Hace poco tiempo, estos ambiciosos ataques han afectado a organizaciones tanto con datos valiosos como con los recursos para defenderlos bien, como por ejemplo Google, Citigroup y el Fondo Monetario Internacional. Un reciente ataque de tipo APT efectuado sobre RSA, que ofrece tecnología de seguridad a algunos de los mayores bancos, logró alarmar a los clientes de alto perfil de RSA y dio lugar a una posible intrusión en Lockheed Martin, un cliente de RSA.
A diferencia de las recientes tomas de control de sitios web efectuadas por "hacktivistas", o los robos masivos de datos de tarjetas de crédito, las APT son estafas elaboradas y prolongadas difíciles de detectar. El término fue acuñado por organizaciones gubernamentales acostumbradas a la lucha contra el espionaje en línea, afirma Tom Cross, gerente del equipo de seguridad X-Force Advanced Research de IBM, aunque este tipo de ataques se están volviendo bastante comunes como para ser discutidos en salas de juntas corporativas. En una encuesta de marzo entre 563 especialistas en seguridad de TI realizada por nCircle, una empresa de tecnología de seguridad, el 16 por ciento de los encuestados afirmaron que las APT eran su mayor preocupación de seguridad en 2011. Eso las convirtió en la segunda cuestión de seguridad más preocupante; el 26 por ciento de los encuestados señalaron que su prioridad era cumplir con las regulaciones relacionadas con la seguridad.
En primer lugar, un empleado, que poseía acceso administrativo limitado a los archivos internos, fue víctima de una estafa de "phishing" y abrió una hoja de cálculo con la etiqueta "2011 Recruitment plan.xls" ("Plan de Reclutamiento 2011.xls"). Rivner señaló que el archivo se aprovechó de un agujero de seguridad de día cero (‘zero-day’, es decir, desconocido hasta entonces) en el software Flash de Adobe. A continuación, los hackers instalaron una herramienta de administración remota y se infiltraron en varias cuentas de empleados antes de extraer información a través del FTP, o protocolo de transferencia de archivos. Según Rivner y Cross, la infiltración mostró muchas características pertenecientes a las amenazas avanzadas persistentes: repetidos intentos por encontrar un punto débil humano, una apertura de día cero, un sofisticado malware, y métodos estratégicos para evitar la detección mientras se extraen los datos. Las APTs pueden permanecer meses antes de extraer información. "Lo primero que hacen es recopilar información de su objetivo", afirma Cruz, experto en seguridad. "Ponemos mucha información sobre nosotros en Internet, así que es fácil hacer una investigación y desarrollar un perfil".
Esa es una razón por la cual muchos especialistas instan a las empresas a asumir que van a ser víctimas de un ataque. "Esa es la realidad", advierte Catherine Lotrionte, directora ejecutiva del Instituto para el Derecho, la Ciencia y la Seguridad Global de la Universidad de Georgetown. Como resultado, ella da el siguiente consejo a las compañías: "Asegúrense de que tienen instalado el mejor sistema de detección de intrusos".
Cuando RSA fue atacada, se utilizaron los servicios de una empresa llamada NetWitness para detectar actividades inusuales a través de sus redes. NetWitness fue, de hecho, "instrumental" en la detección de la intrusión, afirma Eddie Schwartz, ex director de seguridad de esa compañía y que actualmente ocupa el mismo título en RSA desde que recientemente adquiriese NetWitness. Schwartz se negó a revelar detalles sobre cómo detectó la intrusión la empresa. Sin embargo, afirma que, en general, la idea de asegurar las redes tratando de "construir un muro gigantesco que nadie pueda saltar" ya no tiene validez. Formar a todos los empleados para detectar mejor el phishing no será de gran ayuda, afirma, esencialmente porque siempre habrá alguien que caiga en una estafa. Cross, desde IBM, opina distinto, afirmando que las empresas deben formar a los trabajadores en phishing y ataques. "El objetivo no es detener todo; el objetivo es detectar algo", afirma. "Si se educa a estas personas y se les muestra que hay una amenaza real, se convierten en su frente de primera línea".