Portada del artículo sobre qué es un ataque Living off the Land (LotL)
Los ataques Living off the Land operan desde las sombras, utilizando las propias herramientas del sistema en su contra.
EsGeeks·
Hacking y Pentesting
·7 Minutos de lectura

¿Qué es un Ataque Living off the Land (LotL)?

El uso de las tácticas y herramientas Living off the Land (LotL) por parte de hackers ha sido una tendencia creciente en el panorama de la seguridad cibernética. Estos ciberataques sigilosos son cada vez más comunes.

Según el 2025 Cybersecurity Assessment Report de Bitdefender, que analizó más de 700 000 incidentes de seguridad, el 84 % de los ataques de alta gravedad emplearon técnicas Living Off the Land (LOTL) abusando de herramientas ya presentes en el entorno, lo que dificulta su detección.

Aunque técnicas de abuso de herramientas legítimas existen desde hace décadas, el término y el concepto moderno de Living off the Land (LotL) se acuñó en 2013 y desde entonces no ha parado de ganar terreno hasta convertirse en la técnica dominante hoy en día. Se trata de una de las principales amenazas sin archivos que enfrentan las organizaciones.

¿Por qué invertir en malware de primera categoría solo para que las herramientas antivirus lo rechacen una y otra vez? ¿Por qué lanzar un ciberataque así cuando tu objetivo ya está lleno de herramientas de ataque perfectamente buenas, sólo esperando por ti?

Cada vez más actores de amenazas llegan a esa conclusión. A medida que mejoran las defensas cibernéticas, los adversarios se están desplazando hacia ataques sigilosos de “living-off-the-land” (LotL) que desafían muchas medidas de seguridad automatizadas.

Diagrama explicando qué es un ataque Living off the Land (LotL)
En un ataque LotL, el adversario convierte las herramientas legítimas del sistema en su propio arsenal.
Tabla de Contenido

¿Qué es un ataque Living off the Land? Explicado

Un ataque Living off the Land (LotL) es una técnica de ciberseguridad donde los atacantes utilizan herramientas y software legítimos, ya presentes en el sistema operativo, para llevar a cabo sus objetivos. En lugar de introducir malware externo, abusan de binarios nativos como PowerShell o WMI, lo que les permite operar sigilosamente y evadir la detección de antivirus tradicionales.

El término living off the land (“vivir de la tierra”) se refiere a ataques que reutilizan herramientas nativas del sistema para realizar acciones maliciosas. Esta táctica a menudo consiste en ataques sin malware tradicional en disco, ejecutándose directamente en memoria.

Los actores de amenaza utilizan programas y procesos perfectamente legítimos para realizar actividades malignas, por lo que se mezclan en una red y se esconden entre los procesos legítimos para realizar una explotación sigilosa.

Tradicionalmente, los atacantes introducían herramientas maliciosas externas; hoy día muchos prefieren reutilizar las herramientas ya instaladas en el sistema objetivo para realizar movimiento lateral y escalar privilegios sin levantar sospechas. En esencia, el sistema operativo se convierte en el arsenal del atacante.

El Origen del Término

El concepto fue introducido por primera vez por Christopher Campbell y Matt Graeber en su charla de DerbyCon 3.0 (2013) titulada “Living Off the Land: A Minimalist’s Guide to Windows Post-Exploitation“.

Y hace referencia al comportamiento de los atacantes cuando utilizan cualquier binario suministrado por el sistema operativo que normalmente se utiliza para fines legítimos, pero que también puede ser abusado por actores maliciosos.

Herramientas Comúnmente Explotadas

Los hackers se han dado cuenta de que la manera más sutil y efectiva de ejercer control sobre un sistema es utilizar exactamente los mismos componentes utilizados por los administradores de sistemas.

Algunas de las herramientas LOTL comúnmente explotadas para los ataques LotL incluyen:

  • PowerShell
  • Windows Management Instrumentation (WMI)
  • PsExec
  • Rundll32.exe
  • Certutil.exe
  • Mshta.exe
  • y otras utilidades legítimas del sistema

(Nota: herramientas externas como Mimikatz se usan frecuentemente junto con LotL pero no son parte de los binarios nativos del sistema)

Estas son herramientas administrativas que ya están en el entorno y no activarán las alarmas de seguridad básicas cuando un atacante las utilice.

Uno de los ejemplos de ataques LOTL más conocidos fue el brote de 2017 del ransomware Petya/NotPetya, que utilizó un ataque a la cadena de suministro de software como vector inicial y luego empleó herramientas legítimas como PsExec y WMIC para su devastador movimiento lateral dentro de las redes.

Cómo Defenderse de los Ataques LotL

Debido a que los ataques de LotL aprovechan herramientas de uso común, obviamente eso las hace muy difíciles de detectar. Aquí hay un cambio de paradigma fundamental: no se puede confiar únicamente en la prevención; la clave es la detección de comportamiento anómalo.

Cómo defenderse de los ataques LOTL
Estrategias de defensa para defenderse de ataques LOTL

Formación de Equipos Púrpura (Purple Team)

Una recomendación es la formación de equipos púrpura: hacer que los equipos rojos (ofensivos) apliquen tácticas de LotL en un ejercicio controlado para garantizar que los equipos azules (defensivos) y el personal del SOC (Centro de Operaciones de Seguridad) puedan detectar y frustrar estas técnicas. Para comprender mejor sus roles, puedes consultar nuestra guía sobre Red Team vs Blue Team vs Purple Team.

Securizar y Monitorear PowerShell (No Evitarlo)

La recomendación moderna no es evitar lenguajes de scripting potentes como PowerShell, sino dominarlos y blindarlos. Las organizaciones deben implementar políticas de ejecución restrictivas, habilitar el registro profundo de módulos y transcripciones de PowerShell, y monitorear activamente su uso en busca de anomalías para detectar cualquier abuso de PowerShell. Deshabilitarlo no es una opción viable en la mayoría de los entornos modernos.

Para aprender técnicas avanzadas, te recomendamos nuestra guía para eludir la política de ejecución de PowerShell.

Monitoreo de Comportamiento Continuo

Para hacerlo, el sistema de TI debe ser monitoreado constantemente, realizando un seguimiento de absolutamente todos los procesos que se ejecutan allí (incluyendo líneas de comando y árboles de procesos). De esta forma se pueden descubrir acciones sospechosas y detectar comportamientos anómalos.

Además de la detección comportamental, soluciones basadas en EDR/XDR (detección y respuesta extendida) y políticas modernas de Attack Surface Reduction (ASR) son fundamentales para identificar abuso de herramientas nativas y bloquear comportamientos sospechosos.

Este es el núcleo de la defensa moderna. Para una guía técnica completa sobre cómo implementar estas defensas, lee nuestro artículo avanzado:

→ Análisis en Profundidad: Detección de Living off the Land (LOTL): Guía Avanzada con Analítica de Comportamiento

Recursos Adicionales de la Comunidad

Saber qué herramientas utilizan estos atacantes te ayudará a protegerte. Estos son algunos de los recursos más útiles:

El Proyecto LOLBAS

Este proyecto documenta todos los binarios, scripts y bibliotecas que pueden utilizarse para las técnicas de LotL en Windows.

Captura de pantalla del Proyecto LOLBAS mostrando la lista de binarios de Windows.
El proyecto LOLBAS es un recurso comunitario fundamental para identificar binarios de Windows que pueden ser abusados en ataques LotL.

GTFOBins

Inspirado en LOLBAS, GTFOBins documenta binarios de Unix de los que se puede abusar y, por tanto, utilizar como parte de ataques LOTL.

JPCERT

JPCERT (El CERT japonés) publicó un post sobre los comandos de Windows de los que abusan los atacantes, que sigue siendo válido. Los desglosa en: investigación inicial, reconocimiento y propagación.

Checklist Rápido de Contramedidas

  • Supervisar herramientas de doble uso: Presta especial atención a procesos como psexec.exe, certutil.exe, rundll32.exe, wmic.exe, y powershell.exe.
  • Listas Blancas de Aplicaciones (Application Whitelisting): Permite que solo se ejecuten aplicaciones y scripts aprobados.
  • Filtrado y Formación sobre Phishing: Máxima atención a los correos electrónicos de remitentes desconocidos y formación continua a los usuarios.
  • Bloqueo de Macros: Ten cuidado con los archivos adjuntos de Office, especialmente si requieren que habilites las macros.
  • Gestión de Parches: Aplica siempre actualizaciones al sistema operativo y al software instalado.
  • Autenticación Multifactor (MFA): Habilita sistemas de seguridad avanzados para todas las cuentas, especialmente las privilegiadas.
  • Higiene de Contraseñas: Usa contraseñas complejas y seguras, y no las reutilices.
  • Principio de Mínimo Privilegio: Asegúrate de que los usuarios solo tengan los permisos estrictamente necesarios para sus funciones.

Nota: Algunas herramientas son llamadas de “uso dual” (Dual-use) porque, aunque están diseñadas para fines legítimos de administración, también facilitan el trabajo de los atacantes.

La Defensa Proactiva Contra Ciberataques Sigilosos

Para que un ciberataque tenga éxito, ya no es necesario que un archivo malicioso entre a tu sistema; tu propio sistema puede proporcionar la puerta abierta perfecta. Por eso es esencial que las empresas no solo protejan su perímetro, sino que también monitoreen de cerca lo que sucede en el interior.

Al combinar la caza de amenazas proactiva (threat hunting) con herramientas de monitoreo de comportamiento, las organizaciones pueden identificar, investigar y mitigar estas actividades anómalas con mayor velocidad y precisión. Este es el mejor enfoque para defenderse de ataques LOTL y otras amenazas avanzadas.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda