Acerca de las cookies de este sitio Nuestros sitios web necesitan algunas cookies para funcionar correctamente (necesarias). Además, se pueden utilizar otras cookies con su consentimiento para analizar el uso del sitio, para mejorar la experiencia del usuario y para publicidad. Para obtener más información, consulte sus opciones de. Al visitar nuestro sitio web, acepta que procesemos la información tal y como se describe en ladeclaración de privacidad de IBM. Para facilitar la navegación, sus preferencias de cookies se compartirán entre los dominios web de IBM que se muestran aquí.
¿Qué es el movimiento lateral?
Publicado: 17 de junio de 2024
Colaboradores: Gregg Lindemulder, Amber Forrest
El movimiento lateral es una táctica que utilizan los ciberdelincuentes para avanzar más profundamente en la red de una organización después de obtener acceso no autorizado. Durante el movimiento lateral, los actores de amenazas pueden implementar malware, comprometer las cuentas de los usuarios y evadir los controles de seguridad para buscar objetivos de alto valor, como datos confidenciales o propiedad intelectual.
El movimiento lateral no es una característica de todos los ciberataques, pero puede ser una de las amenazas de ciberseguridad más dañinas. Esto se debe a que el movimiento lateral se basa en el robo de credenciales de usuario para profundizar progresivamente en una red vulnerada. Este tipo de vulneración requiere una respuesta a incidentes más compleja por parte de los equipos de seguridad y suele tener un ciclo de vida de respuesta más largo que cualquier otro vector de infección.
Obtenga información esencial para ayudar a sus equipos de seguridad y TI a gestionar mejor el riesgo y limitar las posibles pérdidas.
En términos generales, los ataques de movimiento lateral constan de dos partes: una brecha inicial seguida de un movimiento interno. Los hackers primero deben acceder a una red eludiendo la seguridad de los endpoints. Pueden utilizar ataques de phishing o malware para comprometer un dispositivo o una aplicación, u obtener acceso inicial a través de un puerto de servidor abierto. Una vez que los atacantes están dentro, pueden empezar a ramificarse hacia otras áreas de la red a través de estas etapas de movimiento lateral:
Reconocimiento
Una vez que se han afianzado, los atacantes trazan un mapa de la red y planifican una ruta hacia su objetivo. Buscan información sobre jerarquías de red, sistemas operativos, cuentas de usuario, dispositivos, bases de datos y aplicaciones para comprender cómo están conectados estos activos. También pueden explorar los controles de seguridad de la red y luego usar lo que aprenden para eludir a los equipos de seguridad.
Escalada de privilegios
Cuando los hackers entienden el diseño de la red, pueden utilizar diversas técnicas de movimiento lateral para llegar a más dispositivos y cuentas. Al infiltrarse en más recursos, los hackers no solo se acercan a su objetivo, sino que también dificultan su eliminación. Incluso si las operaciones de seguridad los eliminan de una o dos máquinas, siguen teniendo acceso a otros activos.
A medida que los hackers se mueven lateralmente, intentan capturar activos y cuentas con privilegios cada vez más altos. Este acto se denomina "escalada de privilegios." Cuantos más privilegios tengan los atacantes, más podrán hacer dentro de la red. En última instancia, el objetivo de los hackers es obtener privilegios administrativos, que les permitan ir prácticamente a cualquier parte y hacer casi cualquier cosa.
Alcanzar el objetivo
Los hackers combinan y repiten técnicas de movimiento lateral según sea necesario hasta alcanzar su objetivo. A menudo, buscan información confidencial para recopilarla, cifrarla y comprimirla para exfiltración de datos a un servidor externo. O tal vez quieran sabotear la red borrando datos o infectando sistemas críticos con malware. Dependiendo de su objetivo final, los hackers pueden mantener puertas traseras y puntos de acceso remoto durante el mayor tiempo posible para maximizar el daño.
Volcado de credenciales: los hackers robarán los nombres de usuario y las contraseñas de los usuarios legítimos y luego "volcarán" estas credenciales en sus propias máquinas. También podrían robar las credenciales de los administradores que se hayan conectado recientemente al dispositivo.
Ataques Pass the hash: algunos sistemas transforman o "hash" las contraseñas en datos ilegibles antes de transmitirlas y almacenarlas. Los hackers pueden robar estos hashes de contraseñas y utilizarlos para engañar a los protocolos de autenticación para que concedan permisos para sistemas y servicios protegidos.
Ataques Pass the ticket: los hackers utilizan un ticket Kerberos robado para obtener acceso a dispositivos y servicios en la red. (Kerberos es el protocolo de autenticación predeterminado utilizado en Microsoft Active Directory).
Ataques de fuerza bruta: los hackers entran en una cuenta utilizando guiones o bots para generar y probar posibles contraseñas hasta que una funcione.
Ingeniería social: los hackers pueden utilizar una cuenta comprometida de correo electrónico de un empleado para lanzar ataques de phishing diseñados para recopilar las credenciales de inicio de sesión de cuentas privilegiadas.
Secuestro de recursos compartidos: los hackers pueden propagar malware a través de recursos compartidos, bases de datos y sistemas de archivos. Por ejemplo, podrían secuestrar las capacidades de Secure Shell (SSH) que conectan sistemas en sistemas operativos macOS y Linux.
Ataques de PowerShell: los hackers pueden utilizar la interfaz de línea de comandos (CLI) de Windows y la herramienta de creación de guiones PowerShell para cambiar las configuraciones, robar contraseñas o ejecutar scripts malintencionados.
Ataques Living off the land: los hackers pueden confiar en los activos internos que han comprometido y no en el malware externo en las etapas posteriores del movimiento lateral. Este enfoque hace que sus actividades parezcan legítimas y hace que sean más difíciles de detectar.
Amenazas persistentes avanzadas (APT): el movimiento lateral es una estrategia fundamental para los grupos de ataque APT, cuyo objetivo es infiltrarse, explorar y expandir su acceso a través de una red durante un período prolongado de tiempo. A menudo utilizan el movimiento lateral para pasar desapercibidos mientras realizan múltiples ciberataques durante meses o incluso años.
Ciberespionaje: dado que la naturaleza del ciberespionaje es localizar y monitorizar datos o procesos confidenciales, el movimiento lateral es una capacidad clave para los ciberespías. Los Estados-nación suelen contratar a ciberdelincuentes sofisticados por su capacidad para moverse libremente dentro de una red objetivo y realizar reconocimientos de activos protegidos sin ser detectados.
Ransomware: los atacantes de ransomware realizan movimientos laterales para acceder y obtener control sobre muchos sistemas, dominios, aplicaciones y dispositivos diferentes. Cuanto más puedan capturar, y cuanto más cruciales sean esos activos para las operaciones de una organización, mayor será la influencia que tendrán a la hora de exigir el pago de su rendimiento.
Infección por botnet: a medida que avanza el movimiento lateral, los hackers obtienen el control de más y más dispositivos en una red vulnerada. Pueden conectar estos dispositivos para crear una red de robots o botnet. Una infección por botnet exitosa puede utilizarse para lanzar otros ciberataques, distribuir correo electrónico no deseado o estafar a un amplio grupo de usuarios objetivo.
Dado que el movimiento lateral puede escalar rápidamente a través de una red, la detección temprana es crucial para mitigar los daños y las pérdidas. Los expertos en seguridad recomiendan tomar medidas que ayuden a distinguir los procesos normales de la red de las actividades sospechosas, como las siguientes:
Analizar el comportamiento del usuario: los volúmenes inusualmente altos de inicios de sesión de los usuarios, los inicios de sesión que tienen lugar a altas horas de la noche, los usuarios que acceden a dispositivos o aplicaciones inesperados o un aumento de los inicios de sesión fallidos pueden ser signos de movimiento lateral. El análisis del comportamiento con machine learning puede identificar y alertar a los equipos de seguridad del comportamiento anormal de los usuarios.
Proteger los endpoints: los dispositivos vulnerables conectados a la red, como estaciones de trabajo personales, teléfonos inteligentes, tablets y servidores, son los principales objetivos de las ciberamenazas. Las soluciones de seguridad, como la detección y respuesta de endpoints (EDR) y los firewalls de aplicaciones web, son fundamentales para supervisar los endpoints y prevenir violaciones de la red en tiempo real.
Crear particiones de red: la segmentación de la red puede ayudar a detener el movimiento lateral. Exigir protocolos de acceso separados para las distintas áreas de una red limita la capacidad de ramificación de un pirata informático. También facilita la detección de tráfico de red inusual.
Monitorizar las transferencias de datos: una aceleración repentina de las operaciones de la base de datos o transferencias masivas de datos a una ubicación inusual podría indicar que se está produciendo un movimiento lateral. Las herramientas que monitorizan y analizan los registros de eventos de fuentes de datos, como la información de seguridad y la gestión de eventos (SIEM) o la detección y respuesta de red (NDR), pueden ayudar a identificar patrones sospechosos de transferencia de datos.
Utilizar la autenticación multifactor (MFA): si los hackers consiguen robar las credenciales de los usuarios, la autenticación multifactor puede ayudar a evitar una brecha añadiendo otra capa de seguridad. Con la MFA, las contraseñas robadas por sí solas no darán acceso a los sistemas protegidos.
Investigar las amenazas potenciales: los sistemas de seguridad automatizados pueden proporcionar falsos positivos y pasar por alto amenazas cibernéticas previamente desconocidas o no corregidas. La búsqueda manual de amenazas basada en la inteligencia de amenazas más reciente puede ayudar a las organizaciones a investigar y preparar una respuesta eficaz a incidentes para posibles amenazas.
Ser proactivo: la aplicación de parches y la actualización del software, la aplicación del acceso al sistema con privilegios mínimos, la formación de los empleados en medidas de seguridad y las pruebas de penetración pueden ayudar a evitar el movimiento lateral. Es vital abordar continuamente las vulnerabilidades que crean oportunidades para los hackers.
Soluciones relacionadas
Identifique, priorice y gestione la corrección de los defectos que podrían exponer sus activos más cruciales.
Añada un contexto, inteligencia y seguridad profundos al acceso de los usuarios a sus datos y aplicaciones.
Proteja a los usuarios, los dispositivos móviles, las aplicaciones, las redes y los datos frente a las ciberamenazas.
Recursos
Aprenda de los retos y éxitos de los equipos de seguridad de todo el mundo, basándose en los conocimientos y observaciones obtenidos de la monitorización de más de 150 000 millones de eventos de seguridad al día en más de 130 países.
Los actores de amenazas son individuos o grupos que causan daño de forma intencionada a dispositivos o sistemas digitales.
Las amenazas persistentes avanzadas (APT) son ciberataques no detectados diseñados para robar datos confidenciales, realizar ciberespionaje o sabotear sistemas cruciales durante un largo periodo de tiempo.