La gente suele pensar en las APT de la misma forma que en el espionaje: es un problema serio, sin duda, pero no nos va a afectar a los simples mortales, ¿verdad? La mayoría de nosotros no escondemos importantes secretos industriales o gubernamentales en nuestros teléfonos ni tampoco trabajamos con información clasificada en nuestros ordenadores, por tanto, ¿por qué íbamos a ser de su interés?
Bueno, esto es cierto. Es muy poco habitual que una persona normal sea objeto de un actor patrocinado por el estado, pero sí puede sufrir daños colaterales. Daniel Creus del equipo de análisis e investigación global de Kaspersky (GReAT) habló sobre este tema hace poco en Barcelona. Y en esta publicación vamos a resumir su teoría y describir las tres formas en las que una persona normal puede verse enredado en un ataque de APT.
Daños colaterales, situación 1: El sitio web incorrecto en el momento incorrecto
En comparación con actores más pequeños, las APT cuentan con el dinero suficiente como para asumir exploits de día cero, incluidos aquellos que posibilitan ataques denominados watering hole en remoto. La investigación de Proyecto Cero de Google en el 2019 reveló que un actor utilizaba 14 vulnerabilidades diferentes en 5 cadenas de exploits diferentes para infectar sus objetivos con spyware.
Algunas de estas vulnerabilidades se utilizaron para infectar a usuarios de iOS en remoto que visitaban sitios web específicos relacionados con la política. Como consecuencia, acababan con spyware en sus teléfonos. El problema es que el actor no diferenciaba entre los visitantes de los sitios web, por lo que todos los usuarios de iOS que visitaban el sitio acababan infectados, independientemente de si eran o no de interés del actor.
Y ese no fue el único ataque de APT que utilizó el tipo de ataque watering hole. Por ejemplo, uno de los vectores de ataque del famoso NotPetya (también conocido como ExPetr) comenzó con la infección de un sitio web gubernamental. Cuando los usuarios visitaban el sitio web, el malware se descargaba y ejecutaba en sus ordenadores. Seguramente recuerdes que NotPetya generó graves daños colaterales.
Por tanto, uno de los problemas de las APT es que, aunque los actores de amenazas no tengan un interés especial en dirigirse a ti, si visitas el sitio web incorrecto o descargas la aplicación incorrecta, acabarás infectado de todas formas y la información privada de tu dispositivo se verá expuesta (o dañada) en los casos de ransomware en los que estén involucradas las APT, como NotPetya.
Daños colaterales, situación 2: juguetes serios en manos de los ciberdelincuentes
Entre otras cosas, las APT buscan a menudo los secretos de otras APT. Se intentan hackear entre ellas y a veces filtran las herramientas que usan sus enemigos. Los actores más pequeños y menos avanzados recogen estas técnicas y las utilizan para crear malware, que a veces acaba descontrolándose. ¿Recuerdas que el famoso borrador WannyCry se creó mediante EternalBlue, uno de los exploits filtrado por ShadowBrokers cuando decidieron publicar el arsenal de armas cibernéticas de Equation Group?
Otras amenazas, como NotPetya/ExPetr, Bad Rabbit o EternalRocks, también dependen del exploit EternalBlue. Un exploit filtrado dio lugar a una serie de epidemias graves y muchos eventos más pequeños que afectaron en conjunto a cientos de miles de ordenadores e interrumpieron el trabajo de una gran cantidad de empresas y agencias gubernamentales de todo el mundo.
En resumen, el segundo problema al que se tiene que enfrentar la gente normal con las APT es que los actores de amenazas crean herramientas muy peligrosas y a veces no saben cómo contenerlas. Como resultado, estas armas podrían acabar en manos de los ciberdelincuentes (de varios grados de competencia) quienes no dudarían en utilizarlas, afectando a inocentes.
Daños colaterales, situación 3: Filtración de los datos recopilados
Como hemos mencionado anteriormente, los actores que hay detrás de las APT tienen una tendencia a hackearse el uno al otro. A veces publican no solo las herramientas que saquean, sino también cualquier información que extraen sus enemigos con dichas herramientas. Por ejemplo, así es cómo los datos recopilados por la famosa herramienta de ciberespionaje ZooPark se hicieron públicos.
En los últimos dos años, hasta 13 proveedores de stalkerware sufrieron un hackeo o la información que recopilaban acabó expuesta online, en un servidor web público y desprotegido. Estas filtraciones también afectan a los actores más importantes, por ejemplo, entre estas víctimas de hackeo destacan los creadores del famoso FinFisher e incluso el aún más famoso Hacking Team, que desarrollaba herramientas de vigilancia.
Por tanto, este es el tercer problema: aunque una APT no tenga nada que ver con el usuario normal, y solo almacene su información sin utilizarla contra él, si la APT filtra datos, los peces más pequeños se alimentarán de esa información para extorsionar o buscar datos privados, desde números de tarjetas bancarias y documentos escaneados hasta información de contacto y fotos comprometedoras.
Cómo mantenerte protegido de las APT
Aunque las APT son mucho más sofisticadas que el malware normal, las mismas técnicas que utilizamos contra las amenazas comunes ayudan a protegerse contra las APT.
- Inhabilita la instalación de aplicaciones de terceros en teléfonos Android. Si necesitas instalar una aplicación de confianza que no aparezca en Google Play, puedes volver a habilitarla, pero no te olvides de cambiar los ajustes una vez que hayas terminado.
- Comprueba de forma regular los permisos de las aplicaciones que has instalado en tu dispositivo y anula cualquier permiso que no consideres necesario para una aplicación en concreto. También es una buena idea que compruebes la lista de permisos de las aplicaciones antes de instalarlas. Puedes encontrar la lista en Google Play.
- Intenta no visitar sitios web sospechosos ni hacer clic en enlaces de fuentes en las que no confías por completo. Ningún desconocido te enviaría enlaces o aplicaciones con buenas intenciones. Algunas APT son capaces de infectar sitios web legítimos, pero la mayoría dependen de nuestro viejo amigo: el phishing.
- Utiliza una solución de seguridad de confianza que pueda analizar todo lo que se vaya a instalar o descargar en el dispositivo y comprueba cada enlace y paquete. Considéralo como una última línea de defensa: aunque un actor malicioso te engañe o utilice un exploit para hacerse con un hueco en tu dispositivo, la solución de seguridad te protegerá.