2016 o el año en el que desaparecerán las amenazas persistentes avanzadas

Mónica Tilves,

Las predicciones de seguridad de Kaspersky Lab apuestan, además de por fenómenos como el Access-as-a-Service, por que los ataques de ciberdelincuencia perderán persistencia.

Se ha hablado bastante de ellas, pero las APT van camino de difuminarse en el rastro de la historia. Esto es, el concepto de Advanced Persistent Threat o, tal y como se conoce en español, el fenómeno de las Amenazas Persistentes Avanzadas dejará de tener el mismo peso que en la actualidad. Es algo que ocurrirá en un plazo no demasiado extenso de tiempo, a lo largo del año 2016. Y es que su desaparición marca la nueva edición de predicciones anuales de Kaspersky Lab, que explica que en su lugar se reproducirán ataques de ciberdelincuencia de carácter embebido y de mayor profundidad. Se tratará de ataques más complicados de identificar.

Las amenazas que a día de hoy se definen con los adjetivos de “avanzado” y “persistente” se caracterizan por estar diseñadas para perjudicar a objetivos muy concretos. No se dispersan para intentar alcanzar el mayor número de víctimas posibles, blandiendo la ley de la probabilidad como su mejor baza de infección. En su plan de actuación viene marcada la organización a la que deben dirigirse. Y, teniendo en cuenta que las empresas más grandes invierten en seguridad para mantener los peligros a raya, lo que harían los ciberdelincuentes sería sondear vías de penetración alternativas que les den acceso igualmente al destino final, como un empleado de bajo nivel que utiliza al misma red o un socio con el que se hace negocios y se comparte información. Todo esto sucede por y para un fin, prolongándose su actividad en el tiempo, a oscuras, alcanzando datos sensibles e incluso con patrocinio gubernamental.

¿Quiere decir la predicción de Kaspersky Lab que en el futuro ya no habrá campañas de espionaje ni ataques que discriminan entre objetivos? No exactamente. Lo que esta compañía cree es que en la práctica esas amenazas dejarán de ser avanzadas y persistentes para volverse aún más escurridizas, lo que redundará en una mayor dificultad para enfrentarse a ellas. Por ejemplo, su apuesta habla de un aumento del software maligno en memoria o sin archivo para dar menos pistas, ya que así no sería tan fácil determinar que un equipo ha sido golpeado. Esto supone una variación en el modo de funcionamiento de las APT.

“En 2016 veremos una evolución significativa de la comercialización del ciberespionaje, en la que los actores de amenazas sofisticadas minimizan la inversión reutilizando el malware disponible en el mercado. Además, al ser más fácil ocultar sus herramientas avanzadas, la infraestructura y las identidades, se elimina el factor persistencia por completo”, explica Juan Andrés Guerrero-Saade, experto analista en seguridad de Kaspersky Lab. Este profesional avanza que en los próximos meses “veremos nuevos actores en el mundo de la ciberdelincuencia. La rentabilidad de los ciberataques es indiscutible y cada vez más personas quieren un trozo del pastel”. De este modo, “encontramos mercenarios que han entrado en juego y una industria de outsourcing que crece para satisfacer las demandas de las nuevas operaciones de malware”, comenta Guerrero-Saade.

Y es que Kaspersky Lab, que parte de la labor realizada por su equipo de análisis e investigación GReAT para elaborar este tipo de vaticinios, tiene la impresión de que ya no se invertirá tanto en herramientas personalizadas para causar problemas a los internautas bienintencionados. En 2016 deberíamos asistir al aprovechamiento de aquello que concuerda con la expresión “off-the-shelf”, que en este caso sería malware prefabricado, ya existente, listo para usar. En vez de insistir por el mismo camino y preocuparse por poner a prueba la sofisticación de sus competencias, que es algo que se ha vuelto evidente, los cacos 2.0 preferirían cada vez más sacar rédito a sus operaciones, aunque ello implique tirar de recursos estándar en cuya creación no se habría puesto tanto empeño.

Fuente-Shutterstock_Autor-Ton Snoei_ransomware¿Qué más? “A la industria de la seguridad informática le espera un nuevo año de acontecimientos difíciles”, responde Juan Andrés Guerrero-Saade. “Creemos que el intercambio de ideas y predicciones con nuestros colegas del sector, así como con el gobierno, la policía y las organizaciones promoverá la colaboración necesaria para hacer frente de forma proactiva a los retos a los que haya que hacer frente”. Esos retos incluyen un incremento del ransomware o del secuestro de dispositivos por los que se pide un rescate, algo que parece que sucederá con independencia de sistemas operativos y hardware. Sin ir más lejos, consiste en un mal que puede atacar a los aparatos del Internet de las Cosas. Al mismo tiempo, los troyanos bancarios ya no estarán tan extendidos. Pero se perseguirán métodos de pago como Apple Pay y Android Pay, de naturaleza móvil, y a las propias bolsas de valores. También habrá que estar pendientes del DOXing, que es la publicación de información privada.

Dos tendencias a las que parece avocada la esfera de la seguridad online son el Access-as-a-Service y la balcanización de la Red. Guerrero-Saade advierte que ahora “surge un nuevo esquema de Access-as-a-Service, que ofrece el acceso a objetivos ya hackeados al mejor postor”. Quien pague más por el saber ofrecido, será el que se lo lleve. Esto es algo que se piensa que ocurrirá poco a poco, a más largo plazo que otros cambios. Un ritmo similar está previsto, si nadie la para antes, para esa balcanización, que es un término al que Kaspersky Lab recurre para hablar de un Internet con marcadas diferencias de disponibilidad según el país al que se pertenece. Sería un Internet fraccionado por regiones. Aquí se contempla que algún día la conectividad se termine vendiendo en el mercado negro.

Las predicciones de 2015

Ésta no es la primera vez que Kaspersky Lab prueba a adivinar el futuro. En 2014 también dejó unos cuantos vaticinios para este 2015 que está a punto de finalizar. Por aquel entonces también se refería a las APT, pero era para explicar que se seguirían explotando, desde nuevos lugares e incluso para los móviles. Se dijo que este tipo de amenazas se usarían en combinación con las redes zombis. Y se avisó sobre más temas, como la complejidad gradual del malware, el uso de ficheros de carácter virtual, los asaltos contra bancos, contra hoteles y contra cajeros automáticos, la extracción de información a través de la nube, la falsificación del origen de los malhechores y el despedazamiento de los grandes grupos de atacantes.