¿Qué significa APT (Advanced Persistent Threat)?

Advanced: usa técnicas sofisticadas (zero-days, custom malware, supply chain). Persistent: mantiene acceso durante meses o años, no busca impacto rápido. Threat: representa una amenaza real con capacidad e intención de causar daño. El término fue acuñado por la USAF en 2006 para describir intrusiones atribuidas a China.

¿Todos los APTs son de gobiernos?

No. Originalmente APT se refería a grupos patrocinados por estados (China, Rusia, DPRK, Irán). Hoy el término se ha expandido para incluir grupos de cibercrimen sofisticado (FIN7, Cl0p) que operan con niveles de organización y persistencia comparables a actores estatales.

¿Por qué cada vendor tiene nombres diferentes para el mismo grupo?

Cada empresa de threat intelligence hace su propia investigación y atribución, asignando nombres propios: CrowdStrike usa animales (Fancy Bear), Microsoft usa elementos climáticos (Midnight Blizzard), Mandiant usa números (APT28). MITRE ATT&CK intenta unificar con IDs (G0007).

¿Cuántos APTs activos hay?

MITRE ATT&CK documenta más de 140 grupos. CrowdStrike rastrea más de 200. El número real es mayor porque muchos grupos operan sin ser detectados o atribuidos. Los más activos son los de Rusia, China, DPRK e Irán.

PrincipianteAPTstaxonomíathreat intelligencefundamentos

Qué es un APT: Taxonomía, Motivaciones y Patrones Operativos

Guía fundamental sobre APTs (Advanced Persistent Threats): definición, clasificación por motivación (espionaje, financiero, destructivo, hacktivismo), niveles de sofisticación, naming conventions de vendors, y cómo los APTs se diferencian del cibercrimen oportunista.

MalwareIntel Research·27 de mayo de 2026·7 min lectura

Serie: APTs y Threat Actors — Parte 1

Un APT es un adversario con capacidad, intención y persistencia para comprometer objetivos de alto valor durante meses o años

APT (Advanced Persistent Threat) describe a grupos de atacantes organizados que realizan campañas prolongadas contra objetivos específicos. A diferencia del cibercrimen oportunista (que busca víctimas fáciles y dinero rápido), los APTs seleccionan objetivos estratégicos, invierten tiempo en reconocimiento, desarrollan herramientas custom, y mantienen acceso durante meses o años sin ser detectados.

Las tres palabras: Advanced, Persistent, Threat

Advanced (Avanzado)

No significa que usen siempre técnicas ultra-sofisticadas. Significa que tienen acceso a recursos que el cibercrimen común no tiene:

Zero-day exploits: comprados o desarrollados internamente (precio de mercado: 100K-2.5M USD)
Custom malware: herramientas desarrolladas específicamente para la operación
Supply chain access: capacidad de comprometer proveedores de software
HUMINT: ingeniería social dirigida con investigación previa del objetivo
Infraestructura: C2 resiliente, múltiples capas de proxy, servidores comprometidos

Persistent (Persistente)

El objetivo no es entrar y salir rápido. Es mantener acceso:

Dwell time: semanas a años (APT29 permaneció en SolarWinds durante 14 meses)
Múltiples accesos: si se detecta uno, tienen otros backdoors
Reentrada: si se les expulsa, vuelven a intentar
Paciencia: esperan el momento adecuado para actuar

Threat (Amenaza)

No son investigadores ni curiosos. Tienen intención y capacidad de causar daño real:

Espionaje: robo de propiedad intelectual, secretos de estado
Sabotaje: destrucción de infraestructura (Stuxnet, NotPetya)
Financiero: robo de cientos de millones (Lazarus: 1.7B USD en crypto)
Influencia: manipulación de elecciones, desinformación

Clasificación por motivación

Espionaje (Intelligence Collection)

Característica	Detalle
Objetivo	Robar información: IP, secretos gobierno, militar, tecnología
Patrocinador	Agencias de inteligencia (GRU, SVR, MSS, RGB, MOIS)
Duración	Meses a años
Ruido	Mínimo (buscan no ser detectados)
Impacto visible	Bajo (la víctima no sabe que fue comprometida)
Ejemplos	APT29 (SolarWinds), APT41 (tech espionage), Turla

Financiero (Financial Gain)

Característica	Detalle
Objetivo	Dinero: ransomware, robo bancario, crypto theft
Patrocinador	Organizaciones criminales o estados (DPRK)
Duración	Días a semanas (ransomware), meses (banking)
Ruido	Medio-alto (el ransomware es ruidoso por diseño)
Impacto visible	Alto (cifrado, extorsión, pérdidas financieras)
Ejemplos	FIN7, Cl0p, Lazarus (heists), LockBit affiliates

Destructivo (Disruption/Destruction)

Característica	Detalle
Objetivo	Destruir infraestructura, causar caos
Patrocinador	Militar (GRU), a veces hacktivismo
Duración	Preparación larga, ejecución rápida
Ruido	Máximo (el impacto ES el mensaje)
Impacto visible	Máximo (apagones, wipers, destrucción de datos)
Ejemplos	Sandworm (NotPetya, Industroyer), wipers en Ucrania

Hacktivismo (Ideological)

Característica	Detalle
Objetivo	Mensaje político, visibilidad, venganza
Patrocinador	Autofinanciado o patrocinio estatal encubierto
Duración	Variable (desde horas hasta campañas sostenidas)
Ruido	Máximo (DDoS, defacement, data leaks públicos)
Impacto visible	Medio (más mediático que técnico)
Ejemplos	Anonymous, KillNet, IT Army of Ukraine

Naming conventions: por qué cada vendor usa nombres diferentes

Vendor	Convención	Ejemplo (APT28)
MITRE ATT&CK	APT + número o nombre del grupo	APT28 (G0007)
CrowdStrike	Animal por país (Bear=Rusia, Panda=China, Kitten=Irán, Chollima=DPRK, Spider=criminal)	Fancy Bear
Microsoft	Elementos climáticos por país (Blizzard=Rusia, Typhoon=China, Sleet=DPRK, Sandstorm=Irán, Tempest=criminal)	Forest Blizzard
Mandiant/Google	APT + número	APT28
ESET	Nombre propio	Sednit
Kaspersky	Nombre propio	Sofacy
Secureworks	Iron/Cobalt/Gold/Nickel + nombre	Iron Twilight
Palo Alto	Nombre propio	Fighting Ursa

El mismo grupo tiene 5-10 nombres diferentes. MITRE ATT&CK los agrupa como "Associated Groups" en cada perfil.

Mapa de naming por país

RUSIA (servicios de inteligencia)
  CrowdStrike: Bear (Fancy Bear, Cozy Bear, Voodoo Bear)
  Microsoft:   Blizzard (Forest Blizzard, Midnight Blizzard, Seashell Blizzard)

CHINA (MSS, PLA)
  CrowdStrike: Panda (Wicked Panda, Gothic Panda, Aquatic Panda)
  Microsoft:   Typhoon (Volt Typhoon, Silk Typhoon, Salt Typhoon)

DPRK (RGB)
  CrowdStrike: Chollima (Labyrinth Chollima, Silent Chollima)
  Microsoft:   Sleet (Diamond Sleet, Jade Sleet, Citrine Sleet)

IRÁN (MOIS, IRGC)
  CrowdStrike: Kitten (Charming Kitten, Static Kitten)
  Microsoft:   Sandstorm (Mint Sandstorm, Peach Sandstorm)

CIBERCRIMEN
  CrowdStrike: Spider (Wizard Spider, Scattered Spider)
  Microsoft:   Tempest (Octo Tempest, Pistachio Tempest)

Niveles de sofisticación

Nivel	Características	Ejemplos
Tier 1 (Elite)	Zero-days propios, supply chain, firmware implants, años sin detección	Equation Group, APT29, Turla
Tier 2 (Avanzado)	Zero-days comprados, custom malware, operaciones multi-fase	APT28, APT41, Lazarus
Tier 3 (Competente)	Exploits públicos+custom tools, buen OPSEC	FIN7, Cl0p, MuddyWater
Tier 4 (Organizado)	Herramientas públicas (Cobalt Strike, Mimikatz), RaaS	LockBit affiliates, BlackCat affiliates
Tier 5 (Oportunista)	Scripts públicos, phishing masivo, bajo OPSEC	Script kiddies, grupos menores

Los Tier 1-2 son los APTs clásicos. Los Tier 3-4 se consideran APTs por su organización y persistencia, aunque técnicamente usen herramientas disponibles.

APT vs cibercrimen oportunista

Aspecto	APT	Cibercrimen oportunista
Selección de víctima	Dirigida (sector, organización específica)	Masiva (quien caiga)
Reconocimiento	Semanas-meses de investigación previa	Mínimo o ninguno
Herramientas	Custom + comerciales	Públicas (script kiddie tools)
Persistencia	Meses-años	Horas-días
Objetivo	Específico (datos, acceso, destrucción)	Genérico (dinero rápido)
OPSEC	Alto (borran rastros, C2 sofisticado)	Bajo-medio
Financiación	Estado o crimen organizado	Autofinanciado
Respuesta a detección	Reentrar con otro vector	Abandonar y buscar otra víctima

Ciclo de vida de un APT

1. TARGETING
   Seleccionar objetivo basado en inteligencia requirements
   Investigar organización, empleados, infraestructura

2. INITIAL COMPROMISE
   Phishing dirigido, exploit de servicio, supply chain
   Obtener primer acceso a la red

3. ESTABLISH FOOTHOLD
   Instalar backdoor persistente, establecer C2
   Asegurar que el acceso sobrevive detección parcial

4. ESCALATE PRIVILEGES
   Obtener admin local → Domain Admin → acceso completo
   Credential harvesting, exploit local

5. INTERNAL RECONNAISSANCE
   Mapear la red, identificar datos objetivo
   AD enumeration, network scanning

6. MOVE LATERALLY
   Acceder a sistemas con los datos objetivo
   PsExec, WMI, RDP con credenciales robadas

7. MAINTAIN PRESENCE
   Múltiples backdoors en diferentes sistemas
   Acceso redundante: si uno cae, otros sobreviven

8. COMPLETE MISSION
   Exfiltrar datos, destruir infraestructura, o mantener acceso
   Según la motivación del grupo

9. COVER TRACKS (opcional)
   Borrar logs, timestomping, eliminar herramientas
   Los más sofisticados no dejan rastro

Panorama actual (2025-2026)

Tendencias

Convergencia espionaje-ransomware: grupos que antes solo espiaban ahora también extorsionan (APT41, Lazarus)
Living-off-the-land: menos malware custom, más abuso de herramientas legítimas (Volt Typhoon)
Cloud-first: ataques dirigidos a identidades cloud, no a endpoints (Scattered Spider, Midnight Blizzard)
Supply chain: comprometer proveedores para alcanzar múltiples víctimas (Cl0p + MOVEit)
AI-enhanced: phishing generado por IA, deepfakes para social engineering
Hacktivismo patrocinado: grupos "hacktivistas" que son proxies de estados (KillNet, CyberAv3ngers)

Los "Big 4" por actividad

Rusia: más activa en operaciones destructivas (Ucrania) y espionaje (Europa/US)
China: espionaje tecnológico masivo + pre-posicionamiento en infraestructura crítica
DPRK: robo financiero (crypto heists) + espionaje tecnológico
Irán: espionaje regional + ataques destructivos contra Israel/Arabia Saudí

Conclusión

Entender qué es un APT y cómo se clasifican es el primer paso para threat-informed defense. Los siguientes artículos de esta serie perfilan individualmente a los grupos más relevantes, empezando por APT28 (Fancy Bear), el grupo del GRU ruso que ha definido la ciberguerra moderna.

Fuentes y referencias

MITRE ATT&CK: Groups
CrowdStrike: "Adversary Universe" naming conventions
Microsoft: "How Microsoft names threat actors" (2023)
Mandiant: M-Trends 2025 (threat landscape)
ENISA: Threat Landscape Report 2025