¿Qué es el movimiento lateral?

El movimiento lateral es la forma en la que los atacantes se extienden por varias partes de una red.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir el movimiento lateral
  • Describir cómo se produce el movimiento lateral
  • Enumerar las medidas preventivas para frenar o detener el movimiento lateral

Copiar enlace del artículo

¿Qué es el movimiento lateral?

En seguridad de redes, el movimiento lateral es el proceso por el que los atacantes se propagan desde un punto de entrada al resto de la red. Hay muchos métodos para conseguirlo. Por ejemplo, un ataque podría comenzar con malware en el ordenador de escritorio de un empleado. Desde ahí, el atacante intenta moverse lateralmente para infectar otros ordenadores de la red, para infectar servidores internos, y así sucesivamente hasta llegar a su objetivo final.

Los atacantes tienen como objetivo moverse lateralmente sin ser detectados. Pero incluso si se descubre una infección en el dispositivo inicial, o si se detectan sus actividades, el atacante puede mantener su presencia dentro de la red si ha infectado una amplia gama de dispositivos.

Imaginemos un grupo de ladrones que entran en una casa por una ventana abierta, y luego cada uno va a una habitación diferente de la casa. Aunque se descubra a un ladrón en una habitación, los demás pueden seguir robando cosas. De forma similar, el movimiento lateral permite que un atacante entre en las distintas "habitaciones" de una red (servidores, puntos de conexión, acceso a aplicaciones), lo que dificulta la contención del ataque.

Aunque algunos aspectos pueden estar automatizados, el movimiento lateral suele ser un proceso manual dirigido por un atacante o grupo de atacantes. Este enfoque práctico permite a los atacantes adaptar sus métodos a la red en cuestión. También les permite responder de forma rápida a las contramedidas de seguridad aplicadas por los administradores de red y de seguridad.

¿Cómo se produce el movimiento lateral?

El movimiento lateral empieza con un punto de entrada inicial en la red. Este punto de entrada puede ser una máquina infectada con malware que se conecta a la red, un conjunto robado de credenciales de usuario (nombre de usuario y contraseña), el aprovechamiento de una vulnerabilidad mediante el puerto abierto de un servidor, o una serie de otros métodos de ataque.

Normalmente, el atacante establece una conexión entre el punto de entrada, y su servidor de mando y control (C&C). Su servidor C&C emite órdenes a cualquier malware instalado, y almacena los datos recopilados de los dispositivos infectados por malware o controlados de forma remota.

Una vez que el atacante tiene una posición sólida en un dispositivo dentro de la red, llevan a cabo un reconocimiento. Averiguan todo lo que pueden sobre la red, incluyendo a qué tiene acceso el dispositivo en riesgo y, si han puesto en riesgo la cuenta de un usuario, qué privilegios tiene.

El siguiente paso para que el atacante empiece a moverse lateralmente es un proceso llamado "escalada de privilegios."

Escalada de privilegios

La escalada de privilegios es cuando un usuario (legítimo o ilegítimo) obtiene más privilegios de los que debería tener. En ocasiones, la escalada de privilegios se produce accidentalmente en la gestión de identidad y acceso (IAM) cuando los privilegios de los usuarios no se rastrean ni se asignan adecuadamente. En cambio, los atacantes se aprovechan de fallos en los sistemas para escalar sus privilegios en una red.

Si entraron en una red a través de una vulnerabilidad o una infección de malware, los atacantes pueden utilizar un keylogger (que rastrea las teclas que teclean los usuarios) para robar las credenciales de los usuarios. O pueden haber entrado en una red inicialmente mediante el robo de credenciales en un ataque de phishing. Independientemente de cómo lo consigan, los atacantes empiezan con un conjunto de credenciales y los privilegios asociados a esa cuenta de usuario. Su objetivo es maximizar lo que pueden hacer con esa cuenta, y luego se extienden a otras máquinas y utilizan herramientas de robo de credenciales para hacerse con otras cuentas según van avanzando.

Para conseguir el tipo de acceso necesario para causar el máximo daño o alcanzar su objetivo, el atacante suele necesitar privilegios de nivel de administrador. Para ello, se mueven lateralmente por la red hasta que adquieren credenciales de administrador. Una vez conseguidas estas credenciales, tiene el control sobre toda la red.

Camuflaje y contramedidas durante el movimiento lateral

Durante el proceso de desplazamiento lateral, es probable que el atacante preste mucha atención a las contramedidas del equipo de seguridad de la organización. Por ejemplo, si la organización descubre una infección de malware en un servidor y lo aísla del resto de la red para ponerlo en cuarentena, puede que el atacante tenga que esperar un tiempo antes de realizar otras acciones, para que así no se detecte su presencia en otros dispositivos.

Los atacantes pueden instalar puertas traseras para asegurarse de que pueden volver a entrar en la red en caso de que se haya detectado su presencia y se haya eliminado con éxito de todos los puntos de conexión y servidores. (Una puerta trasera es una forma secreta de entrar en un sistema que se considera seguro).

Los atacantes también intentan hacer pasar sus actividades por el tráfico normal de la red, ya que el tráfico inusual de la red puede alertar a los administradores de su presencia. Esto se hace más fácil a medida que ponen en riesgo más cuentas de usuarios legítimos.

¿Qué tipos de ataques utilizan el movimiento lateral?

Muchas categorías de ataques se basan en el movimiento lateral para llegar al mayor número posible de dispositivos o para recorrer la red hasta alcanzar un objetivo específico. Entre algunos de estos tipos de ataque se incluyen:

  • Ransomware: los atacantes de ransomware pretenden infectar tantos dispositivos como sea posible para tener algo con lo que negociar a la hora de pedir el rescate. En particular, el ransomware ataca a los servidores internos que contienen datos fundamentales para los procesos diarios de una organización. Una vez activa, esto garantiza que la infección del ransomware dañará gravemente el funcionamiento de la organización, al menos temporalmente.
  • Exfiltración de datos: la exfiltración de datos es el proceso de sacar o copiar datos de un entorno controlado sin autorización. Los atacantes exfiltran datos por varias razones: para robar propiedad intelectual, para conseguir datos personales con el fin de robar identidades, o para retener los datos que roban con el fin de pedir un rescate, como en un ataque de doxware o ciertos tipos de ataques de ransomware. Los atacantes suelen tener que moverse lateralmente desde un punto inicial de compromiso para llegar a los datos que desean.
  • Espionaje: estados, grupos organizados de ciberdelincuencia o empresas rivales pueden tener sus razones para vigilar las actividades de una organización. Si el objetivo de un ataque es el espionaje y no el puro beneficio económico, los atacantes tratarán de pasar desapercibidos y se insertarán en la red el mayor tiempo posible. Con los ataques de ransomware pasa lo contrario, pues el atacante quiere llamar la atención para pedir un rescate. También se diferencia de la exfiltración de datos, en la que al atacante le da igual si es detectado una vez ha conseguido los datos que buscaba.
  • Infección de una botnet: los atacantes pueden añadir los dispositivos de los que se han apoderado a una botnet. Las botnets pueden utilizarse para diversos fines maliciosos; en particular, se suelen utilizar en ataques de denegación de servicio distribuido (DDoS). El movimiento lateral ayuda a un atacante a añadir tantos dispositivos como sea posible a su botnet, lo cual hace que sea más potente.

Cómo detener el movimiento lateral

Estas medidas preventivas pueden dificultar mucho el movimiento lateral de los atacantes:

Las pruebas de penetración pueden ayudar a las organizaciones a cerrar las partes vulnerables de la red que podrían permitir un movimiento lateral. En las pruebas de penetración, una organización contrata a un hacker ético para que ponga a prueba su seguridad intentando penetrar lo más profundamente que sea posible en la red sin ser detectado. El hacker explica entonces a la organización lo que ha encontrado, y esta puede utilizar esta información para arreglar los agujeros de seguridad que haya utilizado el hacker.

La seguridad Zero Trust es una filosofía de seguridad de red que no confía por defecto en ningún usuario, dispositivo o conexión. Una red Zero Trust asume que todos los usuarios y dispositivos representan una amenaza y reautentica continuamente tanto a los usuarios como a los dispositivos. Zero Trust también utiliza un enfoque de mínimos privilegios para el control de acceso y divide las redes en pequeños segmentos. Estas estrategias hacen que la escalada de privilegios sea mucho más difícil para los atacantes, y facilitan a los administradores de seguridad la detección y puesta en cuarentena de la infección inicial.

La seguridad en los putos de conexión implica escanear con regularidad los dispositivos de los puntos de conexión (ordenadores de escritorio, portátiles, teléfonos inteligentes, etc.) con software antimalware, entre otras tecnologías de seguridad.

IAM es un componente fundamental para evitar el movimiento lateral. Los privilegios de los usuarios se tienen que gestionar de forma estricta: si los usuarios tienen más privilegios de los que realmente necesitan, las consecuencias de una toma de posesión de la cuenta son todavía más graves. Además, el uso de la autenticación en dos fases (2FA) puede ayudar a detener el movimiento lateral. En un sistema que utiliza 2FA, obtener las credenciales del usuario no es suficiente para que un atacante ponga en riesgo una cuenta; el atacante también tiene que robar el token de autenticación secundario, lo cual es mucho más difícil.

Cloudflare One combina servicios de red con servicios de seguridad de Zero Trust. Se integra con soluciones de gestión de identidad y de seguridad de puntos de conexión para sustituir un entramado de productos de seguridad con una única plataforma que impida el movimiento lateral y otros ataques. Más información sobre Cloudflare One.

Ventas