Escalada de Privilegios Qué es, Tipos y Cómo Prevenirla
Escalada de Privilegios Qué es, Tipos y Cómo Prevenirla

¿Qué es la Escalada de Privilegios?

La escalada de privilegios es el uso de una falla de software, una vulnerabilidad, un defecto de diseño, una falla de configuración o un control de acceso en un sistema operativo o aplicación para obtener acceso no autorizado a recursos que normalmente están restringidos para una aplicación o usuario.

Como resultado, la aplicación o el usuario obtienen más privilegios de los que fueron diseñados por el desarrollador o administrador del sistema, lo que permite a los atacantes acceder a información confidencial, instalar malware y lanzar otros ciberataques.

¿Cómo Funciona la Escalada de Privilegios?

Concepto de Escalada de Privilegios
Concepto de Escalada de Privilegios

La mayoría de los sistemas informáticos están diseñados para funcionar con varias cuentas de usuario, cada una de las cuales tiene capacidades, conocidas como privilegios. Los privilegios comunes incluyen la capacidad de ver, editar o modificar archivos.

La escalada de privilegios significa que un atacante obtiene acceso a privilegios para los que no está autorizado, aprovechando una vulnerabilidad de escalada de privilegios en el sistema o la aplicación objetivo, que le permite eludir las restricciones de la cuenta de usuario actual.

¿Por qué es Importante Prevenir la Escalada de Privilegios?

Si bien la escalada de privilegios generalmente no es el objetivo final de un atacante, a menudo se utiliza como preparación para un ciberataque más específico, lo que permite a los atacantes desplegar una carga útil (payload) maliciosa, configurar opciones de seguridad y abrir vectores de ataque adicionales en el sistema objetivo.

Ataque específico a un ordenador
Ataque específico a un ordenador

Cada vez que detectes o sospeches que está ocurriendo una escalada de privilegios, utiliza la informática forense para buscar signos de otras actividades maliciosas, como gusanos informáticos, malware, espionaje corporativo, fuga de datos, exfiltración de datos, ataques de intermediario e información personal robada (PII), información médica protegida (PHI), datos psicográficos o biometría.

Incluso en ausencia de evidencia de ataques adicionales, los incidentes de escalada de privilegios representan un riesgo significativo para la ciberseguridad, ya que significa que alguien ha accedido sin autorización a una cuenta privilegiada y a información confidencial o secreta.

En muchas industrias, estos incidentes deben ser reportados internamente y a las autoridades correspondientes para garantizar el cumplimiento de los requisitos regulatorios.

¿Cuáles son los Dos Tipos de Escalada de Privilegios?

Hay dos métodos principales de escalada de privilegios:

  1. Escalada de privilegios vertical (elevación de privilegios): un atacante intenta obtener privilegios más altos o acceso usando una cuenta existente que ha comprometido. Por ejemplo, un atacante toma el control de una cuenta de usuario estándar en una red e intenta obtener derechos de administrador. Normalmente, esto se refiere a un administrador o usuario del sistema en Microsoft Windows o root en sistemas Unix y Linux. Una vez que ha obtenido privilegios elevados, los atacantes pueden robar información confidencial sobre un usuario específico, instalar ransomware, spyware u otros tipos de malware, ejecutar código malicioso y dañar el estado de seguridad de tu organización.
  2. Escalada de privilegios horizontal: un atacante amplía sus privilegios al tomar el control de una cuenta privilegiada y abusar de los privilegios legítimos otorgados al usuario. Para ataques locales de escalada de privilegios, esto podría significar tomar el control de una cuenta con derechos de administrador o root, mientras que para aplicaciones web, esto podría significar obtener acceso a la cuenta bancaria de un usuario o a la cuenta de administrador de una aplicación SaaS.

¿Cuáles son Algunos Ejemplos de Escalada de Privilegios?

Tres métodos comunes de escalada de privilegios:

  1. Manipulación de tokens de acceso: Se aprovecha de cómo Microsoft Windows maneja los derechos de administrador. Normalmente, Windows usa tokens de acceso para determinar los propietarios de los procesos en ejecución. Al manipular tokens, un atacante engaña al sistema haciéndole creer que los procesos en ejecución pertenecen a otro usuario en lugar del usuario que realmente inició el proceso. Cuando esto sucede, el proceso asume el contexto de seguridad asociado con el token de acceso del atacante. Esta es una forma de escalada de privilegios o elevación de privilegios.
  2. Elusión del Control de cuentas de usuario: En Windows, hay un mecanismo estructurado para controlar los privilegios de los usuarios, llamado Control de cuentas de usuario (UAC), que sirve como barrera entre los usuarios estándar y los administradores, limitando los permisos estándar de los usuarios hasta que un administrador permita privilegios extendidos. Sin embargo, si el nivel de protección UAC en una computadora está configurado incorrectamente, se permitirá que algunas aplicaciones de Windows eleven los privilegios o ejecuten objetos de Modelo de objetos de componentes (COM) sin solicitar previamente el permiso de un administrador. Por ejemplo, rundll32.exe podría cargar una biblioteca de enlace dinámico (DLL) que carga un objeto COM con privilegios elevados, lo que permite a los atacantes eludir UAC y obtener acceso a directorios protegidos.
  3. Utilización de cuentas válidas: Los atacantes obtienen acceso no autorizado a un administrador o usuario con privilegios elevados y lo usan para iniciar sesión en un sistema confidencial o para crear sus propias credenciales.

Cómo Prevenir Ataques de Escalada de Privilegios

Defensa para ataques de escalada de privilegios
Defensa para ataques de escalada de privilegios

Los atacantes usan una variedad de métodos de escalada de privilegios para lograr sus objetivos. La buena noticia es que si puedes detectar rápidamente los ataques de escalada de privilegios exitosos o intentados, tienes buenas posibilidades de detener a los atacantes antes de que puedan iniciar su ataque principal.

Para intentar escalar privilegios, los atacantes normalmente deben obtener acceso a una cuenta menos privilegiada. Esto significa que las cuentas de usuario estándar son tu primera línea de defensa. Asegúrate de tener un control de acceso sólido:

  • Implementa una política de contraseñas: Una de las formas más fáciles de mejorar la seguridad es asegurarse de que se usen contraseñas seguras. No reutilices contraseñas, ya que pueden verse comprometidas en una gran fuga de datos. Consulta nuestra guía sobre cómo crear contraseñas seguras y adquiere una herramienta para monitorear continuamente las fugas de credenciales.
  • Crea usuarios y grupos especializados con los privilegios y acceso a archivos mínimos necesarios. El principio de privilegios mínimos en el contexto de la seguridad significa otorgar a los usuarios estándar solo el conjunto de privilegios que necesitan para realizar su trabajo y nada más. Lee nuestra guía sobre control de acceso para obtener más información. Si bien es conveniente otorgar a cada usuario el mismo nivel de acceso a todos los recursos, esto les da a los atacantes un único punto de entrada a tu organización, pero es mucho más seguro usar una defensa en profundidad para proteger los datos, la seguridad de la información y la seguridad de la red.
  • Invierte en capacitación en ciberseguridad: Incluso si tu organización tiene una política de contraseñas sólida y obligatoria, los ataques de ingeniería social como el phishing y el spear phishing pueden permitir que los cibercriminales accedan a tus sistemas confidenciales. Informa a tu personal y a los proveedores externos sobre las amenazas cibernéticas comunes y cómo evitarlas. Incluye DMARC para evitar la falsificación de correo electrónico y compra dominios potenciales para typosquatting.

Para mantener seguras las aplicaciones, es fundamental:

  • Evita errores de programación comunes en aplicaciones: Sigue las mejores prácticas para evitar errores comunes a los que se dirigen los atacantes, como desbordamiento de búfer, inyección de código y entrada de usuario no validada. Lee nuestra guía sobre endurecimiento de servidores y adquiere una herramienta para monitorear la divulgación accidental de datos.
  • Protege las bases de datos y limpia los datos introducidos por el usuario: Las bases de datos son un objetivo atractivo porque muchas aplicaciones web almacenan datos confidenciales en bases de datos, incluidas las credenciales de inicio de sesión, los datos del usuario y los métodos de pago. Una única inyección SQL puede dar a los atacantes acceso a toda esta información y permitirles realizar ciberataques adicionales. Una mala gestión de la configuración puede provocar fugas de datos, por lo que es importante cifrar los datos durante el almacenamiento y la transmisión.

No todas las escaladas de privilegios dependen de las cuentas de usuario. Los privilegios de administrador se pueden obtener utilizando vulnerabilidades en los sistemas operativos de las aplicaciones y en la gestión de la configuración. Minimiza la superficie de ataque de la siguiente manera:

  • Mantén actualizados los sistemas y las aplicaciones: Muchos ataques aprovechan vulnerabilidades conocidas enumeradas en CVE. Al mantener una frecuencia de parches constante, minimizas este riesgo de ciberseguridad.
  • Asegúrate de que los archivos, directorios y servidores web tengan los permisos adecuados: Sigue el principio de privilegios mínimos, verifica la configuración de seguridad de S3 y asegúrate de que solo aquellos que necesitan acceso tengan acceso.
  • Cierra los puertos innecesarios y elimina las cuentas no utilizadas: Las configuraciones del sistema predeterminadas a menudo incluyen servicios innecesarios y código arbitrario que se ejecuta en puertos abiertos, cada uno de los cuales es un posible vector de ataque. Elimina las cuentas estándar y no utilizadas para que los atacantes y los ex empleados no puedan acceder a sistemas confidenciales.
  • Descarta las credenciales de inicio de sesión predeterminadas: Esto puede parecer obvio, pero muchas organizaciones no logran cambiar las credenciales de inicio de sesión predeterminadas en sus dispositivos, como impresoras, enrutadores y dispositivos IoT. No importa cuán sólida sea tu seguridad de red, un solo enrutador que use las credenciales de administrador y contraseña predeterminadas puede ser suficiente para que un atacante se infiltre.
  • Elimina o limita las funciones de transferencia de archivos: FTP, TFPT, wget, curl y otras funciones de transferencia de archivos son una forma común de descargar y ejecutar código malicioso o archivos maliciosos de escritura. Considera la posibilidad de eliminar estas herramientas o limitar su uso a directorios, usuarios y aplicaciones específicos.

Y recuerda que la gestión de riesgos de información y tu política de seguridad de la información no pueden limitarse a tu organización:

  • Supervisa a tus proveedores externos y de cuarto nivel: Los atacantes pueden usar a tus proveedores para obtener acceso a tu organización. Por eso, la gestión de riesgos de proveedores es una parte fundamental para prevenir ataques de escalada de privilegios. Recuerda que la gestión de riesgos de proveedores es un requisito reglamentario de FISMA, GLBA, PIPEDA y NIST Cybersecurity Framework.
  • Evita proveedores con mala ciberseguridad: Solicita a tu proveedor un informe SOC 2 y una política de seguridad de la información.
  • Moderniza la gestión de riesgos de tus proveedores: Desarrolla una metodología de evaluación de riesgos, un sistema externo de gestión de riesgos y una política de gestión de proveedores. Considera la posibilidad de utilizar una plantilla establecida de cuestionario de evaluación de riesgos de proveedores que uses para comprender el estado de seguridad de tus proveedores.
  • Automatiza la gestión de riesgos de proveedores: Invierte en una herramienta que pueda evaluar el nivel de seguridad de tus proveedores en más de 50 criterios y asignarles una calificación de seguridad. Esto puede reducir significativamente el riesgo de terceros y el riesgo de cuarta parte.

Siguiendo estos consejos tienes una buena defensa contra los ataques de escalada de privilegios.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda