Los equipos de ciberseguridad se enfrentan a una realidad aleccionadora: una vez que los atacantes obtienen el acceso inicial a una red, pueden propagarse a sistemas críticos en tan solo 18 minutos. Esta propagación silenciosa, conocida como movimiento lateral, se ha convertido en la característica definitoria de los ciberataques modernos, y afectará a casi el 90 % de las organizaciones en 2025, según el informe 2025 Global Cloud Detection and Response Report de Illumio.
La velocidad y el sigilo del movimiento lateral suponen un reto fundamental para los enfoques de seguridad tradicionales. Mientras que las defensas perimetrales se centran en mantener a los atacantes fuera, el movimiento lateral asume que ya están dentro, explotando herramientas legítimas, abusando de protocolos de confianza y moviéndose por los entornos más rápido de lo que la mayoría de los equipos de seguridad pueden responder. Comprender y detener esta técnica no sólo es importante, sino que resulta esencial para sobrevivir en el panorama actual de amenazas, en el que una brecha media cuesta a las organizaciones 4,44 millones de dólares.
El movimiento lateral es la técnica que utilizan los atacantes para navegar a través de una red comprometida, accediendo a sistemas y recursos adicionales mientras mantienen su nivel actual de privilegios. A diferencia del movimiento vertical que busca privilegios superiores, el movimiento lateral se extiende horizontalmente por el entorno, lo que permite a los atacantes explorar la red, localizar datos valiosos y establecer múltiples puntos de persistencia antes de ejecutar sus objetivos finales.
Esta distinción es importante porque el movimiento lateral a menudo pasa desapercibido para las herramientas de seguridad tradicionales. Los atacantes utilizan credenciales legítimas y herramientas nativas del sistema, haciendo que sus actividades parezcan tráfico de red normal. El informe 2025 de Illumio revela que casi el 90 % de las organizaciones experimentaron alguna forma de movimiento lateral el año pasado, lo que provocó más de 7 horas de inactividad por incidente de media, demasiado tiempo cuando los atacantes pueden llegar rápidamente a los sistemas críticos.
El impacto empresarial va más allá de las métricas técnicas. Cada minuto de movimiento lateral no detectado aumenta el radio potencial de explosión de un ataque. Lo que comienza como una única estación de trabajo comprometida puede escalar rápidamente a un compromiso de todo el dominio, exfiltración de datos o cifrado completo de ransomware en toda la empresa. Esta progresión explica por qué la implantación de una arquitectura eficaz zero trust y de capacidades proactivas de caza de amenazas se ha convertido en algo innegociable para los programas de seguridad modernos.
La industria de la seguridad a menudo confunde el movimiento lateral con la escalada de privilegios, pero entender sus diferencias es crucial para una defensa eficaz. El movimiento lateral representa la expansión horizontal a través de sistemas utilizando credenciales y permisos existentes. Un atacante comprometido como un usuario estándar en una estación de trabajo se mueve a otras estaciones de trabajo donde ese usuario tiene acceso - no se requiere elevación.
La escalada de privilegios, por el contrario, implica un movimiento vertical hacia arriba en la jerarquía de permisos. Un atacante explota vulnerabilidades o errores de configuración para obtener derechos de administrador, privilegios de administrador de dominio o acceso root. Estas técnicas a menudo funcionan en tándem: los atacantes se mueven lateralmente hasta encontrar un sistema donde la escalada de privilegios es posible, y luego utilizan esos privilegios elevados para moverse lateralmente con mayor libertad.
Pensemos en la reciente campaña Volt Typhoon dirigida contra infraestructuras críticas. Los actores de la amenaza mantuvieron el acceso de usuario estándar durante meses, moviéndose lateralmente a través de dispositivos VPN y dispositivos de red utilizando credenciales legítimas. Solo cuando identificaron objetivos específicos de alto valor intentaron la escalada de privilegios, lo que demuestra la paciencia con la que los agresores priorizan el sigilo sobre la velocidad.
El movimiento lateral moderno sigue un patrón predecible de tres etapas que los equipos de seguridad deben comprender para montar una defensa eficaz. Los atacantes comienzan con el reconocimiento para mapear el entorno, proceden a la adquisición de credenciales y, a continuación, ejecutan su movimiento utilizando protocolos y herramientas legítimos. Este enfoque metódico les permite mezclarse con la actividad normal de la red mientras comprometen sistemáticamente los sistemas objetivo.
La sofisticación de estos ataques ha evolucionado drásticamente. Según datos recientes sobre infracciones, los ataques Living Off the Land (LOTL) alimentan ahora el 84% de las infracciones graves en 2025, y los atacantes abandonan cada vez más el malware personalizado en favor de las herramientas integradas en el sistema. Este cambio hace que la detección sea exponencialmente más difícil, ya que los equipos de seguridad deben distinguir entre la actividad administrativa legítima y el movimiento malicioso.
Comprender cada etapa proporciona la base para crear capacidades de detección y prevención. Las organizaciones que implementan soluciones de detección y respuesta a amenazas de identidad informan de tiempos de detección significativamente más rápidos, especialmente cuando se combinan con análisis de comportamiento que basan los patrones de movimiento normales.
Fase 1: Reconocimiento y descubrimiento Los atacantes primero mapean la topología de la red, identificando sistemas, servicios y objetivos potenciales. Enumeran los objetos de Active Directory, buscan puertos abiertos y recopilan información del sistema utilizando comandos como vista de red, nltesty los cmdlets de PowerShell. Esta fase suele generar alertas de seguridad mínimas, ya que estas herramientas sirven para fines administrativos legítimos.
Fase 2: Volcado de credenciales y material de autenticación Una vez establecido el conocimiento del entorno, los atacantes se centran en obtener credenciales adicionales. Extraen hashes de contraseñas de la memoria utilizando técnicas como LSASS dumping, recopilan tickets de Kerberos o abusan de los mecanismos de almacenamiento de credenciales. Las herramientas van desde Mimikatz (cuando se utilizan herramientas personalizadas) hasta utilidades legítimas de Windows como procdump.exe para los enfoques LOTL. Las credenciales adquiridas permiten el movimiento sin provocar fallos de autenticación.
Etapa 3: Acceso y ejecución del movimiento Armados con credenciales válidas, los atacantes ejecutan su movimiento lateral utilizando protocolos legítimos de acceso remoto. Establecen sesiones RDP, crean tareas programadas a través de WMI o despliegan cargas útiles a través de recursos compartidos administrativos SMB. Cada movimiento exitoso expande su posición mientras mantiene la apariencia de actividad autorizada.
Los atacantes abusan sistemáticamente de cuatro protocolos principales para el movimiento lateral, cada uno de los cuales ofrece ventajas únicas en cuanto a sigilo y fiabilidad:
SMB/Windows Administrative Shares (T1021.002) sigue siendo el vector más prevalente, explotado en el 68% de los incidentes de movimiento lateral. Los atacantes aprovechan los recursos compartidos ADMIN$, C$ e IPC$ para desplegar cargas útiles, ejecutar comandos de forma remota y filtrar datos. La ubicuidad del protocolo en entornos Windows proporciona una cobertura perfecta para la actividad maliciosa.
El Protocolo de Escritorio Remoto (T1021.001) ofrece un acceso interactivo que imita el comportamiento legítimo de un administrador. Campañas recientes muestran a atacantes manteniendo sesiones RDP durante semanas, utilizándolas como canales primarios de comando y control mientras aparentan una administración remota normal.
Windows Management Instrumentation (T1047) proporciona potentes capacidades de ejecución remota a través de un protocolo diseñado para la gestión empresarial. Los atacantes utilizan WMI para crear procesos, modificar claves de registro y establecer persistencia, todo ello eludiendo la detección antivirus tradicional.
PowerShell Remoting y WinRM (T1021.006) permiten ataques sofisticados basados en scripts a través de múltiples sistemas simultáneamente. El uso legítimo del protocolo en la automatización empresarial hace que la detección sea especialmente difícil, sobre todo cuando los atacantes utilizan comandos codificados y ejecución en memoria.
La tabla siguiente ilustra cómo estos protocolos se corresponden con técnicas de ataque específicas y oportunidades de detección:
El marcoMITRE ATT&CK documenta nueve técnicas principales y 20 subtécnicas bajo la táctica de movimiento lateral (TA0008), proporcionando una taxonomía completa de los comportamientos de los atacantes. La comprensión de estas técnicas permite a los equipos de seguridad crear reglas de detección específicas y priorizar las inversiones defensivas en función de los patrones de amenazas reales.
Los ataques en el mundo real rara vez utilizan una única técnica de forma aislada. Los actores de las amenazas modernas combinan múltiples métodos, adaptando su enfoque en función de las oportunidades específicas del entorno y de las lagunas defensivas, como se documenta en el informe MITRE ATT&CK de MITRE. La proliferación de tácticas de Living Off the Land ha hecho que esto sea especialmente difícil, ya que PowerShell aparece en el 71% de los ataques LOTL según el análisis de brechas de 2025.
El mapeo completo de MITRE ATT&CK para el movimiento lateral revela la amplitud de técnicas disponibles para los atacantes:
Los ataques Pass the Hash (T1550.002) merecen especial atención, ya que eluden por completo las defensas tradicionales basadas en contraseñas. Los atacantes capturan los hash de las contraseñas NTLM y los reproducen para autenticarse sin conocer la contraseña real. Esta técnica sigue siendo devastadoramente eficaz en entornos sin una higiene de credenciales adecuada o en los que no se ha restringido la autenticación NTLM.
Pass the Ticket (T1550.003) representa el equivalente de Kerberos, donde los atacantes roban y reproducen los tickets de Kerberos para hacerse pasar por usuarios legítimos, a menudo combinado con Kerberoasting para obtener credenciales de cuentas de servicio. Las variantes Golden Ticket y Silver Ticket proporcionan un acceso particularmente persistente, a veces sobreviviendo a los restablecimientos de contraseña y a los esfuerzos estándar de remediación.
Los ataques Living Off the Land representan la evolución del movimiento lateral, eliminando la necesidad de malware personalizado mediante el abuso de herramientas legítimas del sistema. Este enfoque reduce drásticamente los índices de detección, al tiempo que acelera los plazos de los ataques. Los equipos de seguridad informan de que los ataques LOTL evaden la detección tradicional basada en firmas en el 76% de los casos.
PowerShell domina el panorama de LOTL, apareciendo en el 71% de estos ataques. Los atacantes lo utilizan para todo, desde el reconocimiento (Get-ADComputer, Get-ADUser) al vertido de credenciales (Invocar-Mimikatz) y ejecución remota (Invocar comando, Entrar en sesión). El uso administrativo legítimo del marco hace que distinguir la actividad maliciosa sea particularmente difícil.
La línea de comandos de Windows Management Instrumentation (WMIC) proporciona otro potente vector LOTL. Los atacantes ejecutan comandos como wmic /nodo:llamada al proceso de destino crear "cmd.exe" para generar procesos remotos sin desplegar herramientas adicionales. La desaparición de la utilidad en Windows 11 no ha eliminado la amenaza, ya que la mayoría de las empresas siguen ejecutando versiones anteriores de Windows.
PsExec y sus variantes permiten la ejecución remota de comandos a través de SMB, creando un servicio en el sistema de destino. Mientras que PsExec en sí requiere despliegue, Windows incluye una funcionalidad similar a través de tareas programadas (tareas), creación de servicios (sc.exe), y la modificación del registro que logran los mismos resultados sin herramientas externas.
El reto de la detección se multiplica cuando los atacantes encadenan varias técnicas LOTL. Una secuencia de ataque típica podría utilizar PowerShell para el descubrimiento, WMI para el movimiento lateral y tareas programadas para la persistencia, todo ello aparentando una actividad administrativa legítima para las herramientas de seguridad tradicionales.
El panorama de las amenazas para 2024-2025 demuestra cómo el movimiento lateral ha pasado de ser una preocupación teórica a convertirse en el principal facilitador de ciberataques devastadores. Actores estatales, operadores de ransomware y delincuentes con motivaciones económicas aprovechan estas técnicas con creciente sofisticación y rapidez.
La campañaVolt Typhoon ejemplifica el movimiento lateral moderno en su forma más peligrosa. Este grupo patrocinado por el Estado chino mantuvo su presencia en infraestructuras críticas estadounidenses durante más de 300 días, utilizando exclusivamente técnicas de Living Off the Land . Se movieron lateralmente a través de dispositivos Fortinet y Cisco comprometidos, abusaron de herramientas legítimas de Windows y evitaron la detección imitando el comportamiento administrativo normal. Su enfoque paciente -a veces esperando semanas entre movimientos- demuestra cómo las amenazas persistentes avanzadas dan prioridad al sigilo sobre la velocidad.
El ransomware mejorado con IA ha comprimido los plazos de ataque a velocidades antes impensables. LockBit 4.0, detectado a principios de 2025, consigue el cifrado completo de la red en solo 18 minutos desde el acceso inicial. Esta variante de ransomware utiliza el aprendizaje automático para identificar las rutas óptimas de movimiento lateral, aprovecha automáticamente las vulnerabilidades descubiertas y adapta sus técnicas en función de los controles de seguridad detectados. Esta evolución obliga a las organizaciones a replantearse los plazos de respuesta y los requisitos de automatización.
La vulnerabilidad Golden gMSA descubierta en Windows Server 2025 creó una tormenta perfecta para los ataques de movimiento lateral. Los atacantes que ponían en peligro un único sistema unido a un dominio podían extraer las credenciales de la cuenta de servicio gestionada de grupo, lo que permitía un movimiento lateral sin restricciones por todo el dominio de Active Directory. El parche de Microsoft de agosto de 2025 solucionó la vulnerabilidad, pero no antes de que varias infracciones de gran repercusión demostraran su potencial devastador.
El grupo APT TheWizards introdujo un novedoso enfoque mediante ataques IPv6 SLAAC (Stateless Address Autoconfiguration) en entornos de cloud híbrida. Aprovechando la autoconfiguración IPv6 en redes de doble pila, eludieron los controles de seguridad tradicionales centrados en IPv4 y se desplazaron lateralmente entre la infraestructura local y la cloud sin ser detectados. Esta técnica pone de relieve cómo los protocolos emergentes crean nuevos vectores de movimiento lateral que las organizaciones no se han preparado para defender.
El impacto financiero de las filtraciones provocadas por movimientos laterales seguirá siendo grave en 2025. Según el Informe de IBM sobre el coste de las filtraciones de datos en 2025, la filtración media cuesta a las organizaciones 4,44 millones de dólares en todo el mundo. Esta cifra incluye los costes de respuesta inmediata, la interrupción del negocio, las multas reglamentarias y el daño a la reputación a largo plazo.
Las organizaciones sanitarias se enfrentan a consecuencias especialmente graves, ya que los costes de los ataques en este sector superan sistemáticamente los 10 millones de dólares, según un estudio de IBM. El ataque del ransomware Change Healthcare de febrero de 2024, que se saldó con el pago de un rescate de 22 millones de dólares, comenzó con el robo de credenciales que permitió el movimiento lateral a través de redes sanitarias interconectadas. El ataque interrumpió el procesamiento de recetas de millones de pacientes y puso de relieve el impacto en cascada del movimiento lateral en sectores críticos.
Los servicios financieros registran las velocidades de movimiento lateral más rápidas, con atacantes que alcanzan objetivos de alto valor en una media de 31 minutos. El informe CrowdStrike Global Threat Report atribuye esta velocidad a la gran dependencia del sector de los sistemas interconectados y al alto valor de los datos financieros que impulsan la innovación de los atacantes.
La fabricación y las infraestructuras críticas se enfrentan a retos únicos derivados del movimiento lateral en entornos de tecnología operativa (OT). La convergencia de las redes de TI y OT crea vías de movimiento lateral que no existían hace cinco años. Una estación de trabajo de oficina comprometida puede proporcionar ahora una vía de acceso a los sistemas de producción, con consecuencias potenciales que van desde el robo de propiedad intelectual hasta daños físicos e incidentes de seguridad.
Una defensa eficaz contra los movimientos laterales requiere un enfoque multicapa que combine prevención proactiva, detección en tiempo real y capacidades de respuesta rápida ante incidentes. Las organizaciones que aplican estrategias integrales detectan los movimientos laterales un 73% más rápido que las que se basan en la seguridad tradicional centrada en el perímetro.
La clave reside en asumir el compromiso: aceptar que los atacantes obtendrán un acceso inicial y construir defensas que limiten su capacidad de propagación. Esta filosofía impulsa enfoques modernos como la microsegmentación, que limita drásticamente la propagación de los ataques mediante la creación de fronteras de seguridad granulares entre las cargas de trabajo. Combinadas con capacidades de detección y respuesta de red y una correlación de eventos adecuada, las organizaciones pueden detectar y contener el movimiento lateral antes de que se produzcan daños significativos.
Los eventos de seguridad de Windows proporcionan una rica telemetría para detectar movimientos laterales, pero la mayoría de las organizaciones no implementan reglas de correlación adecuadas. Los cuatro ID de eventos críticos para la detección de movimientos laterales crean un patrón que revela el comportamiento de los atacantes cuando se analizan conjuntamente:
El evento ID 4624 (Inicio de Sesión Exitoso) indica cuando un usuario se autentica en un sistema. Los inicios de sesión de tipo 3 (inicio de sesión en red) y de tipo 10 (remoto interactivo) son especialmente relevantes para la detección de movimientos laterales. Busque patrones de inicios de sesión secuenciales de Tipo 3 en varios sistemas en un corto espacio de tiempo, especialmente desde cuentas de servicio o a horas inusuales.
El ID de evento 4625 (inicio de sesión fallido) revela intentos de reconocimiento y rociado de contraseñas. Múltiples eventos 4625 seguidos de un 4624 exitoso a menudo indican adivinación de credenciales. Preste especial atención a los patrones de fallo en múltiples sistemas desde una única fuente, lo que sugiere intentos de movimiento lateral automatizado.
El evento ID 4648 (Uso de credenciales explícitas) se dispara cuando un proceso utiliza credenciales explícitas diferentes a las del usuario conectado. Este evento es crucial para detectar ataques Pass the Hash y overpass-the-hash. La correlación con los eventos de creación de procesos (4688) revela cuándo se abusa de herramientas legítimas para el robo de credenciales.
El ID de evento 4769 (solicitud de ticket de servicio Kerberos) ayuda a identificar los ataques Pass the Ticket y el uso de Golden Ticket. Las solicitudes de ticket de servicio inusuales, especialmente para servicios con privilegios elevados o de sistemas que no suelen solicitarlos, justifican una investigación.
Los siguientes patrones de correlación indican un probable movimiento lateral:
La segmentación de la red ha evolucionado mucho más allá de la separación tradicional de VLAN para convertirse en la piedra angular de la prevención de movimientos laterales. Los enfoques modernos de microsegmentación crean límites de seguridad granulares alrededor de las cargas de trabajo individuales, lo que limita drásticamente la propagación de los ataques incluso después del compromiso inicial.
Los principios de Zero Trust Network Access (ZTNA) eliminan la confianza implícita entre segmentos de red. Cada conexión requiere una verificación explícita, independientemente de la red de origen o de la autenticación previa. Este enfoque impide que los atacantes aprovechen credenciales comprometidas para un movimiento lateral sin restricciones, obligándoles a autenticarse en cada frontera.
Los perímetros definidos por software (SDP) crean microtúneles dinámicos y cifrados entre usuarios autorizados y recursos específicos. A diferencia de los enfoques tradicionales de VPN que proporcionan un amplio acceso a la red, los SDP limitan la conectividad exactamente a lo que se necesita para las funciones empresariales. Esta granularidad impide a los atacantes explorar la red incluso con credenciales válidas.
Las mejores prácticas de implementación para una segmentación eficaz incluyen la identificación de activos críticos y la creación de zonas de protección a su alrededor, la implementación de un estricto filtrado de tráfico este-oeste entre segmentos y el despliegue de controles conscientes de la identidad que tengan en cuenta el contexto del usuario, el dispositivo y la aplicación. Las organizaciones también deben supervisar el tráfico entre segmentos para detectar anomalías y comprobar periódicamente la eficacia de la segmentación mediante pruebas de penetración.
Los argumentos comerciales a favor de la microsegmentación son convincentes, y las organizaciones informan de una importante rentabilidad de la inversión gracias a la reducción de los costes de las infracciones y a la eficiencia operativa. Al limitar el movimiento lateral y reducir el radio de acción de los ataques, las inversiones en microsegmentación aportan un valor de seguridad y empresarial cuantificable.
La detección moderna requiere una combinación de tecnologías centradas en endpoints, redes e identidades que trabajen de forma concertada. Ninguna herramienta por sí sola proporciona una visibilidad completa de los movimientos laterales, pero las plataformas integradas que correlacionan señales a través de múltiples dominios logran las tasas de detección más altas.
Las soluciones Endpoint Detection and Response (EDR) proporcionan una visibilidad profunda de la ejecución de procesos, el acceso a archivos y las modificaciones del registro en sistemas individuales. Las plataformas EDR avanzadas utilizan análisis de comportamiento para identificar patrones sospechosos, como el uso inusual de PowerShell, la inyección de procesos o los intentos de volcado de credenciales. La integración con la inteligencia sobre amenazas permite la detección de herramientas y técnicas conocidas de movimiento lateral.
Las tecnologías de detección y respuesta de red (NDR) analizan el tráfico de red en busca de indicadores de movimientos laterales. Los modelos de aprendizaje automático se basan en patrones de comunicación normales y alertan de anomalías como tráfico SMB inusual, conexiones RDP inesperadas o comportamiento sospechoso de cuentas de servicio. NDR destaca en la detección de ataques LOTL que podrían eludir los controles de puntos finales.
Las plataformas de detección y respuesta ampliadas (XDR ) correlacionan señales entre endpoints, redes y entornos cloud para identificar patrones complejos de movimiento lateral. Al combinar la telemetría de varias fuentes, XDR puede detectar ataques en varias fases que las herramientas individuales podrían pasar por alto. El enfoque de plataforma también reduce la fatiga de las alertas mediante la correlación de eventos relacionados en incidentes unificados.
Identity Threat Detection and Response (ITDR) representa la categoría más reciente, centrada específicamente en los ataques basados en la identidad. Estas soluciones supervisan los flujos de autenticación, detectan el abuso de credenciales e identifican los intentos de escalada de privilegios que permiten el movimiento lateral. Teniendo en cuenta que el 80% de las infracciones implican credenciales comprometidas, ITDR llena un vacío crítico en la pila de detección.
Los entornos Cloud introducen vectores de movimiento lateral únicos para los que los controles de seguridad tradicionales no fueron diseñados. El modelo de responsabilidad compartida, la infraestructura dinámica y la arquitectura basada en API crean oportunidades para que los agresores se desplacen lateralmente de formas imposibles en entornos locales. Los ataques de movimiento lateral basados en contenedores han aumentado considerablemente, lo que pone de relieve la urgencia de contar con defensas cloud.
Cada una de las capas de abstracción de las plataformas cloud -desde la infraestructura hasta los servicios de software, pasando por la plataforma- presenta distintos riesgos de movimiento lateral. Los atacantes aprovechan los errores de configuración, abusan de las cuentas de servicio y se aprovechan de la automatización que hace poderosa a cloud . Comprender estas técnicas cloud es esencial para proteger las modernas arquitecturas de seguridad de cloud .
Las fugas de contenedores representan la forma más directa de movimiento lateral en entornos de contenedores. Los atacantes aprovechan las vulnerabilidades de los tiempos de ejecución de los contenedores, los subsistemas del kernel o las plataformas de orquestación para salir del aislamiento de los contenedores. La técnica MITRE ATT&CK T1611 MITRE ATT&CK documenta varios métodos de escape, desde el aprovechamiento de contenedores con privilegios hasta el abuso de sistemas de archivos montados en el host.
Los clústeres Kubernetes se enfrentan a riesgos adicionales por el abuso de tokens de cuentas de servicio. Cada pod recibe un token de cuenta de servicio de forma predeterminada, lo que proporciona acceso a la API que los atacantes pueden aprovechar para el reconocimiento y el movimiento lateral. Comprometer un único pod con permisos excesivos puede permitir el acceso a todo el clúster a través de la API de Kubernetes.
El reciente aumento de los ataques a contenedores sidecar demuestra la evolución de las técnicas. Los atacantes comprometen un contenedor de un pod y utilizan recursos compartidos como volúmenes o espacios de nombres de red para acceder a los contenedores vecinos. Este movimiento lateral se produce dentro del mismo pod, a menudo evadiendo la detección basada en red.
Los ataques a la cadena de suministro a través de imágenes de contenedores comprometidas permiten capacidades de movimiento lateral preposicionadas. Las imágenes maliciosas que contienen puertas traseras o mineros de criptomonedas se propagan automáticamente a medida que las organizaciones las despliegan en su infraestructura. El incidente de Docker Hub de diciembre de 2024, en el que miles de imágenes contenían malware oculto, ejemplifica este riesgo.
Las cuentas de servicios Cloud y las identidades gestionadas proporcionan potentes vectores de movimiento lateral cuando se ven comprometidas. En AWS, los atacantes abusan de la asunción de roles IAM para saltar entre cuentas y servicios. Una instancia de EC2 comprometida con una función adjunta puede acceder a cualquier recurso que esa función permita, lo que puede abarcar varias cuentas de AWS en organizaciones complejas.
Los service principals de Azure se enfrentan a abusos similares. Los atacantes que comprometen una aplicación con un Service Principal pueden utilizar sus permisos para acceder a los recursos de Azure, enumerar el directorio y, potencialmente, pasar a otras suscripciones. La naturaleza programática de la autenticación de Service Principal dificulta la detección, ya que esta actividad parece idéntica a la automatización legítima.
El encadenamiento de funciones sin servidor crea sutiles rutas de movimiento lateral. Los agresores atacan una función Lambda o Azure Function y utilizan su contexto de ejecución para invocar otras funciones, acceder a bases de datos o interactuar con servicios de almacenamiento. La naturaleza efímera de la ejecución sin servidor complica el análisis forense y la detección.
Los ataques IPv6 SLAAC del grupo APT TheWizards en entornos de cloud híbrida demuestran cómo las vulnerabilidades a nivel de protocolo permiten el movimiento lateral. Al explotar la autoconfiguración IPv6 en redes de doble pila que conectan infraestructuras locales y cloud , eludieron los controles de seguridad centrados en el tráfico IPv4. Esta técnica pone de relieve cómo la conectividad cloud puede crear vectores de movimiento lateral inesperados.
La evolución de los ataques de movimiento lateral exige defensas igualmente evolucionadas. Las organizaciones que aplican enfoques modernos como la arquitectura zero trust registran un 67% menos de ataques con éxito, lo que demuestra la eficacia de asumir la brecha y eliminar la confianza implícita. Estas estrategias no se centran en prevenir el compromiso inicial, sino en contener su impacto.
La convergencia de múltiples tecnologías defensivas (microsegmentación, detección basada en IA y seguridad centrada en la identidad) crea una defensa en profundidad que frustra los objetivos de los atacantes. Los marcos normativos exigen cada vez más estos controles, como la norma PCI DSS v4.0, que requiere explícitamente la validación de la segmentación de la red, y la directiva NIS2, que hace hincapié en la resistencia frente a los movimientos laterales.
La inversión en defensa contra movimientos laterales ofrece beneficios cuantificables. Además de reducir los ataques exitosos, las organizaciones que implementan estrategias integrales de zero trust cero han demostrado reducir significativamente los costes de las infracciones. La investigación de IBM de 2021 demostró que las organizaciones con una zero trust madura ahorraron 1,76 millones de dólares en comparación con las que no habían implantado la zero trust cero. La combinación de la reducción de la frecuencia de los incidentes y la minimización del impacto cuando se producen infracciones justifica la inversión en enfoques defensivos modernos.
La arquitectura Zero trust elimina el concepto de redes internas de confianza, exigiendo una verificación continua para cada conexión, independientemente de su origen. Este enfoque contrarresta directamente el movimiento lateral al eliminar la confianza implícita de la que se aprovechan los atacantes. Las organizaciones que aplican la zero trust informan de mejoras drásticas en su postura de seguridad, y algunas consiguen una reducción del 90% en los incidentes de movimiento lateral.
El marco NIST SP 800-207 ofrece orientaciones completas para la implantación de zero trust . Los principios clave incluyen la verificación explícita de cada transacción, la aplicación del acceso con menos privilegios y la asunción de infracción en todas las decisiones de seguridad. Estos principios abordan directamente las condiciones que permiten el movimiento lateral.
Las capacidades de detección basadas en IA han madurado significativamente, con modelos de aprendizaje automático que ahora son capaces de identificar sutiles anomalías de comportamiento que indican un movimiento lateral. Estos sistemas se basan en el comportamiento normal de usuarios y entidades, y luego detectan desviaciones que podrían indicar un peligro. A diferencia de la detección basada en firmas, los enfoques de IA pueden identificar técnicas de ataque novedosas y tácticas de Living Off the Land .
El crecimiento del mercado de la microsegmentación, que alcanzará los 52.080 millones de dólares en 2030, refleja su eficacia para impedir los movimientos laterales. Las modernas plataformas de microsegmentación utilizan la identidad, los atributos de la carga de trabajo y las dependencias de las aplicaciones para crear políticas de seguridad dinámicas. Este enfoque va más allá de los límites estáticos de la red para crear defensas adaptables que se ajustan en función del riesgo y el contexto.
Vectra AI aborda la detección de movimientos laterales a través de Attack Signal Intelligence™, una metodología que se centra en los comportamientos de los atacantes en lugar de en firmas o patrones conocidos. Este enfoque reconoce que, aunque las herramientas y las técnicas evolucionan, los comportamientos fundamentales necesarios para el movimiento lateral siguen siendo los mismos.
La plataforma correlaciona señales débiles a través de redes, puntos finales e identidades para identificar patrones de movimiento lateral que las alertas individuales podrían pasar por alto. Al analizar las relaciones entre entidades y sus patrones normales de comunicación, Attack Signal Intelligence identifica comportamientos anómalos indicativos de movimiento lateral, incluso cuando los atacantes utilizan herramientas y protocolos legítimos.
Este enfoque basado en el comportamiento resulta especialmente eficaz contra los ataques Living Off the Land " que eluden la detección tradicional. En lugar de buscar herramientas o comandos específicos, la plataforma identifica los resultados del movimiento lateral: uso inusual de cuentas, patrones atípicos de acceso al sistema y flujos de datos anómalos. Esta metodología permite detectar técnicas de movimiento lateral tanto conocidas como desconocidas, lo que proporciona resistencia frente a métodos de ataque en constante evolución.
El panorama del movimiento lateral experimentará una transformación significativa en los próximos 12-24 meses, a medida que tanto atacantes como defensores aprovechen las tecnologías emergentes. La inteligencia artificial está revolucionando tanto las capacidades de ataque como de defensa, con herramientas de ataque basadas en ML que identifican y explotan automáticamente las oportunidades de movimiento lateral, mientras que la IA defensiva se vuelve cada vez más sofisticada en la detección de comportamientos.
La proliferación de dispositivos IoT y edge computing amplía exponencialmente la superficie de ataque. Cada dispositivo conectado representa un punto de giro potencial para el movimiento lateral, especialmente en entornos de fabricación y atención sanitaria, donde continúa la convergencia de TI/OT. Gartner predice que para 2026, el 60% de las organizaciones experimentarán movimiento lateral a través de dispositivos IoT, frente al 15% en 2024. Las organizaciones deben ampliar sus defensas contra el movimiento lateral para abarcar estos puntos finales no tradicionales.
La criptografía resistente a la computación cuántica remodelará la autenticación y el movimiento lateral de formas sorprendentes. Mientras las organizaciones se preparan para las amenazas de la computación cuántica implementando nuevos estándares criptográficos, el periodo de transición crea vulnerabilidades. Los atacantes ya están recogiendo credenciales cifradas para descifrarlas en el futuro, y el entorno criptográfico mixto durante la migración introducirá nuevos vectores de movimiento lateral mediante ataques de degradación de protocolos.
La presión normativa sigue aumentando, con la directiva NIS2 de la UE y los próximos requisitos federales de EE.UU. que abordan explícitamente la prevención de movimientos laterales. Las organizaciones se enfrentan a multas potenciales de hasta el 2% de los ingresos globales por una segmentación de red y unos controles de movimiento lateral inadecuados. El enfoque normativo se desplaza del cumplimiento básico a la resistencia demostrada frente a ataques sofisticados de movimiento lateral.
La seguridad de la cadena de suministro emerge como un vector crítico de movimiento lateral, particularmente a través de dependencias de software e integraciones de terceros. La proyección para 2025 muestra que el 40% de las brechas implicarán un movimiento lateral a través de las conexiones de la cadena de suministro. Las organizaciones deben ampliar los principios de zero trust para abarcar el acceso de proveedores y aplicar una segmentación estricta entre las conexiones de terceros y la infraestructura central.
Las prioridades de inversión para los próximos 24 meses deben centrarse en los controles de seguridad centrados en la identidad, ya que el 80% de los movimientos laterales aprovechan credenciales comprometidas. Las organizaciones deben dar prioridad a la autenticación sin contraseña, la verificación continua de la identidad y la gestión de accesos privilegiados. Además, las capacidades de respuesta automatizada se vuelven esenciales a medida que la velocidad de los ataques continúa acelerándose, y los tiempos de respuesta humana ya no son suficientes para contener el movimiento lateral.
El movimiento lateral ha pasado de ser una curiosidad técnica a convertirse en el reto que define la ciberseguridad moderna. Las estadísticas pintan un cuadro claro: casi el 90% de las organizaciones se enfrentan a esta amenaza, los ataques pueden propagarse en menos de una hora y la brecha media cuesta 4,44 millones de dólares en todo el mundo. Sin embargo, estas cifras sólo cuentan una parte de la historia. El impacto real radica en el cambio fundamental que representa el movimiento lateral: de prevenir las brechas a asumir el compromiso y limitar los daños.
Las técnicas y herramientas seguirán evolucionando, pero los principios de una defensa eficaz permanecen constantes. Las organizaciones deben adoptar arquitecturas de zero trust que eliminen la confianza implícita, implantar la microsegmentación para limitar la propagación de los ataques y desplegar la detección de comportamientos que identifique los ataques con independencia de las herramientas utilizadas. Las reducciones probadas de los ataques con éxito y las disminuciones significativas de los costes de las infracciones demuestran que estas inversiones ofrecen beneficios cuantificables.
Los responsables de la seguridad se enfrentan a una elección clara: seguir jugando a ponerse al día con unos atacantes cada vez más sofisticados o replantear fundamentalmente su arquitectura de seguridad para un mundo en el que el movimiento lateral no sólo es posible, sino probable. Las organizaciones que prosperen serán las que acepten esta realidad y construyan defensas resistentes que contengan y detecten el movimiento lateral antes de que se produzcan daños catastróficos.
¿Está preparado para transformar su enfoque de la detección de movimientos laterales? Explore cómo la Attack Signal Intelligence de Vectra AI AI puede identificar y detener el movimiento lateral en su entorno, independientemente de las técnicas que utilicen los atacantes.
El movimiento lateral y la escalada de privilegios tienen propósitos diferentes en la cadena de ataque, aunque los atacantes suelen combinarlos para obtener el máximo impacto. El movimiento lateral implica extenderse horizontalmente por los sistemas manteniendo el mismo nivel de privilegios, como un usuario normal que accede a varias estaciones de trabajo en las que tiene permisos estándar. El objetivo del atacante es la exploración, la persistencia y llegar a datos valiosos sin activar las alertas de seguridad que podrían causar los intentos de elevación.
La escalada de privilegios, por el contrario, implica un movimiento vertical hacia arriba en la jerarquía de permisos. Un atacante explota vulnerabilidades, configuraciones erróneas o credenciales robadas para obtener acceso de administrador, root o a nivel de sistema. Esta elevación se produce en un único sistema y proporciona al atacante capacidades que antes no poseía.
Estas técnicas funcionan de forma sinérgica en ataques reales. Los atacantes suelen moverse lateralmente con credenciales de usuario estándar hasta que encuentran un sistema vulnerable a la elevación de privilegios. Una vez que obtienen privilegios elevados, pueden moverse lateralmente con mayor libertad y acceder a sistemas más sensibles. La campaña Volt Typhoon ejemplificó este patrón, manteniendo el acceso a nivel de usuario durante meses mientras se movía lateralmente, sólo escalando privilegios cuando objetivos específicos requerían acceso administrativo. Comprender esta relación ayuda a los equipos de seguridad a reconocer que no basta con defenderse contra una sola técnica: una seguridad integral requiere abordar tanto las rutas de movimiento laterales como las verticales.
La velocidad del movimiento lateral se ha acelerado drásticamente con la evolución reciente de los ataques. Los datos actuales de 2024-2025 muestran que el movimiento lateral medio se produce en 48 minutos desde el compromiso inicial, mientras que los ataques más rápidos observados logran la propagación completa de la red en solo 18 minutos. El ransomware LockBit 4.0, mejorado con capacidades de IA, demostró esta velocidad extrema al pasar del acceso inicial al cifrado completo de la red en menos de 20 minutos durante varios incidentes de 2025.
Estos plazos varían significativamente en función de varios factores. La sofisticación y la preparación del atacante desempeñan un papel crucial: los actores del Estado-nación como Volt Typhoon suelen moverse lenta y deliberadamente durante meses para evitar ser detectados, mientras que los grupos de ransomware dan prioridad a la velocidad sobre el sigilo. La arquitectura de la red también influye en la velocidad; las redes planas con una segmentación mínima permiten un movimiento rápido, mientras que los entornos debidamente segmentados con controles de zero trust pueden ralentizar o detener por completo la propagación.
La madurez de la seguridad del entorno de destino crea la variable más significativa. Las organizaciones con fuertes controles de identidad, segmentación de la red y detección de comportamientos pueden ampliar los tiempos de movimiento lateral de minutos a horas o días, proporcionando un tiempo de respuesta crucial. Por el contrario, los entornos con privilegios excesivos, sistemas sin parches y visibilidad deficiente permiten un movimiento casi instantáneo. La regla 1-10-60 de CrowdStrike proporciona un marco práctico: detectar las intrusiones en 1 minuto, comprender la amenaza en 10 minutos y responder en 60 minutos para adelantarse a las velocidades de movimiento lateral modernas.
Los atacantes se basan constantemente en varias técnicas probadas de movimiento lateral que explotan funcionalidades y protocolos legítimos de Windows. Pass the Hash (T1550.002) sigue siendo devastadoramente eficaz, ya que permite a los atacantes autenticarse utilizando hashes NTLM robados sin conocer las contraseñas reales. Esta técnica aparece en más del 60% de los casos de compromiso de dominios porque elude los controles de contraseña tradicionales y funciona incluso con contraseñas fuertes y complejas.
El abuso del Protocolo de Escritorio Remoto (T1021.001) proporciona un acceso interactivo que imita a la perfección la actividad legítima de un administrador. Los atacantes aprovechan RDP tanto para el movimiento lateral como para el acceso persistente, a menudo manteniendo sesiones durante semanas mientras aparecen como administración remota normal. La ubicuidad del protocolo en entornos empresariales y la dificultad de distinguir el uso malicioso del legítimo lo convierten en un vector atractivo.
Las tácticas Living Off the Land dominan el movimiento lateral moderno, con PowerShell apareciendo en el 71% de los ataques LOTL. Los atacantes utilizan herramientas nativas de Windows como WMI, tareas programadas y creación de servicios para moverse entre sistemas sin desplegar malware personalizado. Estas técnicas evaden los antivirus tradicionales y dificultan el análisis forense, ya que las propias herramientas son legítimas. La combinación de PowerShell remoting con herramientas como PsExec o WMI proporciona capacidades de movimiento lateral potentes y flexibles que se adaptan a los controles defensivos. Los equipos de seguridad deben centrarse en la detección de patrones de comportamiento más que en herramientas específicas, ya que los atacantes evolucionan continuamente sus técnicas mientras mantienen los mismos enfoques fundamentales.
Los entornos Cloud se enfrentan a riesgos de movimiento lateral únicos y en evolución que difieren significativamente de los ataques tradicionales en las instalaciones. Las fugas de contenedores representan un vector principal, ya que los agresores aprovechan las vulnerabilidades de los tiempos de ejecución de contenedores o las plataformas de orquestación para romper los límites de aislamiento. El aumento del 34% en los ataques de movimiento lateral basados en contenedores en 2025 demuestra cómo los atacantes se han adaptado a las arquitecturas cloud. Los entornos Kubernetes se enfrentan a un riesgo particular a través del abuso de tokens de cuentas de servicio, donde comprometer un solo pod con permisos excesivos permite el movimiento lateral en todo el clúster a través de la API de Kubernetes.
El abuso de cuentas de servicios Cloud y de identidades gestionadas crea potentes rutas de movimiento lateral a través de los recursos de cloud . En AWS, los agresores explotan el encadenamiento de funciones de IAM para saltar entre cuentas y servicios, aprovechando las relaciones de confianza que permiten la automatización de cloud . Los principales de servicio de Azure ofrecen oportunidades similares, con aplicaciones comprometidas que utilizan sus permisos asignados para acceder a recursos a través de suscripciones. La naturaleza programática de estas identidades dificulta la detección, ya que la actividad maliciosa parece idéntica a la automatización legítima.
Las arquitecturas sin servidor introducen sutiles vectores de movimiento lateral mediante el encadenamiento de funciones y los activadores basados en eventos. Los agresores atacan una función Lambda o Azure Function y utilizan su contexto de ejecución para invocar otras funciones, acceder a bases de datos o manipular servicios de almacenamiento. La naturaleza efímera de la ejecución sin servidor complica la detección y el análisis forense. Los entornos cloud agravan estos retos, ya que los agresores aprovechan la conectividad entre nubes para moverse lateralmente entre diferentes proveedores, a menudo eludiendo los controles de seguridad centrados en las amenazas de una cloud nube.
Los ID de eventos de Windows proporcionan telemetría crucial para detectar movimientos laterales, pero una detección eficaz requiere correlacionar múltiples eventos en lugar de alertar sobre ID individuales. El ID de evento 4624 (inicio de sesión correcto) constituye la base de la detección de movimientos laterales, en particular los eventos de inicio de sesión de tipo 3 (inicio de sesión en red) y de tipo 10 (interactivo remoto). Los inicios de sesión de tipo 3 secuenciales en varios sistemas en cuestión de minutos, especialmente desde cuentas de servicio o fuera del horario laboral, son un claro indicio de movimiento lateral. Cuando se combinan con el análisis de la IP de origen y los patrones de uso de las cuentas, los eventos 4624 revelan las rutas de movimiento de los atacantes a través de la red.
El ID de evento 4625 (inicio de sesión fallido) revela el reconocimiento y la adivinación de credenciales que a menudo precede a un movimiento lateral exitoso. Múltiples eventos 4625 seguidos de un 4624 exitoso indican intentos de pulverización de contraseñas o fuerza bruta. El patrón de fallos a través de múltiples sistemas objetivo desde una única fuente sugiere particularmente herramientas automatizadas de movimiento lateral. El ID de evento 4648 (Uso Explícito de Credenciales) demuestra ser muy valioso para la detección de Pass the Hash y robo de credenciales, disparando cuando los procesos utilizan credenciales diferentes a las del usuario conectado.
El ID de evento 4769 (solicitud de ticket de servicio Kerberos) ayuda a identificar los ataques Pass the Ticket y el uso de Golden Ticket. Las solicitudes de ticket de servicio inusuales, especialmente para servicios de alto privilegio de sistemas que no suelen solicitarlos, justifican una investigación inmediata. Una detección eficaz requiere reglas de correlación que combinen estos eventos con análisis de tráfico de red y eventos de creación de procesos (4688). Por ejemplo, los eventos 4648 seguidos inmediatamente por eventos Tipo 3 4624 sugieren fuertemente ataques Pass the Hash, mientras que patrones inusuales de eventos 4769 combinados con la creación de servicios podrían indicar ataques Silver Ticket.
La arquitectura Zero trust transforma radicalmente la seguridad de la red al eliminar la confianza implícita que permite el movimiento lateral. La seguridad tradicional basada en el perímetro asume que los usuarios y dispositivos dentro de la red son de confianza, permitiendo un amplio acceso una vez autenticados. Zero trust elimina esta suposición, exigiendo una verificación continua para cada conexión, independientemente de la ubicación de origen o de la autenticación previa. Este enfoque contrarresta directamente el movimiento lateral al obligar a los atacantes a autenticarse en cada paso, lo que aumenta drásticamente su riesgo de detección.
La aplicación de los principios zero trust crea múltiples barreras al movimiento lateral. La microsegmentación divide la red en zonas granulares con estrictos controles de acceso entre ellas, lo que limita la capacidad de propagación de un atacante incluso con credenciales válidas. Las políticas basadas en la identidad garantizan que el acceso no dependa sólo de las credenciales, sino también del comportamiento del usuario, el estado del dispositivo y factores contextuales como la ubicación y la hora. El acceso con menos privilegios garantiza que los usuarios y las aplicaciones sólo accedan a los recursos esenciales para su función, lo que reduce la superficie de ataque disponible para el movimiento lateral.
Los resultados del mundo real demuestran la eficacia de la zero trust contra los movimientos laterales. Las organizaciones que implantan arquitecturas integrales de zero trust cero registran un 67% menos de ataques con éxito y una reducción del 90% en incidentes de movimiento lateral. Este enfoque resulta especialmente eficaz contra los ataques Living Off the Land " que abusan de herramientas legítimas, ya que los análisis de comportamiento detectan patrones de uso anómalos independientemente de las herramientas utilizadas. Cuando se producen violaciones, las arquitecturas de zero trust reducen significativamente los costes de las violaciones al limitar el radio de explosión e impedir que los atacantes lleguen a los activos críticos.
Las consecuencias económicas de las filtraciones provocadas por movimientos laterales seguirán siendo graves en 2025, y el informe de IBM sobre el coste de las filtraciones de datos muestra que el coste medio mundial de las filtraciones es de 4,44 millones de dólares. Las organizaciones que sufren ataques por desplazamiento lateral se enfrentan a costes adicionales debido a la mayor velocidad de los ataques y a técnicas más sofisticadas que amplían el alcance de la violación antes de su detección. Los costes abarcan la respuesta inmediata al incidente, la interrupción del negocio durante la recuperación, las sanciones reglamentarias, los honorarios legales y el daño a la reputación a largo plazo que afecta a la captación y retención de clientes.
Las repercusiones específicas de cada sector varían drásticamente en función de la sensibilidad de los datos y los requisitos normativos. Las organizaciones sanitarias se enfrentan a costes especialmente elevados, con costes de violación en el sector que superan sistemáticamente los 10 millones de dólares, según un estudio de IBM. El ataque del ransomware Change Healthcare es un ejemplo de ello, ya que tuvo como resultado el pago de un rescate de 22 millones de dólares, además de una interrupción masiva de las operaciones que afectó a millones de pacientes. Los servicios financieros experimentan los ataques de movimiento lateral más rápidos, alcanzando sistemas críticos en una media de 31 minutos, lo que conduce a un escrutinio normativo y sanciones de cumplimiento que a menudo superan los costes directos de la violación.
El retorno de la inversión en prevención de movimientos laterales resulta convincente en todos los sectores. Las organizaciones que aplican estrategias integrales de prevención, como la arquitectura zero trust y la microsegmentación, obtienen una importante rentabilidad de la inversión gracias a la reducción de los costes de las infracciones y a las mejoras operativas. Además de prevenir las filtraciones por completo, estos controles reducen los costes de los incidentes cuando se producen al limitar la propagación de los atacantes. Una detección y contención más rápidas minimizan la interrupción del negocio, mientras que las organizaciones también se benefician de la ventaja competitiva que supone una resistencia demostrada en materia de seguridad, ya que los clientes evalúan cada vez más la postura de seguridad en las decisiones de selección de proveedores.
La caza de amenazas implica la búsqueda proactiva de ciberamenazas que eluden las medidas de seguridad existentes, incluidos los signos de movimiento lateral. Los cazadores de amenazas expertos pueden identificar indicadores sutiles de compromiso, ayudando a descubrir y abordar los movimientos sigilosos de los atacantes dentro de la red.
Las organizaciones pueden mejorar sus defensas invirtiendo en herramientas avanzadas de ciberseguridad, adoptando una estrategia de seguridad holística que incluya evaluaciones periódicas de la seguridad, inteligencia sobre amenazas, una sólida protección de los puntos finales y fomentando una cultura de concienciación sobre la seguridad entre todos los empleados.
Los desarrollos futuros pueden incluir avances en IA y tecnologías de aprendizaje automático para una mejor detección de actividades anómalas, una adopción más amplia de los principios de zero trust y un mejor intercambio de inteligencia sobre amenazas entre las organizaciones para identificar y mitigar las tácticas de movimiento lateral con mayor eficacia.