Explicación de las amenazas persistentes avanzadas (APT): amenazas cibernéticas de Estados-nación que los defensores deben comprender

Una amenaza persistente avanzada no es una operación relámpago. Se trata de una campaña que dura meses y que llevan a cabo algunos de los adversarios con mayores recursos del planeta: Estados-nación y grupos patrocinados por Estados que cuentan con la paciencia, la financiación y la experiencia necesarias para infiltrarse en una red, permanecer sin ser detectados y hacerse con exactamente lo que buscan. Solo en 2025, la Salt Typhoon comprometió a más de 600 organizaciones en 80 países, mientras que el Grupo Lazarus llevó a cabo un robo de criptomonedas por valor de 1500 millones de dólares a través de un único ataque a la cadena de suministro. El mercado de la protección contra amenazas persistentes avanzadas ha alcanzado aproximadamente los 9.200 millones de dólares, lo que refleja la magnitud del problema al que se enfrentan las organizaciones hoy en día. Esta guía desglosa qué son las APT, cómo operan, qué grupos son los más activos y —lo más importante para los defensores— cómo detectarlas y detenerlas.

¿Qué es una amenaza persistente avanzada (APT)?

Una amenaza persistente avanzada (APT) es un ciberataque sofisticado y prolongado ciberataque en el que un adversario con amplios recursos —normalmente un Estado-nación o un grupo patrocinado por un Estado— obtiene acceso no autorizado a una red y mantiene una presencia oculta durante un periodo prolongado para robar datos, llevar a cabo espionaje o realizar operaciones de sabotaje.

El Centro de Recursos de Seguridad Informática del NIST define una APT como «un adversario que posee un alto nivel de conocimientos especializados y recursos significativos que le permiten crear oportunidades para alcanzar sus objetivos mediante el uso de múltiples vectores de ataque». Esta definición formal recoge las tres características que distinguen a las APT de los ciberataques convencionales.

Avanzado. Los autores de amenazas APT utilizan malware personalizado, zero-day y sofisticadas técnicas de evasión. Adaptan sus herramientas en pleno desarrollo de la campaña cuando los defensores detectan componentes concretos.

Persistencia. El tiempo de permanencia —el lapso entre el momento en que se produce la intrusión inicial y su detección— es, de media, de 95 días en el caso de las operaciones APT, y algunas campañas se prolongan durante más de un año. La campaña Salt Typhoon estuvo activa entre uno y dos años antes de ser descubierta. Esto contrasta claramente con la mediana del tiempo de permanencia de los ciberataques en general, que es de ocho días.

Amenaza. Las APT son adversarios humanos organizados y bien financiados con objetivos específicos. A diferencia de los ciberdelincuentes oportunistas, que se aprovechan de cualquier oportunidad que se les presente, los grupos APT se centran en organizaciones concretas para alcanzar objetivos estratégicos: robo de propiedad intelectual, espionaje político, sabotaje de infraestructuras críticas o robo financiero a gran escala.

Características principales de un ataque APT

Las características que definen un ataque APT incluyen el respaldo de un Estado-nación o de entidades patrocinadas por el Estado, una metodología de ataque en varias fases que se desarrolla a lo largo de semanas o meses, objetivos estratégicos específicos que van más allá del beneficio económico, el uso de herramientas personalizadas y zero-day , y la capacidad de adaptarse y restablecer la persistencia incluso tras una detección parcial. Los APT también se diferencian del malware estándar malware que son operaciones dirigidas por personas. Mientras que malware rutinas automatizadas, los operadores de APT toman decisiones en tiempo real, cambian de estrategia en función de lo que descubren y ajustan sus técnicas para eludir las defensas específicas con las que se encuentran. Comprender estas características es esencial para crear defensas que estén a la altura de la sofisticación de la amenaza.

Cómo funcionan los ataques APT: el ciclo de vida de un APT

Los ataques APT siguen un ciclo de vida de varias etapas que puede durar desde semanas hasta años. Aunque existen diversos modelos que describen este proceso de formas distintas —desde resúmenes de tres etapas hasta marcos de siete fases—, el siguiente ciclo de vida de seis etapas recoge las fases esenciales que los defensores deben comprender.

1. Reconocimiento: análisis de objetivos, mapeo de infraestructuras y análisis de vulnerabilidades para identificar puntos de acceso y activos de gran valor.
2. Acceso inicial: según el estudio de Unit 42 de 2026, phishing spear phishing y el aprovechamiento de vulnerabilidades se sitúan empatados, con un 22 % cada uno, como los principales vectores de acceso inicial. Las APT también aprovechan zero-day , vulnerabilidades en la cadena de suministro y vulnerabilidades de los dispositivos periféricos, como routers y dispositivos VPN.
3. Establecimiento de la persistencia: los atacantes instalan puertas traseras, rootkits y canales de comando y control (C2) para mantener el acceso incluso si se descubre y se cierra el punto de entrada inicial.
4. Movimiento lateral y escalada de privilegios: los operadores se desplazan por los segmentos de la red utilizando el robo de credenciales y la suplantación de identidad, en busca de acceso privilegiado y objetivos de mayor valor.
5. Recopilación y preparación de datos: los atacantes identifican, recopilan y preparan datos de gran valor para su extracción, a menudo comprimiéndolos y cifrándolos para evitar ser detectados.
6. Exfiltración o impacto: robo de datos, espionaje, sabotaje mediante ataques de borrado total o robo financiero. El atraco a Bybit perpetrado por el Grupo Lazarus y los ataques de borrado total ZEROLOT de Sandworm representan los extremos opuestos de esta etapa final.

En los casos más rápidos observados, toda la secuencia, desde el acceso inicial hasta la exfiltración, tarda ahora solo 72 minutos, lo que supone cuatro veces más rápido que el año anterior, según el Informe global de respuesta a incidentes de 2026 de Unit 42.

La identidad como principal vector de ataque de las APT

La identidad se ha convertido en el principal vector de ataque de las APT en 2025 y 2026. La investigación de Unit 42 revela que las vulnerabilidades de identidad desempeñaron un papel significativo en casi el 90 % de las investigaciones, y que el 65 % de los accesos iniciales se basan ahora en la identidad. Esto supone un cambio fundamental en el modo de operar de las APT.

Las campañas APT modernas se aprovechan del robo de credenciales, la manipulación de tokens, el compromiso de los servicios de directorio y el uso indebido de identidades no humanas, y se centran en las claves API, las cuentas de servicio y los tokens OAuth de los que dependen los sistemas automatizados. En lugar de desplegar malware personalizado malware active alertas en los terminales, los grupos sofisticados inician sesión con credenciales legítimas y operan a través de la infraestructura de identidades, lo que dificulta enormemente la detección por parte de las herramientas de seguridad tradicionales.

Herramientas y técnicas de APT

Los grupos de amenazas persistentes avanzadas (APT) utilizan varias categorías de herramientas de este tipo, todas ellas diseñadas para eludir la detección.

• malware personalizado: implantes diseñados específicamente, como TernDoor y PeerTime Salt Typhoon o GearDoor de Silver Dragon, concebidos para objetivos y campañas concretos
• Técnicas de «living-off-the-land» — Uso de herramientas legítimas del sistema ya presentes en el entorno para evitar introducir malware detectable
• Herramientas legítimas de acceso remoto: el uso indebido de software autorizado de administración remota para obtener acceso no autorizado
• AbusoCloud: el uso de cloud para la comunicación C2, como hizo Silver Dragon (APT41) al utilizar Google Drive para sus operaciones C2

Para los defensores, lo importante es comprender estas categorías a fin de desarrollar estrategias de detección adecuadas, y no las herramientas concretas en sí mismas. El marco de la cadena de ataque cibernético ofrece información adicional sobre cómo se corresponden estas herramientas con las distintas fases del ataque.

Grupos APT y ejemplos reales

Los grupos activos dedicados a las amenazas persistentes avanzadas (APT) siguen dirigiendo sus ataques contra los sectores de las telecomunicaciones, la administración pública, la energía y las finanzas con campañas cada vez más sofisticadas. Según los informes de inteligencia sobre amenazas del sector, China y Corea del Norte son responsables del 55 % de los ataques APT a nivel mundial.

Salt Typhoon República Popular China/MSS). Este grupo chino financiado por el Estado llevó a cabo la campaña de espionaje en el sector de las telecomunicaciones más importante de la historia reciente, afectando a más de 600 organizaciones en 80 países, entre ellas nueve empresas de telecomunicaciones estadounidenses y los sistemas de intervención telefónica de la CALEA. En 2026, Salt Typhoon amplió sus operaciones a las empresas de telecomunicaciones sudamericanas con nuevos implantes, entre los que se incluyen TernDoor, PeerTime y BruteEntry.

Lazarus Group (RPDC). El grupo APT más activo de Corea del Norte llevó a cabo el robo de criptomonedas de Bybit, por valor de 1.500 millones de dólares, mediante un ataque a la cadena de suministro del entorno de desarrollo de Safe{Wallet}; se trata del mayor robo financiero perpetrado por un grupo APT de la historia.

APT41/Silver Dragon (República Popular China). Este grupo con doble objetivo llevó a cabo actividades de espionaje contra gobiernos europeos utilizando una puerta trasera denominada GearDoor con Google Drive como canal de control y comando (C2), lo que puso de manifiesto técnicas de ataque cloud.

Sandworm/APT44 (Rusia/GRU). Este grupo de trabajo de inteligencia militar rusa lanzó ataques de borrado de datos mediante ZEROLOT contra la infraestructura energética ucraniana e intentó llevar a cabo ataques similares contra los sistemas energéticos polacos, manteniendo su enfoque en la interrupción de las infraestructuras críticas.

El informe «ENISA Threat Landscape 2025» registró 4.875 incidentes en la UE entre julio de 2024 y junio de 2025, durante un periodo en el que los actores vinculados a Estados intensificaron sus campañas de espionaje a largo plazo. La Agencia de Ciberseguridad de Singapur puso en marcha la Operación CYBER GUARDIAN en respuesta al ataque a las telecomunicaciones perpetrado por UNC3886, para lo cual desplegó a más de 100 ciberdespertadores.

Grupos APT según la atribución a un Estado-nación

Tabla: «Principales grupos APT activos en 2025-2026, con atribución a Estados-nación y campañas recientes». Texto alternativo: «Tabla en la que se enumeran los principales grupos APT, clasificados según su atribución a Estados-nación, incluyendo sus objetivos principales y su actividad reciente en campañas».

Estos grupos APT representan solo las operaciones más visibles. Existen cientos de grupos adicionales que operan con distintos grados de apoyo estatal, y la línea divisoria entre los grupos APT respaldados por Estados y las sofisticadas organizaciones de ciberdelincuentes sigue difuminándose. Para obtener un análisis más detallado de actores maliciosos específicos, consulte los recursos Vectra AI sobre actores de ciberamenazas y su cobertura de las recientes filtraciones de datos.

Los APT en la práctica: repercusiones en las empresas y tendencias

Los APT operan ahora cuatro veces más rápido que hace un año, aprovechan cada vez más la infraestructura cloud de identidades, y utilizan la inteligencia artificial para ampliar sus operaciones a cientos de organizaciones simultáneamente.

El impacto financiero de las campañas APT abarca desde millones en costes de investigación y reparación hasta pérdidas catastróficas derivadas de un solo incidente. El robo de 1.500 millones de dólares perpetrado por el Grupo Lazarus a Bybit constituye el incidente APT con mayor impacto financiero individual. Las organizaciones están tomando medidas: el mercado de la protección contra APT ha alcanzado aproximadamente los 9.200 millones de dólares en 2025 y crece a una tasa compuesta anual del 19,9 %, lo que refleja la escalada de la amenaza.

Las técnicas de ataque potenciadas por la IA están transformando las operaciones de las APT. Según el informe «Panorama de amenazas para 2025» de la ENISA, más del 80 % de phishing incorporan actualmente contenido generado por IA. APT36 se convirtió en el primer actor estatal documentado en utilizar la IA como una «cadenamalware », acelerando la producción de malware polimórfico. Mientras tanto, el 48 % de los profesionales de la ciberseguridad consideran que la IA agentiva será el principal vector de ataque en 2026, reconociendo que los agentes de IA introducen nuevas identidades no humanas y amplían las superficies de ataque de seguridad de la IA.

Patrones de APT específicos para aplicaciones Cloud y SaaS

Los ataques APT se dirigen cada vez más a cloud utilizando técnicas diseñadas específicamente para infraestructuras cloud. Entre ellas se incluyen el uso indebido de la federación de identidades para moverse entre cloud locales y cloud , el robo de tokens OAuth para obtener acceso persistente a aplicaciones SaaS, el compromiso de la cadena de suministro de SaaS a través de herramientas de desarrollo y procesos de compilación, y la reutilización de cloud para la comunicación C2.

La campaña «Silver Dragon» es un claro ejemplo de esta tendencia, ya que utiliza Google Drive como canal de comando y control que se camufla entre el tráfico habitual de la empresa. APT31 utilizó servicios cloud para sus operaciones de comando y control, aprovechando la confianza que las organizaciones depositan en cloud legítimos cloud . A medida que las empresas aceleren cloud , estas técnicas no harán más que generalizarse, lo que exigirá capacidades de detección que abarquen cloud de identidades, redes y cloud .

Detección y prevención de amenazas persistentes avanzadas (APT)

Una defensa eficaz contra las amenazas persistentes avanzadas (APT) requiere controles en varias capas que combinen el análisis de comportamientos, la supervisión de identidades, la detección y respuesta en la red, la inteligencia sobre amenazas y el refuerzo de la seguridad de los dispositivos periféricos, en lugar de basarse en una única herramienta o enfoque.

Análisis de comportamientos y NDR. La supervisión continua del tráfico de red detecta los comportamientos posteriores a la intrusión que caracterizan a las amenazas persistentes avanzadas (APT) —movimiento lateral, comunicaciones C2 y almacenamiento temporal de datos—, que las herramientas basadas en firmas suelen pasar por alto. La detección y respuesta en red ofrece visibilidad de estos comportamientos en toda la red, incluido el tráfico cifrado.

Supervisión de identidades. Dado que se han detectado vulnerabilidades de identidad en el 90 % de las investigaciones sobre amenazas persistentes avanzadas (APT) y que el 65 % de los accesos iniciales se basan en la identidad, la detección y la respuesta ante amenazas relacionadas con la identidad ya no son opcionales. Supervise los patrones de autenticación anómalos, la manipulación de tokens, el compromiso del inicio de sesión único (SSO) y la persistencia del acceso privilegiado.

Búsqueda de amenazas. Las búsquedas proactivas periódicas centradas en los patrones de movimiento lateral y los indicadores C2 ayudan a descubrir la actividad de las APT que las herramientas automatizadas pueden pasar por alto.

Fortalecimiento de los dispositivos periféricos. Los routers, los cortafuegos y los dispositivos VPN son cada vez más el blanco de los atacantes como puntos de acceso iniciales, tal y como demuestran las campañas Salt Typhoon UNC3886. Es fundamental disponer de visibilidad a nivel de red sobre estos dispositivos.

Aplicación práctica de la información sobre amenazas. Analizar y actuar en función de los datos sobre amenazas procedentes de la CISA y de fuentes del sector. Recopilar información sin aplicarla en la práctica genera una falsa sensación de preparación.

Preparación para la respuesta ante incidentes. Mantenga copias de seguridad fuera de línea y planes de respuesta ante incidentes probados, diseñados específicamente para escenarios APT destructivos, como los ataques de tipo «wiper».

Indicadores de una intrusión APT

Los responsables de la seguridad deben estar atentos a estos indicios de actividad de amenazas persistentes avanzadas:

• Patrones inusuales de tráfico saliente, especialmente transferencias de grandes volúmenes de datos a destinos desconocidos
• Incidentes de autenticación anómalos, como inicios de sesión fuera del horario laboral y situaciones de desplazamiento imposibles
• Almacenamiento temporal o compresión inesperados de datos en directorios inusuales
• Mecanismos de persistencia, como nuevas tareas programadas, modificaciones del registro o servicios no autorizados
• Consultas DNS anómalas que sugieren un comportamiento de túnel DNS o de balizas
• Indicadores de movimiento lateral, incluido el uso inusual de protocolos de administración remota

Creación de una defensa contra las amenazas persistentes y avanzadas (APT) en varias capas

No existe una única herramienta capaz de detener las amenazas de ataque avanzado (APT). El enfoque más eficaz consiste en combinar la detección y respuesta de red (NDR) con la detección y respuesta en los puntos finales (EDR) y el sistema de gestión e integración de eventos y de seguridad (SIEM) para lograr una cobertura integral de la red, los puntos finales y la telemetría de registros. Aplique zero trust para limitar el alcance del impacto. Implemente la autenticación multifactorial en todos los puntos de acceso. Opte por una supervisión continua en lugar de evaluaciones periódicas.

Tabla: «Lista de verificación para la detección de APT destinada a equipos de SOC, que abarca la telemetría de redes, identidades y terminales».

APT y marcos de cumplimiento

La norma NIST SP 800-172 establece controles de seguridad mejorados, diseñados específicamente para la defensa contra amenazas de tipo APT (amenazas persistentes avanzadas) de la información controlada no clasificada (CUI) frente a amenazas procedentes de Estados-nación. Sus principios fundamentales —la doble autorización, la segmentación de la red, la supervisión continua y el principio del privilegio mínimo— abordan directamente la persistencia y la sofisticación que caracterizan a las operaciones de tipo APT.

MITRE ATT&CK describe los comportamientos de las APT en las 14 tácticas empresariales, proporcionando un lenguaje común para la ingeniería de detección. Entre las técnicas clave relacionadas con las APT se incluyen: T1566 (Phishing), T1547 (Ejecución automática al arrancar o iniciar sesión), T1021 (Servicios remotos), T1071 (Protocolo de capa de aplicación para C2), y T1041 (Exfiltración a través del canal C2). El texto completo Marco MITRE ATT&CK ofrece una representación a nivel técnico para crear reglas de detección.

Tabla: «Correlación del marco normativo y de cumplimiento para la defensa contra amenazas persistentes avanzadas (APT)». Texto alternativo: «Tabla que establece la correspondencia entre los requisitos de defensa contra amenazas persistentes avanzadas (APT) y el NIST SP 800-172, MITRE ATT&CK, la norma ISO 27001, los controles CIS y las directrices de la CISA».

Las organizaciones sujetas a marcos de cumplimiento normativo deben comparar sus programas de defensa contra amenazas persistentes avanzadas (APT) con dichos marcos de seguridad para garantizar tanto la eficacia operativa como la preparación para las auditorías.

Enfoques modernos para la defensa contra las amenazas persistentes avanzadas (APT)

El sector está haciendo evolucionar la defensa contra las amenazas persistentes avanzadas (APT) más allá de la seguridad perimetral tradicional. Dado que las APT operan cada vez más mediante el uso indebido de identidades en lugar de malware un cambio documentado por Intelligent CISO—, los defensores necesitan capacidades de detección basada en el comportamiento que abarquen cloud identidades, redes y cloud .

Las soluciones modernas contra amenazas persistentes avanzadas se centran en tres capacidades. En primer lugar, la detección de amenazas basada en inteligencia artificial, que identifica el comportamiento de los atacantes en tiempo real en lugar de basarse en firmas conocidas. En segundo lugar, la detección y respuesta a amenazas de identidad, que supervisa el uso indebido de credenciales, la manipulación de tokens y los patrones de acceso anómalos en toda la capa de identidad. En tercer lugar, la cobertura unificada de la superficie de ataque, que correlaciona las señales en redes locales, cloud , sistemas de identidad y aplicaciones SaaS.

Cómo Vectra AI la defensa contra las amenazas persistentes avanzadas (APT)

El enfoque Vectra AI para la defensa contra amenazas APT se basa en la filosofía de «asumir que el sistema ya ha sido comprometido». Dado que los atacantes sofisticados acabarán accediendo al sistema, la capacidad fundamental consiste en detectar sus comportamientos tras el compromiso —movimiento lateral, escalada de privilegios, comunicación C2 y preparación de datos— mediante Attack Signal Intelligence impulsada por IA Attack Signal Intelligence correlaciona las señales en toda la red moderna. Esto significa una cobertura que abarca entornos locales, cloud, de identidad y SaaS a través de la Vectra AI , lo que permite a los equipos del SOC localizar y detener a los operadores de APT antes de que alcancen sus objetivos, incluso cuando dichos operadores utilizan credenciales legítimas y técnicas de «living-off-the-land» que eluden las defensas tradicionales.

Tendencias futuras y consideraciones emergentes

El panorama de las amenazas persistentes avanzadas está entrando en un periodo de rápida transformación impulsado por la adopción de la inteligencia artificial por ambas partes del conflicto. En los próximos 12 a 24 meses, las organizaciones deben prepararse para varios cambios clave.

Las operaciones APT impulsadas por IA se multiplicarán de forma espectacular. Dado que el 80 % de phishing ya utilizan contenido generado por IA y que APT36 ha demostrado que la IA funciona como una cadena malware , cabe esperar que más grupos APT adopten la IA para automatizar el reconocimiento, personalizar la ingeniería social y malware polimórfico. El 48 % de los profesionales de la ciberseguridad que sitúan la IA agentiva como el principal vector de ataque para 2026 están respondiendo a una amenaza real e inmediata: los agentes de IA introducen nuevas identidades no humanas que amplían la superficie de ataque.

Los ataques centrados en la identidad se intensificarán. El cambio de las operaciones APT malware a las basadas en identidades se está acelerando. A medida que las organizaciones implementen más cloud , aplicaciones SaaS y agentes de IA, el número de identidades no humanas —claves API, cuentas de servicio, tokens OAuth— crecerá de forma exponencial. Los grupos APT seguirán el rastro de estas identidades.

Los marcos normativos se endurecerán. Se prevé que la norma NIST SP 800-172 Rev. 1 aborde los patrones de APT cloud y las amenazas relacionadas con la inteligencia artificial. El recorte presupuestario de 495 millones de dólares propuesto por la CISA, de aprobarse, podría reducir la capacidad de coordinación nacional para la defensa contra las APT precisamente cuando más se necesita. Las organizaciones no deben confiar únicamente en la coordinación gubernamental y deben invertir en sus propias capacidades de detección y respuesta.

Los dispositivos periféricos seguirán siendo objetivos muy valiosos. La explotación de routers y dispositivos VPN Salt Typhoon ha demostrado que los dispositivos periféricos de red son puntos de acceso iniciales muy atractivos. Las organizaciones deben dar prioridad a la visibilidad de la capa de red y a la supervisión de la integridad del firmware de estos dispositivos.

Conclusión

Las amenazas persistentes avanzadas (APT) constituyen la categoría más sofisticada de adversarios cibernéticos, y sus operaciones se están intensificando. Con ataques que pasan del acceso a la exfiltración en tan solo 72 minutos, la explotación de identidades presente en el 90 % de las investigaciones y las técnicas de ataque potenciadas por la inteligencia artificial que amplían las operaciones de las APT a escala mundial, los defensores se enfrentan a un reto fundamentalmente diferente al de hace tan solo dos años.

La respuesta más eficaz combina la detección por capas en la red, la identidad, los puntos finales y cloud con la búsqueda proactiva de amenazas y la inteligencia sobre amenazas puesta en práctica. Ninguna herramienta por sí sola es suficiente. Las organizaciones deben adaptar sus defensas a marcos establecidos como el NIST SP 800-172 y MITRE ATT&CK, invertir en capacidades de detección de comportamiento que identifiquen comportamientos posteriores al compromiso independientemente de las herramientas del atacante, y preparar planes de respuesta a incidentes tanto para operaciones sigilosas de larga duración como para campañas de exfiltración rápida.

Las organizaciones que asumen que se producirán ataques y desarrollan capacidades de detección en consecuencia —en lugar de confiar únicamente en la prevención— están en mejor posición para detectar y detener a los operadores de APT antes de que alcancen sus objetivos.