Comprar ahoraContáctenosSoporteCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês
Seguridad de Datos
Gobernanza de AlGestión de la Postura de Seguridad de DatosGobernanza del Acceso a DatosPrevención de Pérdida de DatosDescubrimiento y Clasificación de Datos
Seguridad de Identidad
Detección y Respuesta a Amenazas de IdentidadGobernanza y Administración de IdentidadGestión de la Postura de Seguridad de IdentidadGestión de Acceso PrivilegiadoSeguridad del Directorio

El futuro de la seguridad de datos

La Plataforma Netwrix 1Secure™

Explorar
Soluciones
Casos de Uso Destacados Ver todos los casos de uso
Seguridad de Active DirectoryDefensa de Identidad No HumanaPreparación de CopilotImplementación en las instalacionesDetección y Análisis de Riesgos de IdentidadProveedores de Servicios GestionadosFusiones, Adquisiciones y DesinversionesCumplimiento NormativoSeguridad de Microsoft 365Cero ConfianzaSeguridad de Servicios de Certificados ADSeguridad de IA Shadow
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint ProtectorNetwrix Privilege SecureAdministrador de Identidad de Netwrix

El checkout de autoservicio está disponible para organizaciones de hasta 150 empleados

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Comprar Ahora Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinarsMicrosoft Alliance
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Movimiento Lateral: Técnicas de los atacantes y mejores prácticas para defender su organización

Movimiento Lateral: Técnicas de los atacantes y mejores prácticas para defender su organización

Jul 31, 2023

Introducción

Incluso si ha implementado un paradigma de seguridad Zero Trust para la seguridad de la red y la infraestructura, necesita planificar lo inevitable: en algún momento, un atacante ingresará a su red con la intención de desplegar ransomware o causar otros daños

Un ataque típico ocurre más o menos así:

  1. Un actor de amenazas comprometerá una cuenta de usuario a través de una campaña de phishing, ataque de adivinación de contraseñas u otra técnica, obteniendo así un punto de apoyo en un endpoint, dispositivo IoT u otro sistema.
  2. Se desplazarán lateralmente a través del entorno y escalarán sus privilegios hasta que obtengan acceso a recursos de TI vitales. Esta etapa puede durar semanas o incluso meses mientras el atacante se mueve estudiando su red.
  3. El atacante exfiltrará datos sensibles, desplegará ransomware u otro malware y/o dañará sistemas para causar tiempo de inactividad.

Existe la idea errónea de que las amenazas de movimiento lateral están limitadas a redes locales. Pero el movimiento lateral puede ocurrir en entornos de nube, y los atacantes pueden moverse lateralmente entre sistemas locales y en la nube.

Corresponde al personal de ciberseguridad detectar amenazas, contener ataques para prevenir su propagación y limpiar todos los sistemas infectados. Para defender su organización, necesita comprender las técnicas que utilizan los actores de amenazas.

Descargar eBook:

¿Qué son el movimiento lateral y la escalada de privilegios?

Los actores de amenazas suelen obtener un punto de apoyo en una red al comprometer una cuenta que tiene privilegios de usuario estándar. Para lograr su objetivo, el atacante debe obtener niveles más altos de acceso y control. Por lo tanto, cuando un atacante entra en su entorno, comienzan a hacer reconocimiento para entender a qué recursos tienen acceso y qué cuentas podrían comprometer a continuación. Pueden utilizar herramientas de escaneo de red para identificar hosts activos, puertos abiertos o servicios en funcionamiento dentro de una plataforma de sistema objetivo. Es durante esta calma antes de la tormenta que la detección y respuesta oportuna son tan importantes.

¿Qué técnicas específicas utilizan los atacantes?

Aquí hay algunas de las técnicas más comunes que utilizan los atacantes para moverse lateralmente y escalar sus privilegios:

  • Reconocimiento LDAP — Los actores de amenazas pueden consultar un servicio de directorio LDAP para recopilar información sobre objetos y atributos con el fin de identificar cuentas de alto privilegio y recursos críticos que desean controlar.
  • Ataque Pass-the-Hash — Esta técnica implica robar una contraseña de un usuario con privilegios elevados interceptando el tráfico de red o utilizando malware para extraer el hash de la contraseña.
  • Kerberoasting — Los adversarios pueden abusar del protocolo de autenticación Kerberos para robar las credenciales de usuarios de Active Directory que tienen servicePrincipleNames. En la mayoría de los casos, estas cuentas son cuentas de servicio, por lo que tienen niveles de privilegio más altos que las cuentas de usuarios regulares.
  • Explotación de vulnerabilidades — Los hackers suelen explotar vulnerabilidades conocidas en sistemas o aplicaciones para elevar sus privilegios o acceder a sistemas adicionales. Este tipo de ataque se aprovecha de software sin parches o desactualizado.
  • Abusar de configuraciones débiles — Las configuraciones débiles en servidores, endpoints y otros sistemas permiten a los adversarios avanzar en sus ataques.
  • Aprovechando RDP — Herramientas de administración remota como el Protocolo de Escritorio Remoto (RDP) en sistemas Windows son a menudo el objetivo de cibercriminales para moverse lateralmente dentro de una red.

Los hackers suelen utilizar herramientas especializadas diseñadas para el movimiento lateral, como Bloodhound, PowerSploit o Empire. Estas se utilizan para mapear la red y identificar posibles objetivos para la explotación.

Ejemplos del mundo real

Un ejemplo muy publicitado de un ataque con movimiento lateral fue el ataque a la cadena de suministro de SolarWinds en 2020. Los actores de amenazas obtuvieron acceso al software de SolarWinds e insertaron una puerta trasera en una actualización de software. Cuando los clientes instalaron esa actualización, los atacantes obtuvieron acceso privilegiado a sus redes.

Otro ejemplo ese mismo año fue un ataque de ransomware Ryuk a Universal Health Services. Aquí los perpetradores utilizaron un correo electrónico de phishing para entregar una aplicación troyana, que luego descargó el ransomware. Los ciberdelincuentes luego utilizaron Mimikatz para robar credenciales de administrador con el fin de moverse lateralmente a través de la red.

¿Cómo pueden defenderse las organizaciones?

Para ayudar a prevenir que los adversarios se muevan lateralmente en su entorno de TI, considere implementar las siguientes mejores prácticas.

Restrinja el acceso del administrador local.

Han quedado atrás los días en los que se podían asignar derechos de administrador local a usuarios estándar. Cuando una cuenta se ve comprometida, los atacantes heredan automáticamente los derechos de esa cuenta. Sin derechos de administrador local, los atacantes no podrán instalar código malicioso.

Haga cumplir el principio de mínimo privilegio.

El principio de mínimo privilegio (POLP) establece que cada usuario y proceso solo debe tener acceso a los recursos de la red que necesitan para realizar sus funciones asignadas y nada más. La comprensión inicial de POLP ha evolucionado para incluir un elemento temporal: el privilegio solo debe existir mientras sea necesario para una tarea determinada.

Bloquee los ataques de ingeniería social.

Los ciberdelincuentes a menudo obtienen acceso a un entorno de TI objetivo a través de un ataque de ingeniería social en el que manipulan a un usuario legítimo para que proporcione sus credenciales. Aquí es donde la capacitación en conciencia de seguridad puede generar grandes dividendos porque los usuarios suelen ser los eslabones más débiles en su cadena de seguridad. También hay soluciones de filtrado de correo electrónico y web disponibles para mitigar este tipo de ataques.

Proteja sus contraseñas.

Las contraseñas débiles facilitan a los atacantes el robo de credenciales utilizando técnicas como los ataques de password spraying. Existen herramientas que pueden ayudar a asegurar que se requieran estándares de complejidad de mejores prácticas para todas las contraseñas. Debes apoyar estas políticas con una formación adecuada en ciberhigiene para todos los usuarios. Además, se debe aplicar MFA a todas las cuentas de alto privilegio.

Reemplace las cuentas privilegiadas permanentes con acceso justo a tiempo y monitoree la actividad,

Los derechos administrativos son las llaves del reino para un hacker. Implementar una sólida estrategia de Privileged Access Management (PAM) es esencial para proteger las cuentas privilegiadas de ser comprometidas. Un ejemplo es la Netwrix Privileged Access Management Solution, que te permite identificar cuentas privilegiadas en todo tu entorno de TI y reducir tu superficie de ataque reemplazándolas con acceso puntual (JIT) para completar tareas específicas. Además, la solución te ofrece visibilidad sobre lo que los usuarios privilegiados están haciendo a través de tu entorno de TI y te alerta sobre comportamientos sospechosos.

Conclusión

El movimiento lateral es una técnica común de los atacantes. Asegúrate de cortarles el paso y contenerlos con las estrategias, técnicas y herramientas correctas.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

UEBA (User and Entity Behavior Analytics): guía completa sobre detección, casos de uso e implementación

NIST CSF 2.0: Qué hay de nuevo en el Cybersecurity Framework

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Últimos blogs

Mejores prácticas de automatización de ITDR para equipos de seguridad

Las 7 mejores alternativas a Rubrik para la seguridad de datos y DSPM en 2026

10 soluciones de seguridad de datos en la nube que los equipos de mercado medio deberían considerar en 2026

Alternativas a Forcepoint DLP para equipos de Endpoint Management y seguridad de datos

Alternativas a BigID para equipos de seguridad de datos y privacidad

8 change management security tools mid-market teams should consider

8 alternativas a Semperis para AD y seguridad de identidad en 2026

Datos oscuros explicados: Por qué los datos invisibles son un problema de seguridad

Expansión de datos: Gestión del crecimiento descontrolado en entornos cloud

8 alternativas a Veza para la seguridad de identidad y la gobernanza de acceso

Nuestros artículos más destacados

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Descargue e instale PowerShell 7

Variables de entorno de PowerShell

Una visión general del ciberataque MGM

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

¿Qué es SPN y cuál es su papel en Active Directory y la seguridad?

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell

Powershell Delete File If Exists