Portada de la guía de detección de ataques LOTL con un hacker en un portátil.
Detectar un ataque LOTL es una carrera contrarreloj contra un adversario que ya está dentro de tu sistema.
EsGeeks·
Seguridad Defensiva
·24 Minutos de lectura

Guía de Detección de Ataques LOTL con Analítica de Comportamiento

Empecemos con los Puntos Clave:

  • Amenaza Dominante: El 79% de las detecciones de ciberataques en 2024 estuvieron libres de malware, demostrando el dominio de las tácticas LOTL.
  • Carrera Contrarreloj: El tiempo medio de movimiento lateral de un atacante (breakout time) ha bajado a solo 48 minutos, con récords de 51 segundos.
  • Fallo de Métodos Tradicionales: Los antivirus y las firmas son ineficaces. La solución es la Analítica de Comportamiento (UEBA), que mejora la detección en un 62%.
  • Foco en la Identidad: El 35% de los incidentes en la nube se deben al abuso de cuentas válidas, y los ataques de vishing (phishing por voz) aumentaron un 442%.

La detección de ataques LOTL (Living off the Land) es el proceso de identificar actividad maliciosa que utiliza exclusivamente herramientas y procesos legítimos del sistema operativo. A diferencia de los antivirus, no busca malware, sino que se centra en la analítica de comportamiento ciberseguridad (UEBA) para detectar anomalías y patrones de uso sospechosos.

Diagrama de un ataque LOTL con herramientas del sistema
Los ataques LOTL se camuflan utilizando las propias herramientas del sistema, un desafío clave para la ciberseguridad moderna.
Tabla de Contenido

Introducción: La Amenaza que se Esconde a Plena Vista

Como ya hemos explorado, los ataques Living off the Land (LOTL) representan hoy la metodología de ataque más insidiosa en el panorama de la ciberseguridad contemporánea.

Cuando un atacante logra penetrar una red corporativa sin instalar malware reconocible, utilizando exclusivamente herramientas ya presentes en el sistema operativo de la víctima, nos enfrentamos a un escenario que redefine completamente el concepto de amenaza informática y la urgencia de una efectiva detección de ataques LOTL.

En 2024, según el CrowdStrike 2025 Global Threat Report, el 79% de las detecciones estuvieron libres de malware, marcando un aumento drástico en comparación con el 40% de 2019. Este dato confirma que el 84% de los ataques de alta severidad explota herramientas de sistema legítimas en lugar de malware personalizado.

Las técnicas LOTL encarnan un paradigma fundamental: ataques que se mimetizan perfectamente con el tráfico legítimo, explotando herramientas nativas como PowerShell, Windows Management Instrumentation (WMI), certutil o psexec para conducir operaciones de reconocimiento, movimiento lateral y exfiltración de datos. Estas son consideradas amenazas sin malware.

La paradoja de la seguridad moderna reside precisamente aquí: las herramientas más potentes a disposición de los administradores de sistemas y analistas de seguridad son exactamente las mismas que un actor de amenazas competente utilizará para alcanzar sus objetivos. Ya no se trata de identificar un archivo ejecutable sospechoso o un hash malicioso conocido, sino de distinguir el uso legítimo de PowerShell por parte de un administrador del abuso del mismo intérprete por parte de un operador de APT.

Breakout Time: La Carrera Contrarreloj en la Detección de Ataques LOTL

Una de las métricas más críticas en la detección de ataques LOTL es el breakout time – el tiempo que transcurre entre el acceso inicial y el momento en que el atacante comienza a moverse lateralmente en la red. Este concepto es clave en la defensa y el movimiento lateral.

Según el CrowdStrike 2025 Global Threat Report, el breakout time medio en intrusiones interactivas de eCrime cayó a 48 minutos en 2024 (bajó de los 62 minutos de 2023). Aún más alarmante, el breakout time más rápido registrado fue de solo 51 segundos, lo que significa que los defensores tienen menos de un minuto para detectar y responder antes de que los atacantes establezcan un control más profundo.

La evolución de las técnicas LOTL: de los grupos APT al ransomware-as-a-service

La proliferación de estas metodologías está documentada de manera inequívoca por los informes de respuesta a incidentes de los últimos años. Grupos como FIN7, APT29 y numerosos operadores de ransomware han abandonado progresivamente el uso de malware personalizado en favor de cadenas de ataque basadas casi exclusivamente en binarios legítimos del sistema operativo.

En 2024, CrowdStrike rastreó 26 nuevos adversarios, elevando el total a 257 adversarios nombrados, además de 140 clústeres de actividad maliciosa y grupos emergentes.

APT29, asociado a operaciones de espionaje ruso, ha utilizado frecuentemente PowerShell, WMI y tareas programadas durante campañas de espionaje, reduciendo significativamente las posibilidades de detección. FIN7, un grupo con motivación financiera, ha adoptado LOTL por razones prácticas y de escalabilidad, utilizando extensivamente Sysinternals PsExec para el movimiento lateral y ProcDump para extraer credenciales de la memoria de LSASS.

Adversarios China-nexus: la escalada de las operaciones LOTL

Una tendencia particularmente preocupante que surgió en 2024 se refiere a la actividad de China-nexus, que aumentó un 150% en todos los sectores en comparación con 2023. Los sectores financiero, de medios, manufacturero e industrial registraron aumentos aún más drásticos, entre el 200% y el 300%. Estos adversarios han demostrado una creciente sofisticación en el uso de técnicas LOTL, implementando redes de operational relay box (ORB) compuestas por cientos o miles de dispositivos comprometidos para ofuscar sus operaciones.

El Proyecto LOLBAS: Un Arsenal para el Ataque LOTL

El núcleo del problema reside en la naturaleza misma de las herramientas involucradas. El proyecto LOLBAS (Living Off The Land Binaries and Scripts) documenta sistemáticamente los binarios y scripts legítimos presentes en Windows que pueden ser abusados por atacantes, mapeándolos al framework MITRE ATT&CK. Esta base de datos de código abierto, mantenida por la comunidad de seguridad, cataloga más de 200 binarios de Windows que pueden ser utilizados como armas para fines maliciosos.

PowerShell, por ejemplo, es un framework de automatización extremadamente potente, diseñado para simplificar la administración de sistemas Windows a través de acceso directo a .NET Framework, COM y WMI. Esto nos lleva a la pregunta clave: cómo detectar abuso de PowerShell si su uso es tan extendido.

PowerShell aparece en el 71% de los casos de ataque LOTL, ya que esta misma potencia lo hace perfecto para operaciones post-explotación: desde la recolección de credenciales en memoria mediante técnicas similares a Mimikatz implementadas en PowerShell puro, hasta la enumeración de Active Directory, y la ejecución de payloads reflectivos que nunca tocan el disco.

Detección de Ataques LOTL: Por Qué Fallan los Métodos Tradicionales

Ante esta realidad, los enfoques tradicionales de detección muestran limitaciones evidentes. Las firmas antimalware resultan ineficaces cuando no existe un archivo malicioso que analizar. Los indicadores de compromiso basados en hashes o dominios C2 pierden relevancia cuando el atacante opera a través de protocolos legítimos e infraestructuras de confianza.

La difusión de las estrategias LOTL complica aún más la detección de intrusiones, ya que reduce el número de eventos anómalos que pueden ser identificados en los registros del sistema.

Debido a esta dificultad de detección, los atacantes a menudo pueden permanecer ocultos en el entorno de la víctima durante semanas, meses o incluso años, un fenómeno conocido como “dwell time” extendido.

En sectores como la salud —especialmente vulnerables a los ataques LOTL—, el costo promedio de una brecha ronda los 10-11 millones de dólares por incidente (según reportes como el de IBM Cost of a Data Breach).

El Auge de los Ataques Basados en Identidad

Según el CrowdStrike 2025 Global Threat Report, el abuso de cuentas válidas fue el vector inicial principal en la nube durante la primera mitad de 2024, representando el 35% de los incidentes cloud. Los ataques basados en identidad son ahora la norma: los atacantes ya no pierden tiempo con exploits raros, van directo a robar y abusar identidades legítimas para entrar y moverse.

Además, la actividad de los access brokers – especialistas que adquieren accesos a organizaciones para revenderlos a otros actores de amenazas, incluidos operadores de ransomware – aumentó un 50% interanual, con 4.486 accesos publicitados en 2024.

Mapeo de un Ataque LOTL con el Framework MITRE ATT&CK

El framework MITRE ATT&CK documenta sistemáticamente técnicas, tácticas y procedimientos, clasificando muchas técnicas LOTL bajo la categoría T1218 (System Binary Proxy Execution), que describe cómo los adversarios pueden eludir defensas basadas en procesos o firmas mediante la ejecución proxy de contenido malicioso a través de binarios firmados o considerados de confianza.

En 2024, el 52% de las vulnerabilidades observadas por CrowdStrike estaban correlacionadas con el acceso inicial, subrayando la necesidad de proteger los sistemas expuestos antes de que los atacantes establezcan un punto de apoyo.

Ingeniería Social y Vishing: El Vector Humano en Ciberseguridad

Una tendencia particularmente alarmante que surgió en 2024 es la explosión de los ataques de vishing (voice phishing). CrowdStrike documentó un aumento del 442% en los ataques de vishing entre la primera y la segunda mitad de 2024, con adversarios como CURLY SPIDER, CHATTY SPIDER y PLUMP SPIDER que han incorporado masivamente estas técnicas en sus operaciones de vishing ciberseguridad.

CASO DE ESTUDIO: CURLY SPIDER y el ataque en menos de 4 minutos

CURLY SPIDER representa uno de los ejemplos más emblemáticos de cuán devastadoras pueden ser las técnicas LOTL. En un caso documentado por CrowdStrike OverWatch, el adversario completó toda la kill chain – desde la interacción inicial con el usuario a través de ingeniería social hasta la introducción de una cuenta de puerta trasera para establecer persistencia – en menos de 4 minutos.

El modus operandi incluye:

  1. Spam bombing a la víctima con grandes volúmenes de correos electrónicos.
  2. Llamada de vishing en la que el atacante se hace pasar por soporte de TI.
  3. Instalación de Microsoft Quick Assist para acceso remoto.
  4. Despliegue rápido de payloads y creación de un usuario de puerta trasera.
  5. Colaboración frecuente con WANDERING SPIDER (ransomware Black Basta).

Este caso demuestra cómo los atacantes modernos ni siquiera necesitan hacer “breakout” hacia otros dispositivos: pueden comprometer la red en segundos, asegurándose un acceso persistente antes de que la víctima se dé cuenta de lo que está sucediendo.

Ingeniería Social en el Help Desk: la nueva frontera

En 2024, múltiples actores de eCrime adoptaron tácticas de ingeniería social dirigidas al help desk, llamando a los servicios de TI de las organizaciones objetivo y suplantando a empleados legítimos para convencer a los agentes de restablecer contraseñas y MFA. Adversarios como SCATTERED SPIDER han perfeccionado esta técnica desde 2023, obteniendo acceso a cuentas de SSO y suites de aplicaciones basadas en la nube.

Analítica de Comportamiento: La Clave en Ciberseguridad Defensiva

La respuesta más prometedora a este desafío surge del campo de la analítica de comportamiento ciberseguridad, un enfoque que desplaza el foco de la búsqueda de artefactos maliciosos al análisis de anomalías conductuales. La analítica de comportamiento (especialmente combinada con UEBA) mejora las tasas de detección de LOTL en un 62% en comparación con los métodos tradicionales basados en firmas.

Gráfico de detección de amenazas con UEBA ciberseguridad
UEBA identifica anomalías en el comportamiento que las soluciones basadas en firmas no pueden ver.

El principio fundamental es que, aunque las herramientas utilizadas son legítimas, los patrones de uso en un contexto de ataque difieren estadísticamente de los normales. Un administrador puede ejecutar PowerShell a diario, pero difícilmente lanzará un script de enumeración de Active Directory a las tres de la mañana desde la estación de trabajo de una cuenta de usuario genérica. El contexto se vuelve tan crucial como el propio comando.

UEBA en Ciberseguridad: Perfilado de Comportamiento Avanzado

UEBA ciberseguridad (User and Entity Behavior Analytics) es una tecnología que analiza el comportamiento de usuarios y entidades para detectar actividades anómalas y potencialmente maliciosas, utilizando algoritmos de machine learning para identificar desviaciones del comportamiento normal. Las soluciones UEBA más sofisticadas implementan perfiles de comportamiento individualizados para cada entidad de la red.

Microsoft Sentinel UEBA se basa en el framework MITRE ATT&CK, priorizando vectores de ataque y escenarios relevantes que posicionan a diversas entidades como víctimas, perpetradores o puntos de pivote en la kill chain. El enfoque “de afuera hacia adentro” considera no solo los registros, sino también el contexto de comportamiento completo, un pilar del moderno Security Information and Event Management (SIEM).

Si una cuenta que nunca ha ejecutado PowerShell de repente lanza scripts de escaneo de red, esto representa una anomalía significativa, independientemente de que PowerShell sea una herramienta legítima. Las plataformas UEBA asignan una Puntuación de Prioridad de Investigación que determina la probabilidad de que un usuario específico esté realizando una actividad maliciosa basándose en el aprendizaje de su comportamiento.

Intrusiones Interactivas: la tendencia de las técnicas *hands-on-keyboard*

En 2024, CrowdStrike observó un aumento interanual del 35% en las campañas de intrusión interactiva. Estas intrusiones se basan en actores de amenazas que ejecutan acciones hands-on-keyboard para alcanzar sus objetivos, imitando el comportamiento de usuarios o administradores legítimos.

Por séptimo año consecutivo, el sector tecnológico se mantuvo como el más atacado, con altos volúmenes de ataques observados también en consultoría, manufactura y retail.

Implementación de la Analítica de Comportamiento para Mitigar Ataques LOTL

La implementación eficaz de la analítica de comportamiento requiere, en primer lugar, una recolección de telemetría extremadamente granular.

No es suficiente saber que se ejecutó PowerShell: es necesario conocer el árbol de procesos completo, los argumentos de la línea de comandos, las conexiones de red establecidas, los archivos accedidos, las llamadas a la API realizadas, la cuenta de usuario involucrada, y el contexto temporal y geográfico.

Sysmon para Windows, auditd para Linux y las soluciones EDR (Endpoint Detection and Response) modernas proporcionan esta profundidad de registro, pero generan volúmenes de datos que requieren infraestructuras dedicadas para su recolección, almacenamiento y análisis.

Sobre estos conjuntos de datos se construyen modelos de comportamiento que establecen líneas base de normalidad para diferentes contextos operativos:

  • Machine learning supervisado y no supervisado:
    • Algoritmos de clustering identifican grupos de comportamientos homogéneos.
    • Detección de anomalías basada en isolation forests o autoencoders resalta valores atípicos significativos.
    • Aprendizaje de secuencias a través de redes neuronales recurrentes modela cadenas temporales de eventos.
  • Feature engineering discriminante:
    • Rareza de combinaciones de comando-usuario-host en marcos de tiempo específicos.
    • Presencia de técnicas de ofuscación en la línea de comandos (concatenaciones excesivas, codificación Base64), como las exploradas en técnicas de bypass con PowerShell.
    • Invocación de PowerShell con parámetros sospechosos (-EncodedCommand, -WindowStyle Hidden, -ExecutionPolicy Bypass).
    • Cadenas de procesos padre-hijo inusuales.
  • Análisis de secuencias para la kill chain: Los atacantes siguen kill chains reconocibles: acceso inicial seguido de descubrimiento, escalada de privilegios, movimiento lateral, recolección, exfiltración. Un sistema que observa una rápida sucesión de enumeración de Active Directory a través de PowerShell, seguida de sondeo de recursos compartidos de red mediante net.exe, seguido de ejecución remota vía WMI y transferencia de archivos a través de SMB, probablemente está observando un ataque.

Técnicas Avanzadas para la Detección de Ataques LOTL

Ofuscación en línea de comandos y análisis de entropía

PowerShell permite niveles extremos de ofuscación: las variables pueden construirse carácter por carácter, las cadenas pueden invertirse y reconstruirse, los comandos pueden codificarse en múltiples capas. Sin embargo, esta ofuscación introduce anomalías estadísticas: alta entropía, uso inusual de operadores de concatenación, presencia de largas cadenas Base64, patrones sintácticos raros.

Los sistemas de detección pueden calcular métricas de complejidad y marcar líneas de comando que se desvían significativamente de la norma, identificando intentos de evasión que utilizan ofuscación masiva.

Integración con Inteligencia de Amenazas y el framework MITRE ATT&CK

La integración de inteligencia de amenazas enriquece aún más las capacidades de detección. El framework MITRE ATT&CK documenta sistemáticamente qué binarios LOTL están asociados a qué fases de un ataque. Esta base de conocimiento permite construir reglas de detección informadas por inteligencia operacional real.

Por ejemplo, saber que certutil con el flag -decode seguido de rundll32 que invoca una DLL recién escrita es una técnica documentada para múltiples campañas de APT permite crear correlaciones específicas de alta confianza.

Análisis contextual y perfilado temporal

La dimensión temporal añade una riqueza adicional al análisis. Muchas operaciones maliciosas ocurren fuera del horario laboral estándar, cuando la actividad legítima es mínima y las anomalías emergen con mayor claridad. Los algoritmos de detección pueden ponderar de manera diferente los mismos eventos en función del momento en que ocurren, aplicando umbrales más estrictos durante la noche o los fines de semana.

El contexto del usuario es crítico: la misma acción puede ser perfectamente legítima para un administrador de sistemas pero altamente sospechosa para una cuenta de finanzas o RRHH. Este principio es la base de las soluciones UEBA modernas que construyen perfiles individualizados.

Pipelines analíticos integrados para una detección multicapa

El enfoque más maduro integra múltiples capas de detección en pipelines analíticos complejos:

  • Capa 1 – Detección basada en reglas: Identifica patrones tácticos conocidos de alta confianza, basándose en correlaciones documentadas en el framework MITRE ATT&CK e inteligencia operacional.
  • Capa 2 – Detección de anomalías estadísticas: Resalta desviaciones de comportamiento a través de modelos estadísticos y machine learning, comparando comportamientos actuales con líneas base históricas.
  • Capa 3 – Motor de correlación: Reconstruye kill chains a través de secuencias de eventos aparentemente desconectados, identificando progresiones de ataque incluso cuando los eventos individuales parecen benignos.
  • Capa 4 – Modelos de machine learning: Operan transversalmente, puntuando continuamente eventos y secuencias para priorizar alertas, con un bucle de retroalimentación de analistas humanos para la mejora continua.

Desafíos operativos y consideraciones de implementación

Tasa de falsos positivos y ajuste ambiental

La tasa de falsos positivos representa el problema práctico más significativo: los entornos dinámicos generan continuamente comportamientos inusuales pero legítimos, y la hipersensibilidad de los sistemas de detección puede saturar a los equipos del SOC con alertas no accionables. El ajuste apropiado requiere una profunda comprensión del entorno específico, los procesos de negocio y las variaciones normales.

Escalabilidad e infraestructura

La escalabilidad representa otra dimensión crítica. El análisis de comportamiento granular en empresas con miles de endpoints genera volúmenes de telemetría del orden de terabytes diarios. La infraestructura necesaria para la ingesta, el procesamiento en tiempo real, el almacenamiento a largo plazo y las consultas analíticas requiere arquitecturas distribuidas sofisticadas, típicamente basadas en data lakes, procesamiento de flujos y clústeres de cómputo.

Evasión por parte de adversarios y contramedidas

Los atacantes sofisticados son conscientes de estas técnicas de detección y adoptan contramedidas. Las operaciones LOTL pueden ser diluidas en el tiempo para evitar picos anómalos, mimetizadas mediante el uso de cuentas privilegiadas comprometidas cuyo comportamiento administrativo enmascara operaciones maliciosas, o conducidas con una lentitud deliberada para permanecer por debajo de los umbrales estadísticos de anomalía.

Casos de uso reales y campañas documentadas

Mapa de campañas de ataque LOTL documentadas
Campañas como Volt Typhoon demuestran el alcance global y el impacto de los ataques LOTL en infraestructuras críticas.

Volt Typhoon y la infiltración de infraestructuras críticas

La campaña Volt Typhoon, atribuida a actores patrocinados por el estado chino, ha logrado un éxito sin precedentes manteniendo acceso a infraestructuras críticas durante más de cinco años utilizando exclusivamente técnicas LOTL, afectando a telecomunicaciones, energía, transporte y sistemas de agua en los Estados Unidos.

FAMOUS CHOLLIMA: operaciones de trabajadores de TI y amenaza interna

En 2024, FAMOUS CHOLLIMA rápidamente se convirtió en el centro de atención por sus operaciones a gran escala y su elevado tiempo operacional. CrowdStrike OverWatch respondió a 304 incidentes de FAMOUS CHOLLIMA en 2024, con casi el 40% representando operaciones de amenaza interna.

El adversario supervisó una campaña de insiders maliciosos utilizando una red de perfiles para obtener fraudulentamente empleos como desarrolladores de software en grandes empresas de América del Norte, Europa Occidental y Asia Oriental. Los operadores utilizan identidades robadas o fraudulentas para conseguir trabajos de desarrollo de software, y luego envían los portátiles proporcionados por la empresa a facilitadores terceros que gestionan granjas de portátiles. CrowdStrike OverWatch ha identificado varias de estas granjas en Illinois, Nueva York, Texas y Florida.

FIN7 y la comercialización de herramientas evasivas

FIN7 desarrolló y comercializó AvNeutralizer (también conocido como AuKill), una herramienta altamente especializada para deshabilitar soluciones de seguridad, utilizada por grupos de ransomware como AvosLocker, Black Basta, BlackCat, LockBit y Trigona. Los precios variaban entre $4.000 y $15.000, con evidencias que sugieren que AvNeutralizer se ha comercializado al menos desde 2022.

NotPetya y el movimiento lateral devastador

Aunque NotPetya se propagó principalmente a través de actualizaciones de software comprometidas, una vez dentro de las redes utilizó herramientas legítimas como PsExec y WMIC para el movimiento lateral, causando más de 10 mil millones de dólares en daños y afectando a empresas como Merck y Maersk.

Seguridad Cloud y SaaS: Nuevas Fronteras del Ataque LOTL

Abuso de cuentas válidas en la nube

En 2024, el abuso de cuentas válidas se convirtió en el vector de acceso inicial primario en la nube, representando el 35% de los incidentes en la nube en la primera mitad de 2024. Los atacantes están utilizando cada vez más tácticas orientadas al sigilo e intentando acceder a credenciales para atacar cuentas válidas.

Nuevos actores de amenazas cloud-conscious surgieron en 2024, y muchos adoptaron y emplearon técnicas similares a las utilizadas previamente por SCATTERED SPIDER, incluido el movimiento lateral hacia máquinas virtuales alojadas en la nube a través de herramientas de gestión.

Actores *cloud-conscious* de China-nexus

Los actores de China-nexus desarrollaron técnicas cloud-conscious en 2024 y están atacando y abusando cada vez más de los entornos en la nube para la recolección de datos. Las intrusiones en la nube sospechosas de China-nexus aumentaron un 6% en 2024 a través de múltiples servicios en la nube, incluidos Alibaba y Azure.

Explotación de SaaS: el ataque a las aplicaciones en la nube

En 2024, CrowdStrike Intelligence observó a varios adversarios de eCrime e intrusiones dirigidas explotar el acceso a aplicaciones SaaS basadas en la nube para obtener datos útiles para el movimiento lateral, la extorsión y el ataque a terceros. En la mayoría de los casos relevantes, los actores de amenazas obtuvieron acceso a las aplicaciones SaaS tras comprometer una identidad de SSO.

Microsoft 365 se ha convertido en un objetivo particularmente popular para los actores de amenazas cloud-conscious: SharePoint y Outlook fueron accedidos en el 22% y 17% de las intrusiones relevantes en la primera mitad de 2024, respectivamente.

Explotación de Vulnerabilidades y Perímetro de Red

Encadenamiento de exploits y enfoque por capas

En 2024, los atacantes obtuvieron cada vez más RCE utilizando dos enfoques por capas:

  • Encadenamiento de exploits: combinar dos o más exploits para componer una secuencia de ataque.
  • Abuso de características legítimas: mientras que los exploits a menudo habilitan el acceso inicial, los atacantes a veces se basan en características del producto, como shells de comandos integrados, para habilitar RCE.

Un ejemplo significativo surgió en noviembre de 2024, cuando múltiples actores de amenazas no atribuidos encadenaron una vulnerabilidad de bypass (CVE-2024-0012) y una vulnerabilidad de escalada de privilegios (CVE-2024-9474) en la Interfaz Web de Gestión del software PAN-OS de Palo Alto Networks.

Living-off-the-land en la explotación de vulnerabilidades

En 2024, los actores de amenazas combinaron la explotación de vulnerabilidades con el abuso de características legítimas para obtener RCE no autenticado. El xp_cmdshell integrado de Microsoft SQL Server fue abusado en varios productos para obtener RCE, incluyendo CVE-2023-48788 y CVE-2023-27532.

El abuso de la característica legítima xp_cmdshell, que está deshabilitada por defecto por sus conocidas deficiencias de seguridad, probablemente indica que los actores de amenazas están intentando emplear técnicas de living-off-the-land.

Ransomware y LOTL: Convergencia entre criminalidad y espionaje

Un dato particularmente alarmante se refiere a la evolución en el uso del ransomware: si tradicionalmente se empleaba principalmente para la extorsión económica, hoy en día se utiliza ampliamente con fines de espionaje, influencia, desestabilización y sabotaje digital, típicamente por actores estatales.

El informe 2025 State of Malware de ThreatDown enumera las cinco técnicas LOTL más populares detectadas en 2024:

  1. Escaneo de servicios de red (T1046)
  2. Modificación del archivo hosts (T1565)
  3. Creación de cuenta local (T1136.001)
  4. Ejecución sospechosa de PowerShell (T1059.001)
  5. Ejecución de enlace sospechoso (T1204.001)

Direcciones futuras y tecnologías emergentes

IA Generativa y LOTL: nuevas oportunidades para los adversarios

En 2024, los adversarios adoptaron cada vez más la IA generativa, particularmente como parte de los esfuerzos de ingeniería social. La GenAI ha surgido como una herramienta atractiva para los adversarios con una baja barrera de entrada que la hace ampliamente accesible.

FAMOUS CHOLLIMA ha empleado perfiles de LinkedIn ficticios con texto generado por GenAI e imágenes de perfil falsas. Durante las entrevistas, muchos candidatos de FAMOUS CHOLLIMA proporcionan respuestas probablemente derivadas de fuentes externas, con LLMs que probablemente apoyan estas entrevistas generando rápidamente respuestas plausibles.

Tecnología de engaño y honeytokens

La integración de la tecnología de engaño con la analítica de comportamiento crea honeytokens y honeyprocesses que atraen operaciones de descubrimiento y movimiento lateral, generando señales de alta confianza sin falsos positivos.

XDR e integración entre dominios

Las plataformas XDR (Extended Detection and Response) proporcionan visibilidad y capacidades de respuesta integradas a través de endpoints, red, correo electrónico y nube, permitiendo una detección y respuesta más eficaces de los ataques sofisticados que utilizan técnicas multi-vector.

Plataformas de ciberseguridad nativas de IA

CrowdStrike está acelerando su uso de técnicas de IA – desde las capacidades fundacionales de machine learning hasta los modelos generativos y la IA agentiva de vanguardia – para ayudar a los clientes a anticipar los próximos ataques de día cero y a protegerse proactivamente contra ellos. Esta es la esencia de un enfoque nativo de IA para la ciberdefensa.

Recomendaciones Prácticas para Mitigar Ataques LOTL

Prioridades inmediatas para la seguridad

  • Asegura todo el ecosistema de identidad: Adopta soluciones de MFA resistentes al phishing, como llaves de seguridad de hardware, e implementa acceso just-in-time y controles de acceso condicional.
  • Elimina las brechas de visibilidad entre dominios: Implementa soluciones XDR y SIEM de nueva generación para una visibilidad unificada a través de endpoints, red, nube y sistemas de identidad.
  • Defiende la nube como infraestructura central: Utiliza Plataformas de Protección de Aplicaciones Nativas de la Nube (CNAPP) con capacidades de Detección y Respuesta en la Nube (CDR).
  • Prioriza vulnerabilidades con un enfoque centrado en el adversario: Implementa un parcheo regular de los sistemas críticos, especialmente los servicios orientados a Internet que son frecuentemente atacados.
  • *Threat hunting* proactivo: Implementa capacidades de threat hunting 24/7 con un enfoque impulsado por la inteligencia para identificar a los adversarios antes de que los ataques escalen.

Defense in depth contra LOTL

Para mitigar ataques LOTL y prevenir la explotación de vulnerabilidades de día cero, los equipos de seguridad pueden implementar un enfoque de defensa en profundidad para detectar y remediar la actividad maliciosa antes de que un atacante pueda alcanzar sus objetivos:

  • Aplica controles de acceso a nivel de red para limitar la exposición del servidor a hosts remotos de confianza.
  • Asegúrate periódicamente de que los registros aplicables se recolectan y archivan correctamente para análisis posteriores.
  • Implementa aislamiento y sandboxing de servidores/aplicaciones, segmentación de red y adhiérete a los principios de mínimo privilegio.

Conclusiones: Hacia una Detección Holística de Amenazas Sin Malware

Las técnicas Living Off The Land (LOTL) representan un desafío fundamental para la detección moderna, forzando una evolución desde paradigmas basados en firmas e IOC hacia enfoques centrados en el comportamiento, el contexto y la anomalía.

Los datos recientes demuestran inequívocamente la escalada de las amenazas sin malware:

  • El 79% de las detecciones están libres de malware.
  • Breakout time medio de 48 minutos (con un récord de 51 segundos).
  • Aumento del 442% en los ataques de vishing.
  • El 35% de los incidentes en la nube se deben al abuso de cuentas válidas.
  • La actividad de China-nexus aumentó un 150%.

La respuesta eficaz requiere inversiones sustanciales en:

  • Telemetría granular a través de Sysmon, EDR y registro avanzado.
  • Analítica avanzada con machine learning y UEBA.
  • Infraestructura escalable para el procesamiento de volúmenes masivos.
  • Analistas competentes capaces de interpretar los resultados algorítmicos.
  • Inteligencia de amenazas integrada y en tiempo real.

No existe una solución mágica: la detección eficaz de LOTL es un problema multidimensional que requiere una orquestación sofisticada de tecnología, procesos y competencia humana. Las familias de ransomware más recientes han integrado capacidades de movimiento lateral automatizado, explotando técnicas de living-off-the-land (LOLBins) y protocolos de sistema legítimos para evadir la detección.

Las organizaciones que logren implementar estos enfoques holísticos, combinando analítica de comportamiento con inteligencia de amenazas, mapeo de MITRE ATT&CK y detección multicapa, serán las mejor posicionadas para identificar y neutralizar las amenazas más avanzadas del panorama actual.

En los siguientes años los atacantes solo se moverán más rápido. La pregunta crítica es: ¿lograrán los defensores seguir el ritmo?

¿Qué te ha parecido este análisis? ¿Cuál es la técnica LOTL que más te preocupa o la medida de defensa que consideras más crítica? ¡Comparte tu opinión en los comentarios!

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda