¿Cuál es la diferencia clave entre APT y malware?

Si alguna vez te has preguntado cuál es la diferencia clave entre APT y malware, entonces has venido al lugar correcto. APT y el malware son dos herramientas estándar utilizadas por los piratas informáticos para cometer ataques cibernéticos.

En esta guía, echaremos un vistazo a ambos y los compararemos. Una vez que lo hayas leído, sabrás las diferencias y similitudes entre ellos y por qué es esencial conocerlos.

¿Qué es APT? (Descripción general y etapas de ataque)

APT es un método para atacar una red informática. Significa Amenaza Persistente Avanzada. La persona o grupo responsable habrá investigado mucho antes de cometer el ataque. Eso es porque los objetivos suelen ser gobiernos o corporaciones.

Cuando se implementa un ataque como este, se requiere experiencia, dinero y poder de cómputo. Los ataques APT son sofisticados, afectan a toda la red a la que se dirigen y pueden durar meses o incluso años. Los que están detrás de estos ataques suelen ser ciberdelincuentes y reciben financiación del gobierno.

Un ataque como este es peligroso para su víctima. Los secretos comerciales y la información confidencial son presa fácil para los piratas informáticos de APT, y no termina ahí. Los datos no solo se pueden robar, sino también eliminar, y los piratas informáticos pueden apoderarse de la red.

La historia de APT

APT fue un término acuñado por el Departamento de Defensa de EE. UU. a principios de la década de 2000, en referencia a los ataques cibernéticos cometidos contra Estados Unidos por parte de China. La frase entró en uso generalizado después de los ataques de APT contra Google en 2009 y RSA en 2011.

APT frente a suplantación de identidad

Los piratas informáticos de APT pueden utilizar el phishing selectivo, así como el malware de día cero, para penetrar en una red informática. El primero significa recibir un correo electrónico que parece provenir de alguien de confianza y, por lo general, incluye un enlace que infecta la computadora del usuario con malware. Este último es un malware aún no conocido por el software antivirus.

Etapas de ataque APT

Hay tres etapas principales de un ataque APT: infiltración, expansión y extracción. Dedicaremos un párrafo a cada uno.

La infiltración marca el comienzo de un ataque, y hay dos vectores a través de los cuales puede ocurrir: interacciones con los usuarios, como con el phishing selectivo, o la carga de código malicioso en una red. Luego, el perpetrador instala una puerta trasera, lo que le permite acceder a la red y operar sin ser detectado.

La expansión es donde el perpetrador ampliará su acceso dentro de la red. A menudo, eso significa llegar a los niveles más altos de una organización para robar información más valiosa. Esa información puede luego venderse a un competidor, sabotearse o usarse para paralizar la organización.

Finalmente, la extracción es donde los datos robados se eliminan de la red comprometida. Esto a menudo implica una táctica de distracción, como un ataque de denegación directa de servicio (DDoS).

Ejemplos más notables de ataques APT

Ejemplos más notables de ataques APT
Ejemplos más notables de ataques APT

Titan Rain (2003)

Titan Rain fue una serie de ataques del Ejército Popular de Liberación de China contra el gobierno de Estados Unidos. Los piratas informáticos se centraron en los sistemas informáticos de organizaciones como el FBI y la NASA, lo que generó tensión entre China y EE. UU.

Ataques Sykipot (2006)

Los ataques Sykipot explotaron vulnerabilidades en Adobe Acrobat y Adobe Reader. Los ataques fueron creados por el grupo de ataque Sykipot y lanzados contra objetivos de alto valor en Gran Bretaña y Estados Unidos. El objetivo era obtener información sensible. No se sabe qué tan exitosos fueron estos ataques, pero la mayoría de los programas antivirus ahora pueden detectar el malware Sykipot.

GhostNet (2009)

GhostNet fue el nombre que se le dio a un ataque cibernético APT de 2009, que tuvo lugar dentro de China. El objetivo era infiltrarse en redes pertenecientes a departamentos gubernamentales y embajadas. GhostNet infiltró redes en más de 100 países. Los piratas informáticos podían controlar dispositivos de forma remota y grabar audio y video.

Gusano Stuxnet (2010)

El gusano Stuxnet fue clasificado como uno de los programas de malware más complejos del mundo. Se desplegó contra los sistemas de control que regulaban las centrales nucleares en Irán. Solo una nación podría haberlo logrado, pero no se sabe cuál lo hizo. Funcionaba infectando ordenadores no conectados a Internet mediante memorias USB.

SolarWinds Hack (2020-21)

Este es uno de los ejemplos más recientes de un ataque APT severo. Fue una campaña global que afectó a gobiernos, infraestructura y corporaciones privadas. Comenzó explotando una vulnerabilidad en el software SolarWinds Orion. Permitía a los piratas informáticos monitorear el tráfico de la red colocando el malware SUNBURST en las actualizaciones de Orion y solo podía detenerse desconectando las computadoras de Internet.

¿Qué es el malware?

El malware es una forma de software creado con intenciones maliciosas. Eso es lo que le da el nombre de malware. Es software malicioso. Los piratas informáticos crean malware para acceder a los sistemas informáticos, extraer datos confidenciales y dañar el sistema.

El malware se puede utilizar contra empresas y gobiernos, así como contra personas. Los daños sufridos por un individuo, empresa o estado variarán según a quién se dirija el malware y qué tan exitoso sea en la extracción de información.

¿Qué hace el malware?

Cuando una computadora se infecta con malware, el proceso suele ser rápido pero dañino. El malware puede tomar contraseñas, eliminar archivos y hacer que la computadora quede inutilizable.

A menudo, el malware utilizará una gran cantidad de memoria de acceso aleatorio de la computadora. Eso ralentiza el sistema y dificulta la realización de tareas.

La historia del Malware

La idea del malware se remonta a un influyente artículo de investigación del científico informático John von Neumann, pero no apareció hasta la década de 1970 en Estados Unidos. Durante estos primeros años, el malware tenía que insertarse físicamente en una computadora. Después de finales de la década de 1990, el malware se propagó por correo electrónico e Internet.

Tipos comunes de malware y ataques notables

Tipos comunes de malware y ataques notables
Tipos comunes de malware y ataques notables

Gusano

Los gusanos informáticos se replican dentro de los contenedores de aplicaciones y son la forma de malware más peligrosa en términos de daños causados. El gusano MyDoom causó $38 mil millones en daños en 2004 y funcionó rápido. Permitió a los piratas informáticos acceder a una computadora infectada y se propagó a través de Google Docs y correos electrónicos.

Virus

Un virus utiliza un archivo infectado para ejecutarse en un sistema. Los virus han sido casi tan dañinos como los gusanos informáticos. En 2003, un virus llamado SoBig se propagó por correo electrónico y causó daños por más de $ 37 mil millones.

Rootkit

El siguiente en nuestra lista son los rootkits. Estos son como juegos de herramientas y se integran profundamente en el sistema operativo de una computadora. Permiten que un pirata informático ejecute comandos y realice cambios de forma remota. Uno de los incidentes de rootkit más peligrosos involucró la intervención de más de 100 teléfonos pertenecientes a funcionarios gubernamentales en Grecia en 2004-5.

Ransomware

El ransomware bloquea el acceso de una persona a su computadora mediante el cifrado de sus datos. Por lo general, solicita el pago de un rescate dentro de un tiempo específico, o borrará la computadora. En 2017, el programa ransomware WannaCry causó más de $4 mil millones en daños en 150 países. Esto incluía los sistemas de TI en los hospitales, lo que lo convertía en una grave amenaza.

Troyano

Un caballo de Troya es un malware disfrazado, tomando su nombre del caballo de madera que se usó para invadir la antigua ciudad griega de Troya. El ejemplo más notable es el troyano Zeus. Infectaba ordenadores a través de phishing o descargas. Los piratas informáticos tomaron las contraseñas de las redes sociales, el banco y las cuentas de correo electrónico, y causaron alrededor de $ 70 millones en daños.

Spyware

El spyware ocupa la posición final en nuestra lista porque no causa tanto daño financiero. Espía al usuario grabándolo o registrando las pulsaciones del teclado. Un ejemplo notable fue cuando se infectaron los teléfonos de 100 soldados israelíes con aplicaciones falsas ofrecidas a través de mensajes en las redes sociales. Los militares eliminaron las aplicaciones antes de que los piratas informáticos pudieran espiar.

¿Cuál es la diferencia clave entre APT y malware?

Cuál es la diferencia clave entre APT y malware
Cuál es la diferencia clave entre APT y malware

Ahora cubriremos cuál es la diferencia clave entre las APT y la mayoría del malware. Lo dividiremos en varios subtítulos centrados en los elementos esenciales de un ataque a las defensas de ciberseguridad de un usuario.

Ejecución

Los ataques APT generalmente se enfocan en objetivos valiosos y se planifican con mucha anticipación. Esto significa múltiples puntos de entrada, ocultando la infiltración de un sistema informático y tomando el tiempo necesario para llegar a los datos deseados. Por eso tienen más éxito.

El malware actúa rápidamente y puede propagarse como un reguero de pólvora a miles de computadoras, pero a menudo queda atrapado por el software antivirus.

Objetivos

Los piratas informáticos de APT generalmente investigarán un objetivo en profundidad antes de elegir si avanzar con un ataque. Los objetivos suelen ser grandes corporaciones, gobiernos y bancos nacionales.

Los piratas informáticos quieren robar información que podría beneficiarlos. El malware a menudo tiene una aplicación más amplia y se utiliza para dirigirse a la población en general.

Período de detección

Los hackers de APT buscan que sus acciones pasen desapercibidas el mayor tiempo posible. Los ataques suelen ser sigilosos y bien financiados, por lo que tienen los recursos y el tiempo para evadir la detección durante períodos prolongados.

El malware a menudo se detecta con bastante rapidez, a excepción de los rootkits, por lo que funciona rápido y, a menudo, presenta demandas al usuario, como el ransomware.

Estrategias de ataque y enfoque

Al observar las estrategias de ataque de APT frente a las de malware, se destaca una diferencia clave. Los piratas informáticos de APT hacen uso de múltiples fases de ataque. Infiltrarse en el sistema, asegurar su posición y extraer datos son tres ejemplos.

El malware suele tener un único mecanismo de ataque y se automatiza mediante código malicioso y archivos ejecutables.

Intensidad de los daños

El daño infligido por un ataque APT es más intenso que un ataque de malware para la empresa o el gobierno objetivo. Eso es porque está personalizado para lograr el máximo daño contra ese único objetivo.

Sin embargo, el daño de los ataques de malware puede ser más intenso en general cuando se suman los costos incurridos en todos los sistemas infectados.

Tipos de atacantes

Al comparar APT con malware, los atacantes se dividen en diferentes categorías. Los atacantes APT suelen ser ciberdelincuentes patrocinados por el estado o grupos de piratería que tienen la potencia de fuego necesaria para infiltrarse y comprometer objetivos de alto valor.

El malware suele ser desarrollado por lobos solitarios, como el hacker adolescente Sven Jaschan, arrestado en 2004 por crear el gusano Sasser, que es muy dañino.

Preguntas frecuentes

¿Cuánto dura el APT Promedio en los sistemas antes de que se encuentre?

El tiempo que un ataque APT pasa desapercibido varía según la región. A partir de 2018, el tiempo de detección promedio es de 71 días en las Américas, 177 días en la región EMEA y 204 días en la región APAC.

¿Por qué es difícil detectar ataques APT?

Los ataques APT son conocidos por ser sofisticados, bien financiados y bien planificados. Eso los hace más difíciles de detectar. Hay tres opciones para mejorar la detección: tecnología de engaño, monitoreo de red, además de análisis de comportamiento de usuarios y entidades.

¿Puede el malware robar mis contraseñas?

En resumen, la respuesta es sí. El tipo más probable de robar tus contraseñas es el software espía que instala un registrador de pulsaciones de teclas en un sistema informático. Esto registrará las pulsaciones de teclas a medida que se ingresan las contraseñas.

¿Puede el malware propagarse a través de WiFi?

De hecho, el malware puede propagarse a través de WiFi. Esto se ha vuelto más fácil en los últimos años a medida que las velocidades de WiFi han aumentado y el problema es peor en las redes no cifradas. Los enrutadores con contraseñas sólidas son en su mayoría seguros.

Conclusión

APT y el malware difieren de muchas maneras, y hemos revelado cuál es la diferencia clave entre APT y la mayoría del malware. También cubrimos ejemplos de APT y malware, explicamos cómo funcionan y los daños que causan.

Deja un comentario