Una reciente serie de ataques cibernéticos contra grandes empresas, contratistas del gobierno, instituciones financieras, e incluso proveedores de seguridad, ha puesto de relieve un nuevo tipo de delito: la amenaza avanzada persistente, o APT (advanced persistent threat).

Esta primavera, estos ambiciosos ataques han afectado a organizaciones tanto con datos valiosos como con los recursos para defenderlos bien, como por ejemplo Google, Citigroup y el Fondo Monetario Internacional. Un reciente ataque de tipo APT efectuado sobre RSA, que ofrece tecnología de seguridad a algunos de los mayores bancos, logró alarmar a los clientes de alto perfil de RSA y parece haber dado lugar a una intrusión en Lockheed Martin, un cliente de RSA.

A diferencia de las recientes tomas de control de sitios web efectuadas por desvergonzados "hacktivistas", o los robos masivos de datos de tarjetas de crédito, las APT son estafas elaboradas y prolongadas difíciles de detectar. El término fue acuñado por organizaciones gubernamentales acostumbradas a la lucha contra el espionaje en línea, afirma Tom Cross, gerente del equipo de seguridad X-Force Advanced Research de IBM, aunque este tipo de ataques se están volviendo bastante comunes como para ser discutidos en salas de juntas corporativas. En una encuesta de marzo entre 563 especialistas en seguridad de TI realizada por nCircle, una empresa de tecnología de seguridad, el 16 por ciento de los encuestados afirmaron que las APT eran su mayor preocupación de seguridad en 2011. Eso las convirtió en la segunda cuestión de seguridad más preocupante; el 26 por ciento de los encuestados señalaron que su prioridad era cumplir con las regulaciones relacionadas con la seguridad.

RSA no ha respondido a las solicitudes de entrevista de Technology Review, aunque Uri Rivner, director de protección de la identidad de los consumidores en la compañía, describió algunos detalles del ataque en un blog de ​​la compañía. En primer lugar, un empleado, que poseía acceso administrativo limitado a los archivos internos, fue víctima de una estafa de "phishing" y abrió una hoja de cálculo con la etiqueta "2011 Recruitment plan.xls" ("Plan de Reclutamiento 2011.xls"). Rivner señaló que el archivo se aprovechó de un agujero de seguridad de día cero ('zero-day', es decir, desconocido hasta entonces) en el software Flash de Adobe. A continuación, los hackers instalaron una herramienta de administración remota y se infiltraron en varias cuentas de empleados antes de extraer información a través del FTP, o protocolo de transferencia de archivos. Según Rivner y Cross, la infiltración mostró muchas características pertenecientes a las amenazas avanzadas persistentes: repetidos intentos por encontrar un punto débil humano, una apertura de día cero, un sofisticado malware, y métodos estratégicos para evitar la detección mientras se extraen los datos. Las APTs puede permanecer latentes durante meses antes de encontrar un momento estratégico para extraer información.

"Lo primero que hacen estas personas es recopilar información acerca de su objetivo", afirma Cruz. "Ponemos mucha información sobre nosotros mismos—tanto de nuestra vida personal como laboral—en Internet, así que es fácil hacer una investigación y desarrollar un perfil de una organización".

Esa es una razón por la cual muchos expertos en seguridad instan a las empresas a asumir que van a ser víctimas de un ataque. "Esa es la realidad", advierte Catherine Lotrionte, directora ejecutiva del Instituto para el Derecho, la Ciencia y la Seguridad Global de la Universidad de Georgetown. Como resultado, ella da el siguiente consejo a las compañías: "Asegúrense de que tienen instalado el mejor sistema de detección de intrusos".

Cuando RSA fue atacada, se utilizaron los servicios de una empresa llamada NetWitness para detectar actividades inusuales a través de sus redes. NetWitness fue, de hecho, "instrumental" en la detección de la intrusión, afirma Eddie Schwartz, ex director de seguridad de esa compañía y que actualmente ocupa el mismo título en RSA desde que recientemente adquiriese NetWitness. Schwartz se negó a revelar detalles sobre cómo detectó la intrusión la empresa . Sin embargo, afirma que, en general, la idea de asegurar las redes tratando de "construir un muro gigantesco que nadie pueda saltar" ya no tiene validez. Formar a todos los empleados para detectar mejor el phishing no será de gran ayuda, afirma, esencialmente porque siempre habrá alguien que caiga en una estafa.

Cross, desde IBM, no está de acuerdo; piensa que más empresas deberían tratar de formar a los trabajadores para estar más alerta en cuanto al phishing u otros signos de ataques cibernéticos. "El objetivo no es detener todo; el objetivo es detectar algo", afirma. "Si se educa a estas personas y se les muestra que hay una amenaza real, se convierten en su frente de primera línea".