El acceso inicial rara vez es el objetivo final de un ataque. Es solo el punto de partida.
Una vez que los atacantes logran mantenerse dentro de una red, su siguiente objetivo es expandirse. Pasan del sistema comprometido inicial a otros hosts, identidades y servicios hasta dar con algo de valor.
Esta etapa se conoce como movimiento lateral.
En los entornos híbridos actuales, el movimiento lateral suele producirse de forma silenciosa. Los atacantes utilizan credenciales legítimas, herramientas autorizadas y protocolos administrativos habituales.
Desde fuera, no parece que haya nada roto.
Pero dentro de la red, el atacante está ampliando progresivamente su control.
Por qué es difícil detectar el movimiento lateral
Las defensas tradicionales están diseñadas para detener a los atacantes en el perímetro o detectar malware los dispositivos finales.
El movimiento lateral rara vez activa ninguno de los dos controles. Los atacantes se desplazan internamente utilizando herramientas y comportamientos que se asemejan a la actividad administrativa habitual. A menudo recurren a protocolos integrados como SMB, RDP y PowerShell, o a utilidades legítimas de gestión remota.
Cada acción por sí sola puede parecer inofensiva.
Si se analiza por separado, parece una actividad informática rutinaria.
En conjunto, revela una intrusión que se extiende por todo el entorno.
1. Cómo comienzan los atacantes a moverse dentro de la red
El primer paso en el desplazamiento lateral es el reconocimiento.
Los atacantes comienzan planteando preguntas sencillas al entorno. Los sistemas suelen proporcionar estas respuestas de forma automática.
Empiezan por verificar los privilegios de identidad y la pertenencia a grupos, identificar las estructuras de dominio y mapear los sistemas visibles o los recursos compartidos.
Su objetivo es elaborar una lista de posibles candidatos.
Active Directory suele convertirse en el eje central de este proceso de detección, ya que muestra las relaciones entre usuarios, grupos y sistemas.
Herramientas como ADScan o AdFind permiten a los atacantes consultar directamente Active Directory. Otras se basan en BloodHound, que mapea las relaciones de identidad y destaca las vías de escalada de privilegios dentro del dominio.
Estas herramientas convierten la infraestructura de identidad en una guía para los ataques.
2. Ampliación del acceso mediante el robo de credenciales
Una vez que los atacantes comprenden el entorno, comienzan a recopilar credenciales.
Muchas intrusiones se basan en la reutilización de credenciales, más que en el aprovechamiento de nuevas vulnerabilidades.
Los atacantes buscan en los sistemas comprometidos:
- credenciales almacenadas en caché
- Tickets de Kerberos
- tokens de autenticación almacenados
- sesiones activas en los servidores
Herramientas como Mimikatz pueden extraer contraseñas, hash NTLM y tickets Kerberos directamente de la memoria de los equipos comprometidos. Cada credencial recuperada amplía el alcance del atacante. Cuantas más identidades, más sistemas hay que explorar.
3. Ejecución a distancia: en el momento en que comienza el movimiento lateral
El movimiento lateral comienza realmente cuando los atacantes ejecutan comandos en un segundo sistema. En ese momento, confirman tres cosas:
- se puede acceder al sistema de destino
- las credenciales robadas otorgan privilegios suficientes
- es posible la ejecución remota
Los atacantes rara vez necesitan malware personalizado para lograrlo.
A menudo recurren a herramientas administrativas legítimas, tales como:
- PsExec para ejecutar comandos de forma remota
- RDP para iniciar sesión en otro sistema de forma interactiva
- Compartidos de administrador de SMB para copiar archivos o iniciar procesos
Marcos como Cobalt Strike o Brute Ratel automatizan muchas de estas acciones, lo que permite a los atacantes controlar varios sistemas comprometidos al mismo tiempo.
Desde el punto de vista del defensor, estas acciones pueden parecer idénticas a las tareas legítimas de administración del sistema.
4. Desplazamiento por la red
Una vez que los atacantes consiguen acceder a otros sistemas, repiten el proceso.
Desde cada nuevo punto de vista, siguen explorando, en busca de:
- controladores de dominio
- infraestructura de identidad
- repositorios confidenciales
- cuentas con privilegios
Cada nuevo sistema aporta credenciales adicionales y una mayor visibilidad de la red.
Este proceso iterativo continúa hasta que los atacantes logran acceder a los sistemas que, en última instancia, desean controlar.
Puede tratarse de infraestructuras de identidad, cloud o repositorios de datos.
En ese momento, el atacante controla de hecho el entorno.
Los modelos de acceso modernos están cambiando la movilidad lateral
Los modelos modernos de acceso a las tecnologías de la información están facilitando el movimiento lateral.
Las herramientas diseñadas para facilitar el acceso a la infraestructura también pueden facilitar los movimientos de los atacantes una vez que se ha comprometido una identidad.
Por ejemplo: plataformas como Teleport centralizan el acceso a la infraestructura mediante una autenticación basada en la identidad. Si los atacantes logran acceder a la cuenta adecuada, pueden obtener acceso a gran parte del entorno.
Del mismo modo, las plataformas de redes como Tailscale crean rutas de conexión seguras entre dispositivos sin depender de la infraestructura tradicional de VPN.
Cuando los atacantes se hacen con el control de una de estas identidades o dispositivos, pueden acceder a sistemas que nunca han estado expuestos directamente a Internet.
En otras palabras, las arquitecturas de acceso diseñadas para facilitar el uso pueden convertirse en potentes vías de movimiento lateral.
Por qué las herramientas de seguridad tradicionales tienen dificultades en este ámbito
La mayoría de las herramientas de defensa analizan señales aisladas.
EDR se centra en el comportamiento de los dispositivos finales. Las plataformas de IAM se centran en la autenticación. Las herramientas de seguridad de red se centran en la actividad perimetral.
A menudo se producen movimientos laterales entre estas capas.
Los atacantes utilizan credenciales legítimas, protocolos nativos y herramientas administrativas autorizadas. La actividad parece autorizada, está cifrada y cumple con las políticas.
A simple vista, nada parece sospechoso. Hasta que se analiza el comportamiento en todo el entorno.
Qué se necesita realmente para detectar el movimiento lateral
Para detectar movimientos laterales es necesario conocer el comportamiento de las identidades en toda la red. Los equipos del SOC deben estar atentos a patrones como:
- ejecución remota anómala entre sistemas
- actividad inusual relacionada con las credenciales de acceso en varios equipos
- autenticación repetida en distintos sistemas en un breve espacio de tiempo
- actividad de reconocimiento interno
- patrones de reutilización de credenciales que se extienden rápidamente por toda la infraestructura
Estos comportamientos revelan los movimientos del atacante, incluso cuando las acciones individuales parecen legítimas.
La detección debe centrarse en las cadenas de comportamiento, no en alertas aisladas.
Cómo detecta la Vectra AI los movimientos de los atacantes en la red
El movimiento lateral rara vez implica la presencia de malware evidente. Los atacantes suelen recurrir a credenciales legítimas y a protocolos administrativos autorizados. Las herramientas de ejecución remota, los recursos compartidos de archivos y los servicios de identidad se utilizan exactamente igual que lo harían los administradores.
Consideradas por separado, estas acciones parecen estar autorizadas.
La Vectra AI analiza cómo interactúan las identidades con los sistemas de la red para identificar los patrones que indican la expansión de los atacantes. La reutilización de credenciales en múltiples hosts, las rutas de ejecución remota anormales y la actividad de reconocimiento interno revelan cuándo se está utilizando una identidad para desplazarse por el entorno.
Al correlacionar el tráfico de red con el comportamiento de las identidades, la plataforma reconstruye los movimientos del atacante a lo largo de la infraestructura híbrida. Esto permite a los equipos del SOC ver cómo se propaga una intrusión de un sistema a otro e intervenir antes de que el atacante consiga el control del dominio, acceda a datos confidenciales o implemente ransomware.
En lugar de perseguir alertas aisladas, los analistas pueden seguir el rastro del atacante a través de la red.
Sus próximos pasos
Para cuando los atacantes comienzan a desplazarse lateralmente, la intrusión ya está muy avanzada.
En esta fase, reutilizan credenciales, ejecutan comandos de forma remota y pasan de un sistema a otro hasta llegar a la infraestructura de identidades, a datos confidenciales o a sistemas que les permiten lanzar ransomware.
En Episodio 3 de Attack Lab: Movimiento lateral: cómo se mueven los atacantes por la red, explicamos cómo los atacantes modernos amplían su control dentro de entornos híbridos utilizando herramientas administrativas legítimas e identidades robadas.
Vea la sesión para descubrir cómo se desarrolla realmente el movimiento lateral en intrusiones reales y cómo los equipos del SOC pueden detectar el comportamiento de los atacantes antes de que la infección se extienda por todo el entorno.
Para comprender el recorrido completo del atacante, también puedes consultar las demás sesiones de Attack Lab que tratan sobre Acceso inicial y Persistencia, que muestran cómo comienzan estas intrusiones y cómo los atacantes establecen puntos de apoyo a largo plazo.
---
*Cita del libro de Vinny Troia "Grey Area: Dark Web Data Collection and the Future of OSINT" ("Zona gris: Recopilación de datos en la Web oscura y el futuro de OSINT")