article

Amenaza persistente avanzada (APT)

¿Qué es una amenaza persistente y avanzada​?

Una amenaza persistente avanzada (APT) es un ciberataque sofisticado y sostenido, generalmente llevado a cabo por organizaciones con amplios recursos, como estados-nación u organizaciones criminales. Estas amenazas están centradas en un objetivo específico y se caracterizan por ser complejas, de gran escala y de larga duración. El ataque inicial suele ser seguido de un periodo prolongado de espera, durante el cual los atacantes supervisan las actividades y se mueven lateralmente para expandir su acceso a la red de la organización.

Las tácticas de una amenaza APT varían, y los atacantes pueden exfiltrar datos confidenciales de manera gradual o realizar un ataque masivo de una sola vez. Los objetivos de estas amenazas se pueden clasificar en varios tipos, tales como:

  • Ciberespionaje
  • Destrucción y disrupción, como ataques a infraestructuras o redes
  • Extorsión
  • Robo financiero

Objetivos comunes de las amenazas persistentes avanzadas

Las amenazas persistentes avanzadas (APT) suelen enfocarse en organizaciones e industrias que manejan datos valiosos, información confidencial o activos estratégicos. Los atacantes seleccionan estos objetivos según sus metas geopolíticas, económicas o financieras. Los objetivos típicos de estas amenazas incluyen:

Infraestructura crítica Las APT atacan sectores como energía, agua, sanidad, transporte y telecomunicaciones para interrumpir servicios esenciales o recopilar inteligencia para futuros ataques.

Instituciones educativas y de investigación Las universidades y centros de investigación, que frecuentemente trabajan en proyectos financiados por gobiernos relacionados con defensa, energía o salud, son objetivos clave para el ciberespionaje.

Sector energético Los ataques en el sector energético buscan interrumpir el petróleo, gas o electricidad, lo cual puede tener grandes repercusiones políticas y económicas.

Instituciones financieras Las APT atacan a las instituciones financieras para robar fondos, capturar información bancaria personal o acceder a redes financieras como SWIFT.

Agencias gubernamentales y de defensa Estos ataques se dirigen a obtener información confidencial gubernamental y militar, incluyendo inteligencia clasificada, tecnologías de defensa y comunicaciones diplomáticas.

Grupos de medios de comunicación Las APT se enfocan en las organizaciones de medios para manipular la percepción pública, espiar a periodistas o interrumpir el flujo de información.

Organizaciones políticas Los partidos políticos y la infraestructura electoral son atacados para recopilar inteligencia, difundir desinformación o interferir en los procesos políticos.

Organizaciones privadas Empresas en sectores como aeroespacial, industrial y farmacéutico son atacadas debido a la propiedad intelectual (PI) y los secretos comerciales que manejan.

Empresas de tecnología y telecomunicaciones Las APT también se enfocan en empresas de tecnología y telecomunicaciones que poseen propiedad intelectual (PI), investigaciones y datos valiosos, con fines de beneficio económico o seguridad nacional.

Componentes de una amenaza persistente avanzada (APT)

Una amenaza APT se distingue por tres componentes clave: amenaza, persistencia y gravedad. Aunque algunas amenazas pueden presentar uno o dos de estos elementos, para que un ataque se considere una amenaza persistente avanzada (APT), debe cumplir con los tres.

1. Avanzada

Una amenaza avanzada es impulsada por un grupo con la capacidad de desarrollar exploits (herramientas o técnicas diseñadas para aprovechar vulnerabilidades en un sistema) personalizados para aprovechar las vulnerabilidades de un objetivo específico. Este tipo de amenaza puede utilizar exploits públicos a gran escala o una combinación de ambos métodos para explotar vulnerabilidades. Además, las APT suelen contar con capacidades de recopilación de inteligencia sumamente sofisticadas.

2. Persistente

El término persistente hace referencia a la naturaleza sostenida del ataque. A diferencia de los ataques oportunistas, las APT tienen un objetivo específico y los atacantes están comprometidos a seguir con el ataque hasta lograr su misión. Este enfoque implica que el atacante está dispuesto a invertir tiempo y recursos a largo plazo, realizando el ataque en múltiples fases y de manera continua.

3. Amenaza

Una amenaza APT no es simplemente un malware que se ejecuta automáticamente sin intervención humana. Aunque puede utilizar malware, la intervención humana juega un papel fundamental en la ejecución, el progreso y las acciones del ataque. En las amenazas persistentes avanzadas, la tecnología se combina estrechamente con la supervisión humana para garantizar que la misión se cumpla exitosamente.

Los perpetradores de APT son grupos altamente organizados, motivados y con acceso a recursos significativos. Aunque algunas de estas amenazas son financiadas por estados, los atacantes también pueden ser actores privados con recursos significativos.

Una breve historia de las amenazas persistentes avanzadas

En 2005, las organizaciones del Equipo de Preparación para Emergencias Informáticas del Reino Unido y Estados Unidos comenzaron a alertar sobre ciberataques altamente sofisticados dirigidos a robar información confidencial. Aunque los ciberataques no eran nuevos, su nivel de complejidad aumentaba considerablemente.

El término amenaza persistente avanzada (APT) fue acuñado en 2007 por el coronel Greg Rattray de las Fuerzas Aéreas de Estados Unidos para describir a los adversarios emergentes que la industria de defensa debía enfrentar. Desde su origen, tanto el concepto de APT como las tácticas de los atacantes han evolucionado, pero lo que no ha cambiado es la capacidad de estos atacantes para perseguir insistentemente los objetivos con los recursos que desean, independientemente de las defensas.

Ejemplos​ de amenazas APT

Entre las amenazas persistentes avanzadas más conocidas se incluyen las siguientes. Aunque algunas se identificaron antes de que se usara el término, aún se consideran ejemplos de APT.

The Cuckoo’s Egg

La amenaza persistente avanzada The Cuckoo’s Egg fue una de las primeras citadas. Este ataque contra centros de investigación militar fue perpetrado por hackers de Alemania Occidental. La APT penetró en ordenadores en red para robar secretos relacionados con la Iniciativa de Defensa Estratégica (IDE), apodada el programa «La Guerra de las Galaxias», que contenía datos de defensa clasificados, comunicaciones militares y de investigación, e investigación estratégica de los contratistas de la IDE.

Moonlight Maze

Moonlight Maze fue una campaña de ciberespionaje a gran escala. Esta amenaza persistente avanzada tuvo como objetivo a agencias del gobierno estadounidense, como el Departamento de Defensa, la NASA, contratistas militares y el Departamento de Energía, así como universidades y laboratorios relacionados con la investigación militar. Moonlight Maze, otro ejemplo inicial de APT de un estado-nación, se atribuyó a Rusia. Los atacantes se infiltraron en sistemas informáticos y robaron grandes cantidades de datos confidenciales, como información militar clasificada, investigaciones y mapas.

Titan Rain

Titan Rain fue una serie de ciberataques dirigidos contra agencias gubernamentales estadounidenses, contratistas de defensa y empresas privadas. Aunque el Gobierno chino negó su implicación, los ataques se atribuyeron a hackers patrocinados por el estado chino.

Esta riesgo cibernético se centraba en el robo de información confidencial, incluidos datos militares, propiedad intelectual y secretos tecnológicos. Los atacantes se infiltraron en los sistemas de organizaciones como Lockheed Martin, la NASA y el Laboratorio Nacional Sandia, accediendo a información crítica relacionada con la defensa.

Sykipot

Sykipot fue una campaña de ciberespionaje atribuida a hackers chinos. Esta amenaza persistente avanzada utilizaba sofisticados correos electrónicos de phishing selectivo que contenían archivos adjuntos maliciosos, enlaces a un sitio web infectado y exploits de día cero para acceder a redes seguras.

Una vez dentro, los atacantes explotaron vulnerabilidades en la tecnología de tarjetas inteligentes que les permitieron eludir los sistemas de autenticación y robar propiedad intelectual. Esta APT tenía como objetivo contratistas de defensa y agencias gubernamentales estadounidenses, así como empresas del Reino Unido.

GhostNet

GhostNet fue otra operación de ciberespionaje a gran escala que, según se cree, estuvo vinculada a hackers chinos. No obstante, el Gobierno chino negó su participación. Esta campaña de amenazas persistentes avanzadas se centró principalmente en instituciones políticas y diplomáticas, y estuvo dirigida contra objetivos políticos, económicos y mediáticos de más de 100 países, incluidas las oficinas del Dalai Lama.

GhostNet utilizó correos electrónicos de phishing selectivo con archivos adjuntos maliciosos que cargaban un troyano que ejecutaba comandos desde un sistema remoto de comando y control, el cual descargaba malware adicional para tomar el control total del sistema comprometido. Esta APT utilizó dispositivos de grabación de audio y vídeo para monitorizar las comunicaciones en las ubicaciones de los sistemas comprometidos.

Operation Aurora

La amenaza persistente avanzada Operation Aurora utilizó un exploit de día cero para instalar un troyano malicioso llamado Hydraq y robar información. Este ciberataque también se atribuyó al Gobierno chino , que negó su implicación, y tuvo como objetivo a importantes empresas estadounidenses (como Google, Adobe e Intel).

El objetivo era robar propiedad intelectual, datos corporativos y código fuente. Los piratas informáticos utilizaron sofisticadas técnicas de phishing para explotar las vulnerabilidades de los navegadores web y poder acceder a redes corporativas.

Inicialmente, las organizaciones objetivo no hicieron público el ataque, con la excepción de Google. La empresa reveló la vulneración después de descubrir que los piratas informáticos también habían atacado las cuentas de Gmail de activistas de derechos humanos.

Ataque a RSA

Una amenaza persistente avanzada tuvo como objetivo a RSA Security, un proveedor líder de soluciones de autenticación de dos factores. Los atacantes, que se cree que estuvieron patrocinados por un Estado, emplearon un correo electrónico de phishing selectivo con un malware llamado PoisonIvy, que en aquel momento era un troyano fácil de conseguir.

El malware aprovechó una vulnerabilidad de Adobe Flash que estaba incrustada en una hoja de cálculo adjunta en un archivo Excel malicioso. El malware se utilizó para comprometer la red de RSA. Tras penetrar en ella, se robaron datos confidenciales relacionados con los tokens RSA SecurID, la tecnología de autenticación de RSA que utilizan numerosas organizaciones para una autenticación segura. Esta vulneración tuvo graves implicaciones, ya que los atacantes podrían haber utilizado los datos robados para eludir las medidas de seguridad de los clientes de RSA, incluidos los contratistas de defensa y las agencias gubernamentales.

Stuxnet

Stuxnet fue una innovadora amenaza persistente avanzada diseñada para atacar los sistemas de control industrial (ICS), específicamente los que gestionan las centrifugadoras nucleares de Irán en las instalaciones de Natanz. Stuxnet, que generalmente se atribuye a una operación conjunta de Estados Unidos e Israel, aunque ambos países lo niegan, fue diseñado para socavar el programa nuclear iraní causando daños físicos a sus centrifugadoras de un modo que pareciera ligado a su funcionamiento normal.

Este es uno de los primeros ciberataques conocidos que causó daños físicos a infraestructuras. Stuxnet también fue el primer malware conocido que incluyó un rootkit de controlador lógico programable (PLC) que se utilizó para programar la APT para que se borrara a sí misma en una fecha específica.

Flame

Flame fue una sofisticada amenaza persistente avanzada que se dirigió principalmente a países de Oriente Medio e infectó más de 1000 sistemas en Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí y Egipto. Se cree que esta APT está patrocinada por un estado, posiblemente por los mismos actores que están detrás de Stuxnet.

Flame fue diseñado para la recopilación exhaustiva de información. Se propagaba a través de redes locales y memorias USB, y podía grabar audio, realizar capturas de pantalla, registrar pulsaciones de teclas e interceptar el tráfico de red. También era capaz de robar información de contacto de cualquier dispositivo Bluetooth® cercano.

Esta APT se utilizó para espiar a ministerios gubernamentales, centros educativos y particulares, haciendo hincapié en la inteligencia geopolítica. La complejidad, el tamaño y la capacidad de Flame para pasar desapercibido durante años lo convirtieron en una de las herramientas de APT más avanzadas jamás descubiertas. Su hallazgo puso de relieve el creciente uso de herramientas cibernéticas para el espionaje y la recopilación de inteligencia.

El ciclo de vida de una amenaza persistente avanzada (APT)

Una amenaza persistente avanzada (APT) se desarrolla en varios pasos metódicos que pueden ejecutarse rápidamente o durante un largo período para evadir la detección. A continuación, se detallan las principales etapas de ejecución de una amenaza APT.

1. Acceder o infiltrarse

El primer paso en una amenaza persistente avanzada es acceder al objetivo. Los atacantes utilizan tres vectores principales: usuarios autorizados, recursos de red o activos web. Para vulnerar el objetivo, emplean diversos enfoques, que pueden incluir:

  • Vulnerabilidades de aplicaciones
  • Correos electrónicos de phishing
  • Phishing selectivo
  • Ransomware
  • Inclusión remota de archivos (RFI)
  • Ingeniería social
  • Inyección de SQL
  • Troyanos que imitan software legítimo
  • Ataques de abrevadero
  • Exploits de día cero

2. Establecer una posición

Una vez que se ha vulnerado el objetivo, los atacantes crean puertas traseras y túneles para moverse a través del sistema sin ser detectados. Utilizan malware para ocultar cualquier rastro y establecen acceso remoto mediante servidores de comando y control (CnC).

3. Expandir y escalar

Tras establecer una posición inicial, los atacantes profundizan su acceso y amplían su control moviéndose lateralmente. Esto implica infiltrarse en servidores adicionales y otras redes. Utilizan keyloggers y ataques de fuerza bruta para obtener credenciales y aumentar sus privilegios.

4. Lanzar un ataque y extraer información

Una vez alcanzado el acceso necesario, los atacantes comienzan la exfiltración de datos. Esto suele implicar centralizar, cifrar y comprimir la información para acelerarla y evitar su detección. En muchos casos, el ataque no termina en esta fase. Las amenazas persistentes avanzadas pueden continuar de manera sigilosa, esperando un momento propicio para otro ataque o extrayendo datos adicionalmente.

5. Mitigación de las amenazas persistentes avanzadas

La mitigación de APT requiere un enfoque multifacético que abarque todos los elementos del programa de seguridad de una organización. Entre las soluciones de ciberseguridad recomendadas para combatir las amenazas persistentes avanzadas están:

  • Controles de acceso con el principio de mínimo privilegio
  • Listas blancas de aplicaciones y dominios
  • Análisis de seguridad de datos
  • Cifrado
  • Protección de puntos finales
  • Detección de intrusiones
  • Detección de malware
  • Microsegmentación de red
  • Aplicación de parches a vulnerabilidades de software
  • Pruebas de penetración
  • Inteligencia técnica (indicadores de compromiso, IOC)
  • Monitorización de tráfico
  • Cortafuegos de aplicaciones web (WAF)

La concienciación y la preparación son clave para una respuesta eficaz frente a amenazas persistentes avanzadas. Dado que las APT son altamente creativas, una defensa eficaz exige una postura de seguridad robusta y un enfoque integral que cubra todos los posibles puntos de entrada, tanto de máquinas como de personas.

La concienciación y la preparación son fundamentales para una respuesta eficaz frente a las amenazas persistentes avanzadas. Debido a su naturaleza, las APT son extremadamente creativas y eficaces a la hora de atacar vulnerabilidades. Una defensa eficaz contra estas amenazas requiere una postura de seguridad sólida y un enfoque integral. Es esencial tener en cuenta y proteger cada posible punto de entrada, tanto en sistemas como en usuarios.

La superficie de ataque es amplia, pero existen numerosos sistemas y servicios disponibles para fortalecer la defensa (como los sistemas de seguridad de identidad). Sin embargo, estos deben ir acompañados de una mayor concienciación sobre los vectores humanos, para prevenir o mitigar los efectos potencialmente catastróficos de una amenaza persistente avanzada.

Preguntas frecuentes sobre amenazas persistentes avanzadas (APT)

¿Qué diferencia hay entre APT y ATP?

APT es un tipo de ciberataque, mientras que ATP (protección contra amenazas avanzadas) es un conjunto de soluciones de seguridad que protegen contra estos ataques. Las soluciones ATP ofrecen protección multicapa, con análisis continuo de archivos y la capacidad de detectar y prevenir amenazas de APT.

¿Cuánto tiempo pasan desapercibidas las amenazas persistentes avanzadas?

Las APT pueden pasar desapercibidas durante meses o incluso años, ya que los atacantes roban datos o recopilan inteligencia de forma sigilosa. Ejemplos de APT que fueron detectadas después de largos periodos incluyen:

  • The Cuckoo’s Egg: 10 meses
  • Moonlight Maze: 3 años
  • Titan Rain: 2 años
  • Sykipot: 5 años

GhostNet: 2 años

¿Quiénes son los principales autores de amenazas persistentes avanzadas (APT)?

Los principales autores de APT suelen ser estados-nación o grupos respaldados por estados, ya que estos actores disponen de gran capacidad, financiamiento y operan con objetivos estratégicos como el espionaje, el robo de propiedad intelectual o la guerra cibernética. Los principales países responsables de APT incluyen:

  • China: APT1, APT41 (Double Dragon), Stone Panda
  • Irán: APT33, APT34 (OilRig)
  • Israel: Unidad 8200
  • Corea del Norte: Lazarus Group, APT37
  • Rusia: APT28 (Fancy Bear), APT29 (Cozy Bear)

Estados Unidos y aliados: Five Eyes (EE. UU., Reino Unido, Canadá, Australia, Nueva Zelanda)

Fecha: 16 de julio de 2025Tiempo de lectura: 14 minutos
Cybersecurity

Empezar

Vea lo que la seguridad de identidad de SailPoint puede hacer por su organización

Descubra cómo nuestras soluciones permiten a las empresas modernas afrontar en la actualidad el reto de asegurar un acceso seguro a los recursos sin comprometer la productividad ni la innovación.

Solicitar una demostraciónContáctenos