Amenaza persistente avanzada (APT)
¿Qué es Amenaza persistente avanzada (APT)?
Amenaza persistente avanzada (APT)Actor de amenaza sigiloso y con grandes recursos —habitualmente patrocinado por un Estado— que mantiene acceso prolongado y no detectado a una red para robar datos o preposicionarse para una disrupción.
El término APT (amenaza persistente avanzada) designa tanto al actor como a la campaña: adversarios cualificados que permanecen semanas o años dentro del entorno objetivo, priorizando el sigilo y la persistencia sobre los ataques ruidosos de tipo "entrar y robar". Las APT suelen encadenar spear-phishing, compromisos de la cadena de suministro, malware a medida, técnicas de living-off-the-land y exploits zero-day. Sus objetivos son normalmente el espionaje (propiedad intelectual, comunicaciones diplomáticas, investigación de defensa), el preposicionamiento para sabotear infraestructura crítica o el robo financiero prolongado.
Las campañas con nombre propio ilustran todo el espectro. APT29 (Cozy Bear) troyanizó las actualizaciones de SolarWinds Orion con la puerta trasera SUNBURST en 2020, alcanzando a miles de organizaciones a través de un único proveedor de confianza. Volt Typhoon, un grupo vinculado a la República Popular China, empleó técnicas de living-off-the-land —herramientas integradas como wmic, netsh y PowerShell en lugar de malware a medida— para mantener acceso persistente en redes de comunicaciones, energía, agua y transporte de EE. UU.; CISA, el FBI y la NSA advirtieron en el aviso conjunto AA24-038A (febrero de 2024) de que la intención era el preposicionamiento para ataques disruptivos durante una crisis futura, no el espionaje.
La defensa requiere controles en capas: detección basada en inteligencia de amenazas, EDR/XDR con analítica de comportamiento, segmentación de red, controles estrictos de identidad, registro reforzado de la actividad de autenticación y de línea de comandos, y caza proactiva de amenazas contra los TTP catalogados en MITRE ATT&CK.
flowchart LR A[Reconocimiento] --> B[Acceso inicial<br/>spear-phish / cadena de suministro / 0-day] B --> C[Punto de apoyo<br/>y persistencia] C --> D[Escalada de privilegios<br/>+ robo de credenciales] D --> E[Movimiento lateral<br/>living off the land] E --> F[Recolección sigilosa<br/>a largo plazo] F --> G[Exfiltración o<br/>preposicionamiento] F -.evadir.-> H[EDR / caza de amenazas<br/>MITRE ATT&CK] H -.detectar y expulsar.-> C
● Ejemplos
- 01
APT29 (Cozy Bear) y el compromiso de la cadena de suministro de SolarWinds con la puerta trasera SUNBURST.
- 02
APT1 (Unidad 61398 del EPL) y las campañas de espionaje industrial documentadas por Mandiant en 2013.
- 03
Volt Typhoon preposicionándose dentro de infraestructura crítica de EE. UU. (aviso de CISA AA24-038A).
● Preguntas frecuentes
¿Qué es Amenaza persistente avanzada (APT)?
Actor de amenaza sigiloso y con grandes recursos —habitualmente patrocinado por un Estado— que mantiene acceso prolongado y no detectado a una red para robar datos o preposicionarse para una disrupción. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Amenaza persistente avanzada (APT)?
Actor de amenaza sigiloso y con grandes recursos —habitualmente patrocinado por un Estado— que mantiene acceso prolongado y no detectado a una red para robar datos o preposicionarse para una disrupción.
¿Cómo defenderse de Amenaza persistente avanzada (APT)?
Las defensas contra Amenaza persistente avanzada (APT) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Amenaza persistente avanzada (APT)?
Nombres alternativos comunes: Ataque dirigido, Actor de Estado-nación.