¿Qué es la escalada de privilegios?
La escalada de privilegios es una técnica de ciberataque en la que un actor de amenazas altera o eleva sus permisos en un sistema de destino, por ejemplo, pasando de una cuenta de usuario básica de privilegios más bajos a una cuenta de administrador de nivel superior.
El secuestro de cuentas es una de las formas más comunes en que los hackers obtienen acceso no autorizado a los sistemas de destino. Según el IBM X-Force Threat Intelligence Index, el 30 % de los ciberataques utilizan cuentas robadas para entrar en un sistema. Los atacantes generalmente apuntan a cuentas de bajo nivel porque son más fáciles de secuestrar que las cuentas de administrador bien protegidas.
Una vez que un atacante obtiene la entrada inicial, puede explotar las vulnerabilidades del sistema y utilizar técnicas como la ingeniería social para elevar sus permisos. Armados con mayores privilegios, los atacantes pueden realizar más fácilmente actividades maliciosas como robar datos confidenciales, instalar ransomware o interrumpir sistemas.
Refuerce su inteligencia de seguridad
Manténgase a la vanguardia de las amenazas con noticias e información sobre seguridad, IA y mucho más, semanalmente en el boletín Think.
Los hackers que realizan ataques de escalada de privilegios comienzan por obtener acceso a una cuenta de usuario o invitado de nivel inferior. Cuando están dentro del sistema, explotan vulnerabilidades y brechas en las defensas de ciberseguridad para escalar sus privilegios.
Los actores de amenazas comienzan con cuentas de nivel inferior porque son más fáciles de secuestrar. Hay más cuentas de bajo nivel que cuentas de usuario con privilegios, lo que significa que la superficie de ataque general es mayor. Las cuentas de bajo nivel también tienden a tener menos controles de seguridad. Los hackers se apoderan de estas cuentas de bajo nivel mediante técnicas como el robo de credenciales y el phishing.
Las cuentas de bajo nivel dan a los hackers un pie en la puerta, pero una vez dentro, no pueden hacer mucho. Las organizaciones limitan intencionadamente los permisos de estas cuentas para que no puedan acceder a datos confidenciales ni interactuar con activos críticos.
Así que los atacantes buscan formas de obtener acceso privilegiado desde dentro del sistema.
En términos generales, tienen dos formas de hacerlo: pueden aumentar los privilegios de la cuenta que robaron o secuestrar la cuenta de un usuario con más privilegios, como un administrador del sistema. Con acceso privilegiado, los atacantes pueden interactuar con aplicaciones, bases de datos y otros recursos que puedan contener información confidencial.
Los hackers pueden permanecer ocultos en el sistema durante largos períodos de tiempo mientras realizan reconocimientos y buscan oportunidades para escalar sus privilegios. Durante este tiempo, pueden instalar puertas traseras que les permitan volver a entrar en la red si se detectan.
A medida que los hackers exploran la red, pueden moverse horizontal o verticalmente.
Escalada horizontal de privilegios
También conocida como movimiento lateral, la escalada horizontal de privilegios se produce cuando un atacante accede a una cuenta con un nivel similar de permisos. Aunque no obtienen nuevos permisos, moverse horizontalmente permite a los hackers ampliar su alcance para reunir más información y causar más daño.
Por ejemplo, un hacker podría hacerse con el control de varias cuentas de usuario en una aplicación web bancaria. Puede que estas cuentas no aumenten los permisos del atacante en el sistema, pero le permiten acceder a las cuentas bancarias de varios usuarios.
Escalada vertical de privilegios
También conocida como elevación de privilegios, la escalada vertical de privilegios consiste en pasar de privilegios inferiores a privilegios superiores, a menudo pasando de una cuenta de usuario básica a una cuenta con privilegios administrativos.
Los hackers también pueden ejecutar una escalada de privilegios verticales explotando errores del sistema y configuraciones incorrectas para aumentar los privilegios de la cuenta que ya tienen.
Para muchos atacantes, el objetivo de la escalada vertical de privilegios es obtener privilegios de root. Una cuenta raíz tiene acceso prácticamente ilimitado a todos los programas, archivos y recursos de un sistema. Los hackers pueden utilizar estos privilegios para cambiar la configuración del sistema, ejecutar comandos, instalar malware y tomar el control total de los activos de la red.
Los vectores de ataque típicos de la escalada de privilegios incluyen:
- Credenciales comprometidas
- Explotación de vulnerabilidades
- Configuración incorrecta
- Malware
- Ingeniería social
- Explotaciones del sistema operativo
Credenciales comprometidas
El uso de credenciales robadas o comprometidas es una de las técnicas de escalada de privilegios más comunes. También es el método más simple para obtener acceso no autorizado a una cuenta.
Los hackers pueden obtener credenciales mediante phishing, vulneraciones de datos o ataques de fuerza bruta en los que intentan adivinar los nombres de usuario y contraseñas de cuentas legítimas.
Explotación de vulnerabilidades
Los hackers suelen aprovechar las vulnerabilidades del software, como defectos sin parches o errores de codificación, para escalar los privilegios de las cuentas.
Una técnica común es un ataque de desbordamiento de búfer. Aquí, el atacante envía más datos a un bloque de memoria de los que un programa puede manejar. El programa responde sobrescribiendo bloques de memoria adyacentes, lo que puede alterar el funcionamiento del programa. Los hackers pueden beneficiarse de esto para introducir código malicioso en el programa.
Con fines de escalada de privilegios, los atacantes pueden utilizar ataques de desbordamiento de búfer para abrir shells remotos que les otorguen tantos privilegios como la aplicación atacada.
Configuración incorrecta
Las configuraciones erróneas de permisos, servicios o ajustes del sistema operativo pueden dar a los hackers muchas oportunidades para eludir las medidas de seguridad.
Por ejemplo, una solución de gestión de identidades y accesos (IAM) mal configurada podría otorgar a los usuarios más permisos de los que requieren sus cuentas. Una base de datos sensible expuesta accidentalmente a la web pública dejaría entrar directamente a los hackers.
Malware
Los piratas informáticos pueden usar su acceso inicial al sistema para soltar cargas maliciosas que instalan puertas traseras, registran las pulsaciones de teclas y espían a otros usuarios. A continuación, los hackers utilizan las capacidades del malware para recopilar credenciales y acceder a las cuentas administrativas.
Ingeniería social
Los hackers utilizan la ingeniería social para manipular a las personas para que compartan información que no deberían compartir, descarguen malware o visiten sitios web maliciosos.
La ingeniería social es una técnica común en los ataques de escalada de privilegios. Los atacantes suelen obtener el acceso inicial mediante la ingeniería social para robar credenciales de cuentas de bajo nivel. Cuando están dentro de la red, los hackers utilizan la ingeniería social para engañar a otros usuarios para que compartan sus credenciales o concedan acceso a activos confidenciales.
Por ejemplo, un atacante podría utilizar una cuenta de empleado secuestrada para enviar correos electrónicos de phishing a otros empleados. Dado que el correo electrónico de phishing proviene de una cuenta de correo electrónico legítima, es más probable que los objetivos caigan en la trampa.
Explotaciones del sistema operativo
Los atacantes de la escalada de privilegios suelen explotar las vulnerabilidades de sistemas operativos específicos. Microsoft Windows y Linux son objetivos populares debido a su uso generalizado y a sus intrincadas estructuras de permisos.
Escalada de privilegios de Linux
Los atacantes suelen estudiar el código fuente abierto de Linux para buscar formas de llevar a cabo ataques de escalada de privilegios.
Un objetivo común es el programa de Linux Sudo, que los administradores utilizan para conceder temporalmente derechos administrativos a los usuarios básicos. Si un atacante piratea una cuenta de usuario básica con acceso a Sudo, también obtiene esos derechos. A continuación, pueden explotar sus elevados privilegios de seguridad para ejecutar comandos maliciosos.
Otra técnica es utilizar la enumeración para acceder a los nombres de usuario de Linux. Los atacantes primero obtienen acceso al shell del sistema Linux, generalmente a través de un servidor FTP mal configurado. Luego emiten comandos que enumeran, o “enumeran”, todos los usuarios del sistema. Con una lista de nombres de usuario, los atacantes pueden usar la fuerza bruta u otros métodos para tomar el control de cada cuenta.
Escalada de privilegios de Windows
Como las empresas utilizan ampliamente Windows, es un objetivo popular para la escalada de privilegios.
Un enfoque común es omitir el control de cuentas de usuario (UAC) de Windows. El UAC determina si un usuario tiene acceso a privilegios estándar o administrativos. Si el UAC no tiene un alto nivel de protección, los atacantes pueden emitir ciertos comandos para eludirlo. Los atacantes pueden acceder a los privilegios de root.
El secuestro de bibliotecas de vínculos dinámicos (DLL) es otro vector de ataque de Windows. Una DLL es un archivo que contiene código utilizado por varios recursos del sistema al mismo tiempo.
Los atacantes colocan primero un archivo infectado en el mismo directorio que la DLL legítima. Cuando un programa busca la DLL real, en su lugar llama al archivo del atacante. El archivo infectado ejecuta entonces un código malintencionado que ayuda al ataque a aumentar sus privilegios.
Una posición zero trust que asuma que cada usuario es una ciberamenaza potencial puede ayudar a mitigar el riesgo de escalada de privilegios. Otros controles de seguridad comunes para prevenir y detectar la escalada de privilegios incluyen:
- Contraseñas seguras
- Gestión de parches
- Principio de privilegio mínimo
- Autenticación de múltiples factores (MFA)
- Protección de los endpoints
- Análisis del comportamiento del usuario
Las contraseñas seguras dificultan que los hackers utilicen la fuerza bruta o métodos similares para adivinar o descifrar las contraseñas de las cuentas.
La gestión de parches es el proceso de aplicación de las actualizaciones emitidas por los proveedores para cerrar las vulnerabilidades de seguridad y optimizar el rendimiento del software y los dispositivos.
Muchos ejemplos de escalada de privilegios pueden evitarse fácilmente aplicando parches a tiempo, cerrando las vulnerabilidades antes de que los atacantes puedan explotarlas.
El principio de privilegios mínimos establece que los usuarios deben disponer únicamente del acceso mínimo necesario para sus funciones. Este enfoque ayuda a las organizaciones a proteger las cuentas privilegiadas contra ataques basados en la identidad, como la escalada de privilegios. También reduce el número de usuarios y cuentas privilegiados al endurecer los controles de acceso, por lo que hay menos oportunidades de que los hackers entren.
La autenticación multifactor (MFA) es un método de verificación de identidad en el que un usuario debe proporcionar al menos dos pruebas para demostrar su identidad.
Incluso si los hackers consiguen robar las credenciales de los usuarios, esta práctica puede ayudar a impedir la escalada de privilegios al añadir otro nivel de seguridad. Con la MFA, las contraseñas robadas por sí solas no dan acceso a cuentas protegidas.
Las herramientas de seguridad de endpoints, como las soluciones de detección y respuesta de endpoints (EDR), pueden ayudar a identificar los primeros indicios de un ataque de escalada de privilegios. Cuando los atacantes toman el control de las cuentas de usuario, tienden a comportarse de forma diferente a los usuarios reales. Las EDR y herramientas similares pueden detectar actividades anómalas en los endpoints y marcarlos o intervenir directamente.
El análisis de la actividad de los usuarios con herramientas como análisis de comportamiento de usuarios y entidades (UEBA) puede ayudar a las organizaciones a identificar comportamientos anormales que podrían indicar intentos de escalada de privilegios. Un volumen inusualmente alto de inicios de sesión de usuarios, inicios de sesión que tienen lugar a altas horas de la noche, usuarios que acceden a dispositivos o aplicaciones inesperados o un aumento de inicios de sesión fallidos pueden ser signos de una escalada de privilegios.
Recursos
Descubra, controle, administre y proteja cuentas privilegiadas en endpoints y entornos multicloud híbridos con IBM Verify Privilege.
Obtenga información sobre los servicios de pruebas de penetración de X-Force Red de IBM, que ofrecen pruebas de seguridad desde la perspectiva de los atacantes.
Tanto si necesita soluciones de seguridad de datos, de gestión de endpoints o de gestión de identidades y accesos (IAM), nuestros expertos están dispuestos a trabajar con usted para lograr una posición de alta seguridad.