qué es la escalada de privilegios

El secuestro de cuentas es una de las formas más comunes en que los piratas informáticos obtienen acceso no autorizado a los sistemas de destino. Según el IBM X-Force Threat Intelligence Index, el 30 % de los ciberataques utilizan cuentas robadas para entrar en un sistema. Los atacantes generalmente apuntan a cuentas de bajo nivel porque son más fáciles de secuestrar que las cuentas de administrador bien protegidas.

Después de que un atacante consigue la entrada inicial, puede explotar las vulnerabilidades del sistema y emplear técnicas como la ingeniería social para elevar sus licencias. Armados con mayores privilegios, los atacantes pueden realizar más fácilmente actividades maliciosas como robar datos confidenciales, instalar ransomware o interrumpir los sistemas. 

Los piratas informáticos que realizan ataques de escalada de privilegios comienzan obteniendo acceso a una cuenta de usuario o invitado de nivel inferior. Una vez dentro del sistema, explotan vulnerabilidades y brechas en las defensas de ciberseguridad para aumentar sus privilegios.

Los actores de amenazas comienzan con cuentas de nivel inferior porque son más fáciles de secuestrar. Hay más cuentas de bajo nivel que cuentas de usuario privilegiadas, lo que significa que la superficie de ataque general es mayor. Las cuentas de bajo nivel también tienden a tener menos controles de seguridad. Los hackers se apoderan de estas cuentas de bajo nivel mediante técnicas como el robo de credenciales y el phishing.

Las cuentas de bajo nivel dan a los hackers un pie en la puerta, pero una vez dentro, no pueden hacer mucho. Las organizaciones limitan intencionalmente los permisos de estas cuentas para que no puedan acceder a datos confidenciales ni interactuar con activos críticos.

Así que los atacantes buscan formas de obtener acceso privilegiado desde dentro del sistema.

En términos generales, tienen dos formas de hacerlo: Pueden aumentar los privilegios de la cuenta que robaron o secuestrar la cuenta de un usuario con más privilegios, como un administrador del sistema. Con acceso privilegiado, los atacantes pueden interactuar con aplicaciones, bases de datos y otros recursos que podrían contener información confidencial.

Los hackers pueden permanecer ocultos en el sistema durante largos períodos de tiempo mientras realizan el reconocimiento y buscan oportunidades para escalar sus privilegios. Durante este tiempo, pueden instalar puertas traseras que les permitan volver a ingresar a la red si se detectan.

A medida que los hackers exploran la red, pueden moverse horizontal o verticalmente.

También conocido como movimiento lateral, la escalada horizontal de privilegios ocurre cuando un atacante accede a una cuenta con un nivel similar de permisos. Aunque no obtienen nuevos permisos, moverse horizontalmente permite a los hackers ampliar su alcance para recopilar más inteligencia y causar más daño.

Por ejemplo, un hacker podría tomar el control de varias cuentas de usuario en una aplicación web bancaria. Es posible que estas cuentas no aumenten las licencias del atacante en el sistema, pero permiten que el atacante acceda a las cuentas bancarias de varios usuarios. 

También conocida como elevación de privilegios, la escalada vertical de privilegios consiste en pasar de privilegios inferiores a privilegios superiores, a menudo pasando de una cuenta de usuario básica a una cuenta con privilegios administrativos. 

Los hackers también pueden ejecutar una escalada de privilegios verticales explotando errores del sistema y configuraciones incorrectas para aumentar los privilegios de la cuenta que ya tienen.

Para muchos atacantes, el objetivo de la escalada vertical de privilegios es obtener privilegios de root. Una cuenta raíz tiene acceso prácticamente ilimitado a todos los programas, archivos y recursos de un sistema. Los hackers pueden usar estos privilegios para cambiar la configuración del sistema, ejecutar comandos, instalar malware y tomar el control total de los activos de la red.

Los vectores de ataque típicos de escalada de privilegios incluyen:

• Credenciales comprometidas
• Explotación de vulnerabilidades
• Errores de configuración
• Malware
• Ingeniería social
• Explotaciones del sistema operativo

El uso de credenciales robadas o comprometidas es una de las técnicas más comunes de escalada de privilegios. También es el método más sencillo para obtener acceso no autorizado a la cuenta.

Los hackers pueden obtener credenciales a través de phishing, filtraciones de datos o ataques de fuerza bruta en los que intentan adivinar los nombres de usuario y contraseñas de cuentas legítimas.

Los hackers suelen aprovechar vulnerabilidades de software, como defectos sin parches o errores de programación, para escalar los privilegios de la cuenta.

Una técnica común es un ataque de desbordamiento de búfer. Aquí, el atacante envía más datos a un bloque de memoria de los que un programa puede manejar. El programa responde sobrescribiendo bloques de memoria adyacentes, lo que puede alterar el funcionamiento del programa. Los hackers pueden beneficiarse de esto para introducir código malicioso en el programa.

Con fines de escalada de privilegios, los atacantes pueden usar ataques de desbordamiento de búfer para abrir shells remotos que les otorgan tantos privilegios como la aplicación atacada.

Las configuraciones erróneas de permisos, servicios o configuraciones del sistema operativo pueden dar a los hackers muchas oportunidades para eludir las medidas de seguridad.

Por ejemplo, una solución de Gestión de identidad y acceso (IAM) configurada incorrectamente podría conceder a los usuarios más permisos de los que requieren sus cuentas. Una base de datos confidencial que se expone accidentalmente a la web pública dejaría entrar a los hackers. 

Los piratas informáticos pueden usar su acceso inicial al sistema para soltar cargas maliciosas que instalan puertas traseras, registran las pulsaciones de teclas y espían a otros usuarios. A continuación, los hackers utilizan las capacidades del malware para recopilar credenciales y acceder a las cuentas administrativas.

Los hackers utilizan la ingeniería social para manipular a las personas para que compartan información que no deberían compartir, descargar malware o visitar sitios web maliciosos.

La ingeniería social es una técnica común en los ataques de escalada de privilegios. Los atacantes a menudo obtienen acceso inicial mediante el uso de ingeniería social para robar credenciales de cuentas de bajo nivel. Cuando están dentro de la red, los hackers utilizan la ingeniería social para engañar a otros usuarios para que compartan sus credenciales o concedan acceso a activos confidenciales.

Por ejemplo, un atacante podría usar una cuenta de empleado secuestrada para enviar correos electrónicos de phishing a otros empleados. Debido a que el correo electrónico de phishing proviene de una cuenta de correo electrónico legítima, es más probable que los objetivos caigan en la trampa.

Los atacantes de escalada de privilegios a menudo explotan las vulnerabilidades de sistemas operativos específicos. Microsoft Windows y Linux son objetivos populares debido a su uso generalizado y a sus intrincadas estructuras de permisos.

Los atacantes suelen estudiar el código abierto de Linux para buscar formas de llevar a cabo ataques de escalada de privilegios.

Un objetivo común es el programa de Linux Sudo, que los administradores emplean para otorgar temporalmente derechos administrativos a usuarios básicos. Si un atacante accede a una cuenta de usuario básica con acceso a Sudo, también obtendrá esos derechos. Luego pueden explotar sus privilegios de seguridad elevados para ejecutar comandos maliciosos.

Otra técnica es utilizar la enumeración para acceder a los nombres de usuario de Linux. Los atacantes primero obtienen acceso al shell del sistema Linux, generalmente a través de un servidor FTP mal configurado. Luego emiten comandos que enumeran o "enumeran" a todos los usuarios del sistema. Con una lista de nombres de usuario, los atacantes pueden usar la fuerza bruta u otros métodos para tomar el control de cada cuenta. 

Debido a que Windows es ampliamente utilizado por las empresas, es un objetivo popular para la escalada de privilegios.

Un enfoque común es omitir el control de cuentas de usuario (UAC) de Windows. El UAC determina si un usuario tiene acceso a privilegios estándar o administrativos. Si el UAC no tiene un alto nivel de protección, los atacantes pueden emitir ciertos comandos para evitarlo. Los atacantes pueden entonces acceder a los privilegios de root.

El secuestro de la biblioteca de enlaces dinámicos (DLL) es otro vector de ataque de Windows. Una DLL es un archivo que contiene código utilizado por varios recursos del sistema al mismo tiempo.

Los atacantes primero colocan un archivo infectado dentro del mismo directorio que la DLL legítima. Cuando un programa busca la DLL real, en su lugar, llama al archivo del atacante. Luego, el archivo infectado ejecuta un código malicioso que ayuda al ataque a escalar sus privilegios.

Una postura de confianza cero que asume que cada usuario es una amenaza cibernética potencial puede ayudar a mitigar el riesgo de escalada de privilegios. Otros controles de seguridad comunes para prevenir y detectar la escalada de privilegios incluyen:

• Contraseñas seguras
• Gestión de parches
• Principio del privilegio mínimo
• Autenticación multifactor (MFA)
• Protección de puntos finales
• Análisis del comportamiento del usuario