Movimiento lateral

¿Qué es el movimiento lateral?

El movimiento lateral se refiere a las técnicas empleadas por los actores de amenazas para propagarse a través de una red y acceder a más sistemas, servidores y recursos. Los actores de amenazas mantienen la persistencia tras la infiltración inicial y evitan la detección adentrándose más en la red comprometida. Al ampliar la superficie de ataque, el movimiento lateral impulsa las actividades maliciosas y permite un mayor acceso a datos confidenciales y activos valiosos. 

4 etapas del movimiento lateral

Una vez conseguido el acceso a una red -normalmente a través de intentos de phishing o infecciones de malware-, los actores de amenazas emplean diversas técnicas para ampliar su infiltración y seguir atacando los sistemas. 

1. Reconocimiento

Durante el reconocimiento, los actores de la amenaza vigilan, investigan y exploran la red objetivo, tomando nota de sus usuarios y dispositivos asociados. También evalúan las posibles cargas útiles y el sistema operativo de la red, obteniendo cualquier información que pueda ayudar a la infiltración. 

2. Volcado de credenciales

Los actores de amenazas necesitan credenciales de inicio de sesión legítimas para entrar en una red; el vertido de credenciales se refiere a las técnicas utilizadas para adquirirlas ilegalmente. Durante esta etapa, se suele engañar a los usuarios para que revelen sus credenciales mediante tácticas de ingeniería social, lo que prepara a los actores de amenazas para su siguiente etapa de infiltración.

3. Escalada de privilegios

La escalada de privilegios consiste en obtener mayores niveles de acceso o permisos dentro de una red comprometida. El primer punto de entrada no siempre proporciona a los agresores los datos que buscan, pero el aprovechamiento de las vulnerabilidades del software, las configuraciones débiles y la fuerza bruta de las credenciales permiten a los agresores escalar sus privilegios para acceder a más información confidencial.

4. Obtener acceso

Obtener acceso implica llevar a cabo un reconocimiento interno y superar los controles de seguridad para obtener y extraer los datos deseados. En esta etapa, los actores de la amenaza se han infiltrado con éxito en una red y pueden moverse lateralmente por los sistemas para llevar a cabo sus actividades maliciosas.

Ciberataques que aprovechan el movimiento lateral

ransomware: El ransomware es un programa malicioso que cifra los archivos de los dispositivos infiltrados, restringiendo el acceso de los usuarios a un sistema o a sus recursos hasta que se paga un rescate. Como los programas ransomware pueden moverse lateralmente, los actores de la amenaza bloquean redes enteras y exigen el pago a organizaciones o usuarios.

Infección Botnet: Una botnet es una red de dispositivos infectados con malware comandados y controlados por un único operador. Las infecciones de botnet secuestran redes enteras y se desplazan por los sistemas para llevar a cabo diversos ataques e invasiones de malware.

Ataques Man-in-the-Middle (MitM) : Los ataques MitM manipulan el tráfico de red entre usuarios y aplicaciones, permitiendo a los actores de amenazas espiar y capturar información sensible. Estos ataques pueden utilizarse para moverse lateralmente dentro de una red interceptando la comunicación y propagándose por todo el sistema.

Malware polimórfico: Este malware evolutivo puede cambiar la estructura y las características de su código para eludir la detección dentro de un sistema. Sus habilidades mutantes le permiten generar variaciones de sí mismo para moverse lateralmente sin ser identificado, propagándose a través de una red.

Cómo detectar y defenderse de los movimientos laterales

Una vez que los actores de amenazas se infiltran en los sistemas, su tráfico se origina a partir de una fuente legítima, lo que les permite evadir las capacidades tradicionales de detección de seguridad. Detectar y eliminar este tráfico malicioso es crucial, y las siguientes prácticas de ciberseguridad son esenciales para defenderse del movimiento lateral. 

Plataformas de protección de puntos finales (EPP)

Una EPP ayuda a defenderse contra el movimiento lateral impidiendo que los actores de amenazas penetren en el punto de entrada de una red, restringiendo la propagación de los ataques de malware. Un EPP limita la capacidad de un actor de amenaza para poner en peligro los sistemas mediante la supervisión de los puntos finales y la aplicación de medidas de seguridad.

Sistema de detección y prevención de intrusiones en la red (IDPS)

El despliegue de un IDPS es vital para garantizar la supervisión continua del tráfico de red y la identificación de cualquier indicio de movimiento lateral. Esta solución de detección de amenazas puede bloquear el tráfico malicioso, alertar a los sistemas cuando se detecta una amenaza y mitigar posibles ataques.

Sistemas actualizados periódicamente

Las vulnerabilidades del software obsoleto pueden aprovecharse para el movimiento lateral. Mantener todas las aplicaciones y sistemas operativos actualizados con los últimos parches de seguridad garantiza que los actores de amenazas no puedan aprovecharse de estas vulnerabilidades.

Principio del menor privilegio (PoLP)

PoLP mitiga el movimiento lateral limitando los privilegios de los usuarios al mínimo necesario para su función. La adopción de PoLP evita la escalada de privilegios no autorizada, lo que reduce el impacto si se produce una brecha en el sistema.

CylanceGUARD para MDR

Como servicio de detección y respuesta gestionada 24x7x365 centrado en el ser humano, CylanceGUARD®proporciona la experiencia en ciberseguridad y el soporte que las empresas necesitan. CylanceGUARD combina la experiencia de BlackBerry® Security Services con una protección de puntos finales (EPP) basada en IA a través de CylanceENDPOINT™. CylanceGUARD proporciona a las empresas todo lo que necesitan para enfrentarse a un panorama de amenazas moderno, sin importar lo que ese panorama les depare.CylanceGUARD proporciona a las empresas todo lo que necesitan para enfrentarse a un panorama de amenazas moderno, sin importar lo que ese panorama les depare.
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos