los equipos y sistemas de cómputo, para comprobar registros de eventos en busca de indicadores de ataque. También, realizar pruebas de penetración con regularidad.
4. Usar en la medida de lo posible, métodos de autentificación de dos factores y tokens de seguridad. Y reforzar la utilización de contraseñas robustas que sean cambiadas con mayor frecuencia.
5. Actualizar los Sistemas Operativos y las aplicaciones instaladas a tiempo. Preferiblemente programar actualizaciones automáticas, evitando cualquier actualización a través de canales no verificables y no cifrados.

Acciones avanzadas

1. Implementar donde sea posible y requerido, Dispositivos con Sistemas cifrados, Trusted Boot y herramientas de control de integridad del hardware. Sobre todo para evitar ataques desde adentro. Y si fuese necesario, instalar herramientas que reduzcan la probabilidad de que se exploten las vulnerabilidades provenientes de Spear Phishing y fallos en aplicaciones.
2. Utilizar herramientas del tipo Honeypot y Honeynets, que sirvan de señuelos (objetivos fáciles) para que se detecte cualquier intento de intrusión rápidamente, y se puedan activar los correctivos necesarios a tiempo, mediante el estudio de las técnicas utilizadas por los intrusos que han comprometido la seguridad de la red.
3. Usar Sistemas de Detección de Intrusos (IDS) en la red, para localizar y evitar que atacantes realicen ARP spoofing, Rogue DHCP server o ataques de otro tipo; y de Sistemas de detección de intrusos basados en host (HIDS) sobre los equipos, para monitorizar el estado del sistema de cada ordenador y alertar a tiempo de posibles amenazas.
4. Implementar soluciones de seguridad informática avanzadas (robustas), sobre todo en cuanto a Sistemas de Antivirus o Antimalwares, ya que, los sistemas convencionales no suelen ser efectivos ante ellos. También, en cuanto a firewall (cortafuegos). Ya que, uno bien avanzado (robusto) puede aislar muy bien nuestro entorno informático del exterior y bien configurado puede permitirnos la detección de los ataques APT, mediante la monitorización y análisis del flujo de datos de entrada y salida.

En fin, fortalecer y mejorar los equipos y herramientas, las prácticas usadas, los protocolos, reglas y procedimientos implementados para trabajar, y concientizar a todos y cada uno de los usuarios sobre los mismos para aumentar la seguridad informática de todos.

Para mayor información sobre los «Ataques APT», recomendamos explorar los siguientes enlaces: Enlace 1 y Enlace 2.

Resumen

En resumen, es evidente que lo que conocemos como «Ataque APT» al día de hoy, son ataques cada vez más frecuentes, llevados a cabo por Cibercriminales que ponen cada vez más esfuerzo y creatividad a la hora de realizar los mismos. Usando y combinando todo aquello que les sea posible para el logro de sus malsanos objetivos. Y por ende, no se debe escatimar en la implementación de cualquier medida de seguridad sobre GNU/Linux y otros Sistemas Operativos para evitarlos o mitigarlos.

Esperamos que dicha publicación, sea de mucha utilidad para toda la «Comunidad de Software Libre y Código Abierto» y de gran contribución al mejoramiento, crecimiento y difusión del ecosistema de aplicaciones disponibles para «GNU/Linux». Y no dejes de compartirla con otros, en tus sitios webs, canales, grupos o comunidades favoritas de redes sociales o sistemas de mensajería. Por último, visita nuestra página de inicio en «DesdeLinux» para explorar más noticias, y únete a nuestro canal oficial de Telegram de DesdeLinux.