¿Qué es el movimiento lateral?
- Glosario IAM
- ¿Qué es el movimiento lateral?
El movimiento lateral es una técnica que los atacantes utilizan para desplazarse por una red tras obtener acceso inicial a un sistema. En lugar de permanecer en un único dispositivo comprometido, los atacantes se desplazan hacia otros equipos, servidores o recursos en la nube para ampliar su acceso, escalar privilegios y alcanzar datos sensibles o infraestructura crítica. Esta técnica se observa con frecuencia en ciberataques avanzados, incluidos los incidentes de ransomware y las filtraciones de datos, ya que permite a los atacantes aumentar el alcance y el impacto de una intrusión.
¿Por qué los ciberdelincuentes se desplazan lateralmente?
Los ciberdelincuentes rara vez se detienen en el primer sistema que comprometen. En cambio, utilizan ese punto de apoyo inicial para explorar el entorno más amplio e identificar objetivos de mayor valor dentro de la red. Mediante esta exploración, los atacantes pueden comprender mejor cómo están conectados los sistemas y dónde se almacenan los datos sensibles.
Acceder a sistemas de mayor valor
El acceso inicial suele obtenerse a través de endpoints de menor valor, como estaciones de trabajo de empleados. Desde allí, los atacantes se desplazan lateralmente para alcanzar sistemas que almacenan datos sensibles, como bases de datos, servidores de archivos o sistemas financieros. Estos sistemas suelen contener información que puede ser robada, alterada o utilizada para interrumpir las operaciones empresariales. Al expandirse más allá del punto de entrada original, los atacantes aumentan el impacto potencial de una brecha y obtienen acceso a recursos más críticos. Alcanzar sistemas de mayor valor también permite a los atacantes mantener la persistencia dentro de la red y llevar a cabo acciones maliciosas sin ser detectados de inmediato.
Escalar privilegios
Muchos sistemas restringen lo que una cuenta de usuario estándar puede acceder. Para superar estas limitaciones, los atacantes intentan obtener niveles de permisos más altos a medida que se desplazan por la red. Este proceso puede implicar métodos como la explotación de vulnerabilidades de software o el robo de credenciales. La escalada de privilegios permite a los atacantes tomar el control de sistemas adicionales, acceder a datos restringidos y operar con menos restricciones. Con privilegios elevados, los atacantes pueden eludir las medidas de seguridad, crear nuevas cuentas o modificar sistemas para consolidar su posición dentro del entorno.
Alcanzar controladores de dominio o infraestructura crítica
En los entornos empresariales, los controladores de dominio y los sistemas administrativos desempeñan un papel central en la gestión del acceso y la autenticación. Los atacantes suelen apuntar a estos sistemas para obtener un control generalizado sobre la red. Dado que estos sistemas gestionan las identidades y los permisos de los usuarios, comprometerlos puede permitir a los atacantes suplantar a usuarios legítimos y desplazarse con mayor libertad por el entorno. Con este nivel de acceso, los atacantes pueden llegar a interrumpir servicios o mantener el control a largo plazo sobre los sistemas.
Implementar ransomware o exfiltrar datos
Cuando los atacantes logran desplazarse lateralmente dentro de una red, suelen estar aproximándose a la fase final de su ataque. Tras identificar activos valiosos, los atacantes pueden implementar ransomware en múltiples sistemas o exfiltrar datos sensibles. Distribuir ransomware en varios sistemas a la vez puede dificultar la recuperación y aumentar la presión sobre las organizaciones para que paguen un rescate. Al desplazarse lateralmente primero, los atacantes pueden maximizar la disrupción y aumentar la efectividad de su ataque.
Etapas comunes del movimiento lateral
El movimiento lateral suele seguir una progresión estructurada a medida que los atacantes amplían su acceso dentro de una red.
Compromiso inicial
El ataque comienza cuando un sistema es comprometido por primera vez, lo que puede ocurrir mediante phishing, la explotación de vulnerabilidades o el uso de credenciales robadas. Este punto de apoyo inicial proporciona a los atacantes un punto de partida dentro de la red.
Reconocimiento interno
Una vez dentro, los atacantes recopilan información sobre el entorno. Esto incluye mapear la red, identificar sistemas de alto valor y descubrir cuentas de usuario y relaciones de confianza. La información recopilada durante esta etapa ayuda a los atacantes a determinar hacia dónde moverse a continuación y qué sistemas son más valiosos.
Acceso a credenciales credenciales
Los atacantes intentan obtener credenciales válidas que les permitan autenticarse en otros sistemas. Esto puede implicar el volcado de credenciales, la recolección de contraseñas o el robo de tokens. El uso de credenciales legítimas ayuda a los atacantes a mezclarse con el tráfico normal de la red y evitar activar alertas de seguridad.
Escalada de privilegios
Tras obtener acceso a cuentas adicionales, los atacantes intentan aumentar su nivel de acceso explotando configuraciones incorrectas o abusando de cuentas de servicio. Los privilegios más altos permiten a los atacantes controlar más sistemas, acceder a recursos sensibles y realizar acciones que normalmente estarían restringidas.
Pivoteo lateral
Con acceso elevado, los atacantes se desplazan entre sistemas dentro de la red. Esto puede incluir el acceso a servidores de archivos, la entrada a entornos de Active Directory o el alcance a controladores de dominio. En algunos casos, los atacantes también pueden pivotar hacia entornos en la nube o híbridos conectados, ampliando el alcance del ataque.
Ejecución de objetivos
Una vez que los atacantes alcanzan su objetivo, llevan a cabo su cometido. Esto puede incluir la exfiltración de datos, la implementación de ransomware o el establecimiento de persistencia para el acceso continuo.
Técnicas comunes empleadas en el movimiento lateral
Los atacantes emplean una variedad de técnicas para desplazarse entre sistemas minimizando la detección:
- Pass-the-hash: Los atacantes reutilizan hashes de contraseñas robados para autenticarse en otros sistemas sin necesitar la contraseña original. Esta técnica es específica de entornos que utilizan autenticación NTLM y tiene una efectividad limitada donde Kerberos se aplica de forma estricta.
- Pass-the-ticket: Los tickets de Kerberos se utilizan para suplantar a usuarios legítimos y obtener acceso a recursos de red.
- Protocolo de escritorio remoto (RDP): Los atacantes utilizan credenciales válidas para acceder de forma remota a sistemas a través de RDP, un protocolo de acceso remoto legítimo que se ataca con frecuencia porque está ampliamente habilitado en entornos empresariales.
- Instrumental de administración de Windows (WMI): Los atacantes utilizan esta herramienta integrada de Windows para ejecutar comandos de forma remota en los sistemas.
- Comunicación remota de PowerShell: Esta técnica permite ejecutar comandos y scripts en equipos remotos.
- Explotación de SMB: Los atacantes aprovechan los protocolos de uso compartido de archivos para desplazarse entre sistemas.
- Robo de claves SSH y secuestro de sesión: En entornos Linux, los atacantes pueden robar claves SSH privadas para autenticarse en otros sistemas, o abusar del reenvío del agente SSH para secuestrar sesiones activas. Estas son técnicas distintas que explotan las relaciones de confianza de SSH.
- Binarios de vivir de la tierra (LOLBins): Las herramientas legítimas del sistema se utilizan para llevar a cabo actividades maliciosas mientras se mezclan con las operaciones normales.
Por qué es difícil detectar el movimiento lateral
El movimiento lateral puede ser difícil de detectar porque los atacantes suelen valerse de credenciales legítimas y herramientas administrativas integradas en lugar de actividades maliciosas evidentes.
Como resultado, sus acciones pueden parecerse a las de usuarios normales, como iniciar sesión en sistemas o acceder a recursos internos. Esto permite a los atacantes mezclarse con el tráfico regular de la red y evitar activar alertas de seguridad tradicionales.
Si bien comprender cómo funciona el movimiento lateral es importante, las organizaciones también deben ser capaces de detectarlo antes de que los atacantes alcancen sistemas críticos.
Cómo prevenir el movimiento lateral
Las organizaciones pueden prevenir el movimiento lateral limitando la facilidad con la que los atacantes se desplazan entre sistemas tras un compromiso inicial. La prevención eficaz del movimiento lateral se centra en reducir el acceso innecesario, controlar las comunicaciones de red y monitorear la actividad sospechosa.
Reforzar el acceso con privilegios mínimos
Aplicar el acceso de privilegio mínimo es una de las formas más eficaces de prevenir el movimiento lateral. Cada usuario y cuenta de servicio debe tener únicamente los permisos necesarios para su rol específico. Esto garantiza que, si una sola cuenta es comprometida, los atacantes no puedan utilizarla para acceder a sistemas y recursos más allá del alcance de esa cuenta. Las organizaciones deben revisar y ajustar periódicamente estos permisos para evitar que el acceso se expanda de forma gradual con el tiempo.
Segmentar la red
Los controles de autenticación sólidos reducen el riesgo de movimiento lateral al hacer que las credenciales robadas sean menos efectivas. La microsegmentación refuerza este enfoque al restringir el tráfico entre sistemas individuales únicamente a las conexiones que se requieren de forma explícita. Esto obliga a los atacantes a superar barreras adicionales en cada etapa, lo que brinda a los equipos de seguridad más tiempo para detectar y responder a los intentos de movimiento lateral.
Reforzar los controles de autenticación
Los controles de autenticación sólidos reducen el riesgo de movimiento lateral al hacer que las credenciales robadas sean menos efectivas. La autenticación multifactor (MFA) agrega una capa de verificación que impide a los atacantes acceder a cuentas usando únicamente contraseñas comprometidas. Las organizaciones también deben eliminar las credenciales compartidas o predeterminadas, que son objetivos comunes para los atacantes. Para cuentas con privilegios elevados, una solución de gestión de acceso privilegiado (PAM) proporciona protección adicional al controlar cuándo y cómo se utilizan esas cuentas y garantizar que el acceso se revoque cuando ya no sea necesario.
Monitorear comportamiento anómalo
Incluso con controles preventivos sólidos implementados, las organizaciones necesitan visibilidad sobre la actividad en sus sistemas. Revisar los registros de acceso y utilizar análisis de comportamiento puede ayudar a identificar patrones inusuales, como una cuenta que se conecta a sistemas a los que no había accedido anteriormente o que inicia sesión en horarios inesperados. Detectar estos indicadores a tiempo permite a las organizaciones contener el movimiento lateral antes de que los atacantes alcancen sistemas críticos.
Auditar y depurar cuentas
Las cuentas inactivas, especialmente las asociadas con exempleados o servicios dados de baja, son blanco frecuente de los atacantes porque suelen quedar sin monitoreo. Realizar auditorías periódicas para identificar y deshabilitar cuentas no utilizadas elimina estos puntos de entrada. Las organizaciones también deben revisar periódicamente los permisos de las cuentas activas para garantizar que no hayan acumulado más acceso del necesario para su rol.