¿Qué es el movimiento lateral?

El movimiento lateral no es una característica de todos los ciberataques, pero puede ser una de las amenazas de ciberseguridad más dañinas. Esto se debe a que el movimiento lateral se basa en el robo de credenciales de usuario para profundizar progresivamente en una red vulnerada. Este tipo de violación requiere una respuesta a incidentes más compleja por parte de los equipos de seguridad y normalmente tiene un ciclo de respuesta más largo que cualquier otro vector de infección.

En términos generales, los ataques de movimiento lateral constan de dos partes: una brecha inicial seguida de un movimiento interno. Los hackers primero deben acceder a una red eludiendo la seguridad de los endpoints. Pueden utilizar ataques de phishing o malware para comprometer un dispositivo o una aplicación, u obtener acceso inicial a través de un puerto de servidor abierto.

Una vez que los atacantes están dentro, pueden empezar a ramificarse hacia otras áreas de la red a través de estas etapas de movimiento lateral:

Una vez que se han afianzado, los atacantes trazan un mapa de la red y planifican una ruta hacia su objetivo. Buscan información sobre jerarquías de red, sistemas operativos, cuentas de usuario, dispositivos, bases de datos y aplicaciones para comprender cómo están conectados estos activos. También pueden examinar los controles de seguridad de red y luego usar lo que aprenden para eludir a los equipos de seguridad.

Cuando los hackers entienden el diseño de la red, pueden utilizar una variedad de técnicas de movimiento lateral para llegar a más dispositivos y cuentas. Al infiltrarse en más recursos, los hackers no solo se acercan a su objetivo, sino que también dificultan su eliminación. Incluso si las operaciones de seguridad los eliminan de una o dos máquinas, siguen teniendo acceso a otros activos.

A medida que los hackers se mueven lateralmente, intentan capturar activos y cuentas con privilegios cada vez más altos. Este acto se denomina "escalada de privilegios." Cuantos más privilegios tengan los atacantes, más podrán hacer dentro de la red. En última instancia, el objetivo de los hackers es obtener privilegios administrativos, que les permitan ir prácticamente a cualquier parte y hacer casi cualquier cosa.

Los piratas informáticos combinan y repiten técnicas de movimiento lateral según sea necesario hasta que alcanzan su objetivo. A menudo, buscan información confidencial para recopilarla, cifrarla y comprimirla para exfiltración de datos a un servidor externo. O tal vez quieran sabotear la red borrando datos o infectando sistemas críticos con malware. Dependiendo de su objetivo final, los hackers pueden mantener puertas traseras y puntos de acceso remoto durante el mayor tiempo posible para maximizar el daño.

Volcado de credenciales: los hackers robarán los nombres de usuario y las contraseñas de los usuarios legítimos y luego "volcarán" estas credenciales en sus propias máquinas. También podrían robar las credenciales de los administradores que se hayan conectado recientemente al dispositivo.

Ataques Pass the hash: algunos sistemas transforman o "hash" las contraseñas en datos ilegibles antes de transmitirlas y almacenarlas. Los hackers pueden robar estos hashes de contraseñas y utilizarlos para engañar a los protocolos de autenticación y obtener acceso a sistemas y servicios protegidos.

Ataques Pass the ticket: los hackers utilizan un ticket Kerberos robado para obtener acceso a dispositivos y servicios en la red. (Kerberos es el protocolo de autenticación predeterminado utilizado en Microsoft Active Directory).

Ataques de fuerza bruta: los hackers entran en una cuenta utilizando guiones o bots para generar y probar posibles contraseñas hasta que una funcione.

Ingeniería social: los hackers pueden utilizar una cuenta comprometida de correo electrónico de un empleado para lanzar ataques de phishing diseñados para recopilar las credenciales de inicio de sesión de cuentas privilegiadas.

Secuestro de recursos compartidos: los hackers pueden propagar malware a través de recursos compartidos, bases de datos y sistemas de archivos. Por ejemplo, podrían secuestrar las capacidades de Secure Shell (SSH) que conectan sistemas en sistemas operativos macOS y Linux.

Ataques de PowerShell: los hackers pueden utilizar la interfaz de línea de comandos (CLI) de Windows y la herramienta de creación de guiones PowerShell para cambiar las configuraciones, robar contraseñas o ejecutar scripts malintencionados.

Ataques Living off the land: los hackers pueden confiar en los activos internos que han comprometido y no en el malware externo en las etapas posteriores del movimiento lateral. Este enfoque hace que sus actividades parezcan legítimas y hace que sean más difíciles de detectar.

Amenazas persistentes avanzadas (APT): el movimiento lateral es una estrategia fundamental para los grupos de ataque APT, cuyo objetivo es infiltrarse, explorar y expandir su acceso a través de una red durante un período prolongado de tiempo. A menudo utilizan el movimiento lateral para pasar desapercibidos mientras realizan múltiples ciberataques durante meses o incluso años.

Ciberespionaje: dado que la naturaleza del ciberespionaje es localizar y monitorizar datos o procesos confidenciales, el movimiento lateral es una capacidad clave para los ciberespías. Los Estados-nación suelen contratar a ciberdelincuentes sofisticados por su capacidad para moverse libremente dentro de una red objetivo y realizar reconocimientos de activos protegidos sin ser detectados.

Ransomware: los atacantes de ransomware realizan movimientos laterales para acceder y obtener control sobre muchos sistemas, dominios, aplicaciones y dispositivos diferentes. Cuanto más puedan capturar, y cuanto más críticos sean esos activos para las operaciones de una organización, mayor será la influencia que tendrán a la hora de exigir el pago de su rendimiento.

Infección por botnet: a medida que avanza el movimiento lateral, los hackers obtienen el control de más y más dispositivos en una red vulnerada. Pueden conectar estos dispositivos para crear una red de robots o botnet. Una infección por botnet exitosa puede utilizarse para lanzar otros ciberataques, distribuir correo electrónico no deseado o estafar a un amplio grupo de usuarios objetivo.

Dado que el movimiento lateral puede escalar rápidamente a través de una red, la detección temprana es crucial para mitigar los daños y las pérdidas. Los expertos en seguridad recomiendan tomar medidas que ayuden a distinguir los procesos normales de la red de las actividades sospechosas, como las siguientes:

Analizar el comportamiento del usuario: los volúmenes inusualmente altos de inicios de sesión de los usuarios, los inicios de sesión que tienen lugar a altas horas de la noche, los usuarios que acceden a dispositivos o aplicaciones inesperados o un aumento de los inicios de sesión fallidos pueden ser signos de movimiento lateral. El análisis del comportamiento con machine learning puede identificar y alertar a los equipos de seguridad del comportamiento anormal de los usuarios.

Proteger los endpoints: los dispositivos vulnerables conectados a la red, como estaciones de trabajo personales, teléfonos inteligentes, tablets y servidores, son los principales objetivos de las ciberamenazas. Las soluciones de seguridad, como la detección y respuesta de endpoints (EDR) y los firewalls de aplicaciones web, son críticas para monitorizar los endpoints y prevenir violaciones de la red en tiempo real.

Crear particiones de red: la segmentación de la red puede ayudar a detener el movimiento lateral. Exigir protocolos de acceso separados para las distintas áreas de una red limita la capacidad de ramificación de un pirata informático. También facilita la detección de tráfico de red inusual.

Monitorizar las transferencias de datos: una aceleración repentina de las operaciones de la base de datos o transferencias masivas de datos a una ubicación inusual podría indicar que se está produciendo un movimiento lateral. Las herramientas que monitorizan y analizan los registros de eventos de fuentes de datos, como la información de seguridad y la gestión de eventos (SIEM) o la detección y respuesta de red (NDR), pueden ayudar a identificar patrones sospechosos de transferencia de datos.

Utilice la autenticación multifactor (MFA): si los hackers consiguen robar las credenciales de los usuarios, la autenticación multifactor puede ayudar a prevenir una vulneración añadiendo otra capa de seguridad. Con la MFA, las contraseñas robadas por sí solas no darán acceso a los sistemas protegidos.

Investigar las amenazas potenciales: los sistemas de seguridad automatizados pueden proporcionar falsos positivos y pasar por alto amenazas cibernéticas previamente desconocidas o no corregidas. La búsqueda de amenazas manual basada en la inteligencia de amenazas más reciente puede ayudar a las organizaciones a investigar y preparar una respuesta eficaz a incidentes para posibles amenazas.

Ser proactivo: la aplicación de parches y la actualización del software, la aplicación del acceso al sistema con privilegios mínimos, la formación de los empleados en medidas de seguridad y las pruebas de penetración pueden ayudar a evitar el movimiento lateral. Es vital abordar continuamente las vulnerabilidades que crean oportunidades para los hackers.