Movimiento lateral - Propagación dentro de una red

Lectura de 2 min aprox.

El movimiento lateral (Lateral Movement) es una técnica de ataque en la que, tras asegurar un punto de apoyo inicial dentro de una red, el atacante se desplaza lateralmente por ella para alcanzar sistemas y datos de mayor valor. La primera máquina comprometida suele ser el dispositivo de un usuario común, desde el cual el atacante avanza paso a paso con el objetivo de hacerse con privilegios de administrador o llegar al controlador de dominio. En los ataques de ransomware, el movimiento lateral es lo que propaga el cifrado por todos los sistemas de la organización, por lo que la detección y el bloqueo en esta fase determinan la magnitud del daño.

Posición en la cadena de ataque

En el marco de la cadena de ataque cibernética, el movimiento lateral se sitúa entre el acceso inicial (Initial Access) y la consecución de objetivos (Actions on Objectives). El atacante asegura un punto de apoyo mediante el reconocimiento, la militarización, la entrega, la explotación y la instalación, y desde ahí usa el movimiento lateral para acercarse a objetivos de alto valor.

Técnicas representativas

Los atacantes emplean diversas técnicas para el movimiento lateral. Como todas abusan de mecanismos de autenticación y herramientas de administración legítimos, resulta difícil distinguirlas del tráfico normal.

Abuso de Active Directory

Active Directory (AD) en los entornos Windows es el principal campo de batalla del movimiento lateral. Como AD gestiona de forma centralizada todos los usuarios, equipos y directivas de grupo del dominio, hacerse con el controlador de dominio significa que toda la organización cae. Los atacantes extraen credenciales de la memoria con herramientas como Mimikatz y aseguran de forma permanente los privilegios de administrador del dominio mediante un ataque Golden Ticket. Desde la perspectiva de IAM, proteger las cuentas privilegiadas y rotar las credenciales es de suma importancia.

Defensa mediante microsegmentación

La microsegmentación, que subdivide aún más la segmentación de red, es una de las defensas más eficaces contra el movimiento lateral. Al aislar segmentos a nivel de carga de trabajo y controlar estrictamente la comunicación entre ellos, bloquea físicamente el desplazamiento a máquinas adyacentes aunque un atacante comprometa una máquina. Es un elemento central de la arquitectura de confianza cero, y en los entornos nativos de la nube la microsegmentación definida por software se está convirtiendo en el enfoque estándar.

Detección con EDR / NDR

EDR (Endpoint Detection and Response) supervisa la ejecución de procesos sospechosos y el acceso a archivos en los endpoints para detectar indicios de movimiento lateral. NDR (Network Detection and Response) analiza el tráfico de red para detectar patrones de comunicación interna inusuales (por ejemplo, una conexión directa desde el dispositivo de un usuario común al controlador de dominio). Combinando ambos, el movimiento lateral puede captarse tanto desde el lado del endpoint como desde el de la red.libros sobre defensa ante ciberataques (Amazon) pueden ayudarte a aprender los detalles de la tecnología de detección.

Casos de uso reales

«Un dispositivo fue comprometido a través de un correo de phishing, pero la microsegmentación bloqueó el movimiento lateral del atacante y limitó el daño a ese único dispositivo. Una alerta de EDR detectó la brecha en menos de 15 minutos y logramos contenerla aislando el dispositivo de la red.»

Las contramedidas contra el ransomware se explican en detalle en nuestro artículo sobre la defensa frente al ransomware, la respuesta a las amenazas internas en nuestro artículo sobre contramedidas frente a amenazas internas, y la implementación de la confianza cero en nuestro artículo sobre seguridad de confianza cero.