Movimiento Lateral: Qué es Tipos de Ataques y Cómo Prevenirlos
Movimiento Lateral: Qué es Tipos de Ataques y Cómo Prevenirlos

Movimiento Lateral: Qué es, Tipos de Ataques y Cómo Prevenirlos

El Movimiento Lateral es una técnica maliciosa utilizada para desplazarse progresivamente desde un punto de entrada comprometido al resto de la red, en busca de datos sensibles u otros recursos de alto valor que robar, por lo que es difícil de detectar y contrarrestar. He aquí todos los detalles y consejos para mitigar los riesgos

Un problema insidioso en ciberseguridad es el Movimiento Lateral, ya que es muy difícil de detectar y contrarrestar. Si una empresa tiene una confianza extrema en el software de aplicación que se ejecuta dentro de la intranet y basa su seguridad en el supuesto de que los empleados nunca darían sus credenciales al departamento de TI si se les preguntara, entonces sería un objetivo ideal para una campaña delictiva de Movimiento Lateral. Intentemos explicar por qué.

Qué es el “Movimiento Lateral” en Ciberseguridad

El movimiento lateral intrusivo de la red (Network Lateral Movement, en inglés), o Movimiento Lateral, en ciberseguridad se refiere a una técnica utilizada por los hackers para moverse progresivamente desde un punto de entrada comprometido al resto de la red mientras buscan datos sensibles u otros activos de alto valor para robar.

Concepto de ataque Movimiento Lateral
Concepto de ataque Movimiento Lateral

Decir que el movimiento lateral equivale simplemente a escalar privilegios es reduccionista. Para comprometer una máquina, los ciberdelincuentes utilizan técnicas como infecciones de malware o ataques de phishing, y luego se disfrazan de usuarios autorizados mientras intentan escalar privilegios hacia arriba para obtener acceso elevado.

Esto permite a los atacantes moverse lateralmente (entre dispositivos y aplicaciones o entre cuentas) a través de una red. Los ataques de movimiento lateral son utilizados por los intrusos para escanear el sistema y encontrar nuevas máquinas que comprometer a través de credenciales.

Detección de Movimientos Laterales en el Perímetro de la Empresa

El atacante utilizará diversas herramientas y métodos para escalar privilegios y accesos elevados, lo que le permitirá moverse lateralmente por la red para mapear sistemas, topologías, identificar objetivos y, finalmente, alcanzar puntos críticos de la organización.

Si el atacante es capaz de proteger los privilegios administrativos que ha logrado obtener, las actividades maliciosas de tráfico de movimiento lateral pueden ser extremadamente difíciles de detectar, ya que pueden parecer tráfico de red “normal” para los técnicos informáticos y los sistemas automáticos de detección de tráfico de red.

Sigilosos

Los ciberdelincuentes no suelen preocuparse por ser detectados cuando utilizan técnicas de Movimiento Lateral, ya que la mayoría de las organizaciones no disponen de medios para detectarlo o, a veces, ni siquiera se molestan en hacerlo porque el departamento de TI siempre está sobrecargado de trabajo.

Ingeniero asegurando la red
Ingeniero asegurando la red

Incluso si lo hicieran, la actividad de Movimiento Lateral puede ser difícil de advertir porque una vez que un ciberdelincuente ha obtenido acceso, sus movimientos parecerían normales a los administradores de seguridad, incluso dentro de las aplicaciones.

Dado que ya han obtenido acceso, resulta difícil distinguir entre un agresor y un usuario legítimo.

Un dato clave para cruzar y desenmascarar los movimientos laterales es una correspondencia precisa con la oficina de asistencia del personal para saber cuándo se ausenta un usuario; de este modo, un determinado tráfico puede convertirse en anormal en función de las ausencias del personal. Asignar horarios fijos a determinadas actividades administrativas también es un buen método para contrarrestar el Movimiento Lateral.

Métodos más Comunes de Aplicación del Movimiento Lateral

Como ya hemos mencionado, una vez que un ciberdelincuente obtiene acceso a una red, el movimiento lateral puede ser especialmente difícil de detectar, ya que puede parecer exactamente igual que el tráfico de red legítimo.

Además, un atacante malintencionado puede cambiar sus planes de acción y aplicar diferentes métodos y herramientas en función de la información recibida.

Para empeorar las cosas, cuando un atacante utiliza herramientas integradas en el sistema (utilizadas por los administradores de red para realizar acciones sin ninguna intervención de los usuarios finales), la detección se hace aún más difícil.

Concepto de alerta de ataque Movimiento Lateral
Concepto de alerta de ataque Movimiento Lateral

La aglomeración de alertas dificulta su detección

La sobreabundancia de alertas de seguridad y falsos positivos es una realidad desafortunada, que provoca que los analistas, sobrecargados de trabajo y poco formados, se vuelvan insensibles a los tipos de alertas provocadas por ataques de movimiento lateral, como las “violaciones de políticas”.

Estas alertas pueden parecer a menudo pequeñas e insignificantes porque son muy comunes y no indican necesariamente una infracción.

Por ejemplo, considera la posibilidad de enviar alertas sobre cualquier instancia del protocolo SMB en la red. Esto permite a los analistas ignorar fácilmente las alertas potencialmente importantes, pero a menudo disociadas, o marcarlas como “no maliciosas” sin más investigación.

🤞 ¡No te pierdas ningún truco de seguridad!

¡No enviamos spam! Lee nuestra Política de Privacidad para más información.

Comprender tu propia red aumenta la visibilidad de los ataques

Comprender las características basadas en la red antes de un ataque de Movimiento Lateral puede ayudar a identificar uno cuando se produce.

Las herramientas de análisis de paquetes pueden ayudar a identificar las características de la red, lo que a su vez puede ayudar a los analistas de seguridad a responder a algunas preguntas concretas: qué dispositivos se están comunicando, cómo se identifican, dónde están ubicados, cuándo tiene lugar la comunicación real (a diferencia de la simple instalación de la aplicación en un sistema).

También es importante comprender las técnicas adoptadas por los atacantes para ocultar su comportamiento y eludir las tecnologías de seguridad de red habituales, con el fin de identificar mejor los ataques de Movimiento Lateral.

El arte de cazar amenazas

La caza de amenazas es una parte importante de la detección de movimientos laterales, ya que permite a los analistas de seguridad investigar de forma proactiva la actividad de la red para identificar anomalías que otros métodos de investigación no detectan.

Como ya se ha mencionado, la mayoría de las tecnologías de detección evitan alertar de posibles movimientos laterales debido al ruido que pueden generar. Por lo tanto, la caza de amenazas es la única forma eficaz de diferenciar el verdadero movimiento lateral de la actividad normal justificada de la red en la empresa.

Tipos de Ataques del Movimiento Lateral

Muchos tipos de ataques utilizan el movimiento lateral para alcanzar tantos dispositivos como sea posible o para moverse dentro de la red hasta alcanzar un objetivo específico. He aquí algunos ejemplos.

Ataques de botnet

Los dispositivos detectados por los ciberdelincuentes pueden añadirse a una botnet. Las redes de bots se utilizan a menudo en ataques de denegación de servicio distribuido (DDoS), pero también pueden utilizarse para otros fines maliciosos. Mediante el movimiento lateral, un atacante puede conectar tantos dispositivos como sea posible a su botnet, haciéndola más fuerte.

Concepto de arquitectura de Botnet
Concepto de arquitectura de Botnet

Ataques de ransomware

Como es sabido, el ransomware se trata de sofisticados programas maliciosos que cifran datos cruciales para los procesos diarios de una organización. Tras producirse la infección, las víctimas reciben un mensaje en el que se les informa de que deben pagar una determinada cantidad de dinero (rescate) para obtener la clave de descifrado. Normalmente, también hay un límite de tiempo para completar el pago, de lo contrario los archivos pueden perderse para siempre. Una vez activado, el ransomware interrumpirá gravemente las operaciones de la empresa, al menos temporalmente si no se cuenta con una buena copia de seguridad de los datos.

Transferencia de datos

Es el acto de sustraer intencionadamente información confidencial del interior de una organización al exterior del perímetro sin autorización. Para obtener los datos deseados, los atacantes suelen tener que desplazarse lateralmente desde su punto inicial de intrusión. La transferencia de datos puede realizarse mediante hacking, software malicioso y ataques de ingeniería social. Los ciberdelincuentes transfieren datos para:

  • robar propiedad intelectual;
  • obtener información confidencial para llevar a cabo robos de identidad;
  • almacenar datos robados para pedir un rescate (en ataques de ransomware).

Campañas de ciberespionaje

El ciberespionaje es una práctica habitual entre países o grupos políticos enfrentados, grupos de hackers y organizaciones de todo el mundo, independientemente del motivo, llevan a cabo este tipo de actividades. Cuando la intención del hacker es únicamente la vigilancia, sin ánimo de lucro, hará todo lo posible por permanecer oculto e implantado en la red el mayor tiempo posible. Esto difiere de un ataque de ransomware, en el que el hacker da a conocer sus intenciones para recibir el rescate.

Las Fases del Movimiento Lateral

El movimiento lateral se divide en tres fases principales: reconocimiento (Reconnaissance), obtención de credenciales y acceso a otras máquinas de la red.

Reconocimiento o Reconnaissance

A veces, los hackers pueden idear una estrategia para acceder al sistema. El ataque comienza con la observación y la recopilación de información. Durante esta fase, los hackers observan, exploran y rastrean meticulosamente la red, sus máquinas y usuarios. Este plan les ayuda a realizar movimientos informados, comprender los sistemas de nomenclatura, la clasificación de redes y reconocer los sistemas operativos.

Los ciberdelincuentes utilizan diversas herramientas para saber dónde se encuentran dentro del sistema, a qué pueden acceder y qué sistemas de seguridad de la red u otros impedimentos existen. Durante la fase de reconocimiento, los atacantes avanzados pueden utilizar las herramientas de soporte integradas en Windows, ya que los equipos de seguridad y TI suelen tener dificultades para percatarse de su presencia porque ya están configuradas para funcionar por los cortafuegos de software de los sistemas operativos.

Muchos ciberdelincuentes utilizan herramientas clásicas de acceso remoto para conectarse a escritorios remotos con el fin de obtener acceso e iniciar un ataque de movimiento lateral. Muchas herramientas de acceso remoto se utilizan legítimamente en las empresas y no se consideran malware. Sin embargo, estas herramientas eluden activamente los controles de la red, ocultando qué partes se comunican, cuándo y cómo.

Esta capacidad de pasar desapercibida resulta atractiva tanto para los atacantes internos como para los externos.

Resumen

Por lo tanto, el reconocimiento consiste en observar, explorar y mapear la red, sus usuarios y dispositivos. Este mapa permite a los actores maliciosos realizar movimientos informados, comprender las convenciones de nomenclatura y las jerarquías de red e identificar posibles tipos de ataques.

Obtención de Credenciales (dumping)

En este punto, los ciberdelincuentes necesitan recopilar credenciales de inicio de sesión válidas para seguir avanzando por la red comprometida. El dumping de credenciales es un término utilizado para describir la obtención fraudulenta de credenciales. Estas credenciales pueden recopilarse utilizando herramientas como keyloggers (que realizan un seguimiento de los tipos de teclas de los usuarios), Mimikatz y Windows Credential Editor.

Otra forma de obtener credenciales de acceso es inducir a los usuarios a compartirlas, utilizando la ingeniería social con estrategias de “typosquatting” y ataques de phishing o smishing.

Un ataque de fuerza bruta es otra práctica posible, en la que un hacker adivina una contraseña y la utiliza para recopilar, almacenar y robar información. Este sistema no es muy popular entre las personas malintencionadas, ya que es un método ruidoso para que los sistemas automáticos detecten el tráfico anormal. Incluso utilizando comprobaciones de registro básicas, se pueden detectar fácilmente los ataques de fuerza desagradables.

En resumen, para moverse por una red, los ciberdelincuentes necesitan reunir las credenciales de acceso necesarias. Los accesos pueden recopilarse utilizando diversas herramientas, como se ha descrito anteriormente. Como ya se ha mencionado, debido al “ruido de la red”, el método de ataque por fuerza bruta, en el que un delincuente esencialmente adivina una contraseña y la utiliza para recopilar, empaquetar y robar datos, no se utiliza mucho para el Movimiento Lateral.

Protección

Para mitigar los ataques de Movimiento Lateral, los analistas de seguridad necesitan crear inteligencia de red interna para saber qué usuarios y dispositivos están en una red y qué patrones de acceso típicos utilizan habitualmente para indicar cuándo se está produciendo un abuso de credenciales.

Obtener más acceso

El proceso de reconocimiento interno seguido de la evasión de los controles de seguridad para comprometer los hosts subsiguientes puede llevarse a cabo hasta identificar y extraer los datos deseados, y a medida que los ciberataques se vuelven cada vez más avanzados, a menudo contienen un poderoso componente humano.

Una vez que un delincuente ha mapeado una red y dispone de un conjunto de contraseñas y privilegios, puede infiltrarse por completo y moverse por la red. En esta fase, se requiere una lógica de detección sofisticada (basada en comportamientos comúnmente observados en el entorno, así como una detección más genérica de protocolos específicos, por ejemplo, errores de Kerberos) para descubrir amenazas que pueden escapar fácilmente a las TI.

Prevención y Mitigación de Movimientos Laterales

Vivimos en un mundo en el que se producen infracciones todos los días. Por lo tanto, es importante que los equipos de seguridad sean capaces de detectar con rapidez y precisión los movimientos laterales para evitar que los actores maliciosos amplíen su alcance dentro de una organización.

Ciberseguridad contra el movimiento lateral de red
Ciberseguridad contra el movimiento lateral de red

Un buen punto de partida para la prevención y detección del Movimiento Lateral sería una mejor comprensión del concepto. Es esencial saber cómo funciona y cuáles son los primeros signos para reconocerla. He aquí algunos consejos útiles:

  • Actualizar periódicamente el software obsoleto: todos los servicios, aplicaciones, sistemas operativos y puntos finales deben utilizar la última versión de software;
  • Eliminar los sistemas que no se hayan actualizado: proteger los sistemas sin parches separándolos del resto de la red, quizás creando una DMZ masivamente protegida de personas no autorizadas;
  • Filtrar los puertos abiertos: para protegerte de ataques frecuentes e infecciones de malware, asegúrate de que no hay puertos abiertos sin una razón válida;
  • Aplicar el principio del mínimo privilegio: de este modo, los usuarios sólo podrán acceder a la información y realizar las acciones que necesiten para desempeñar su trabajo, impidiéndoles obtener datos adicionales que no les conciernan;
  • Mantener una higiene informática adecuada: para protegerte de los movimientos laterales, debes asegurarte de que tu organización cubre los elementos básicos de protección de la red. Normalmente, un ataque se produce cuando una empresa tiene una higiene informática inadecuada;
  • Utilizar contraseñas únicas: garantizar el uso de contraseñas seguras y difíciles de adivinar, inicio de sesión único (SSO), autenticación multifactor (MFA) y protocolos de acceso restringido;
  • Realizar copias de seguridad continuas de los datos confidenciales: Integrar una sólida estrategia de copias de seguridad de la información, los sistemas y las aplicaciones críticas ayuda a garantizar la continuidad de la empresa en caso de fallo de seguridad;
  • Detección sofisticada de amenazas: La detección de amenazas es una acción de ciberdefensa necesaria (supervisión con antivirus integrado e inteligente). Se refiere al proceso de búsqueda en las redes para descubrir y aislar las amenazas avanzadas que eluden las soluciones de seguridad existentes.

Para Concluir

Hoy en día, los ciberataques se producen continuamente y a todo tipo de organizaciones y entidades. Por lo tanto, es esencial que los equipos de seguridad sean capaces de detectar el Movimiento Lateral de forma rápida y correcta para evitar que los ciberdelincuentes amplíen su alcance dentro de una organización.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda