Back to Blog

Movimiento lateral: cuando los ciberataques
no vienen de frente

By
Ricardo Hernandez
|
March 17, 2022

Según IDC, el 57% de las organizaciones europeas sufrió un ataque de ransomware que bloqueó el acceso a sus sistemas en 2021. En Consecuencia, encontrar y detener los ciberataques se ha convertido en una prioridad clave para todos, desde el equipo de dirección de la empresa hasta el administrador de red y seguridad en primera línea. Las organizaciones están aprendiendo a duras penas que los controles preventivos nunca serán un 100% perfectos, y los equipos de seguridad informática de hoy en día son cada vez más juzgados por su capacidad para evitar que una intrusión en la red se convierta en pérdida de datos. 

 

Como resultado, la capacidad de detectar de forma rápida y confiable un movimiento lateral en la red es una de las habilidades más importantes en seguridad de la información en la actualidad. El movimiento lateral se refiere a las diversas técnicas que los ciberatacantes utilizan para propagarse progresivamente a través de una red a medida que buscan activos y datos clave. 

En muchos sentidos, la fase de ataque de movimiento lateral representa la mayor diferencia entre los ataques estratégicos y dirigidos de hoy y los ataques simplistas de “smash and grab” (aplastar y agarrar) del pasado. Echemos un vistazo más profundo al movimiento lateral y cómo usar esta información en la práctica diaria de seguridad. 

El reciente ataque a Colonial Pipeline involucró de manera significativa el movimiento lateral, lo que demuestra la importancia del problema. Ese ataque no fue un incidente aislado; casi todas las brechas importantes ahora implican el uso de dicha táctica, e impedirlo debe ser una de las principales prioridades de las organizaciones. 

Cómo eliminar el ruido 

Las redes modernas suelen estar inundadas de eventos de seguridad, y es fácil pasarse el día persiguiendo violaciones de políticas, investigando anomalías o analizando un ejecutable que resulta ser un “adware”. 

Sin embargo, la presencia de movimiento lateral debería pasar rápidamente a la parte superior de la lista de prioridades porque es un claro indicador de una amenaza que está tratando de extender su alcance en la red. 

En la mayoría de los casos, los ciberatacantes deben moverse de un dispositivo a otro y obtener privilegios de acceso para acceder a los datos de alto valor dentro de la red. Además de profundizar en la red, el movimiento lateral brinda a los atacantes puntos de control adicionales en una red comprometida. 

Esto permite a los ciberatacantes permanecer en la red si son descubiertos en una máquina inicialmente infectada. Esto hace que el movimiento lateral sea altamente estratégico para un ciberatacante, y uno de los diferenciadores más claros entre un ataque dirigido y una amenaza común. 

Sacando ventaja en la defensa 

Aunque el movimiento lateral resulta estratégico para los ciberatacantes, también presenta importantes ventajas para los defensores. Por ejemplo, el movimiento lateral es una de las fases en las que los ciberatacantes no controlan ambos extremos de la conexión. Cuando los ciberatacantes controlan ambos extremos de una conexión, como ocurre con el tráfico de comando y control o exfiltración, tienen una increíble cantidad de flexibilidad y formas de ocultar su tráfico. 

Pero el movimiento lateral coloca a los ciberatacantes en una posición más tradicional de tener un nodo atacante y un objetivo. Este enfoque unilateral obliga a los ciberatacantes a revelarse y brinda una gran oportunidad para que la seguridad detecte la amenaza. 

Por supuesto, esto requiere que los equipos de seguridad busquen en los lugares adecuados y las cosas correctas. El movimiento lateral puede implicar ataques directos en los que los ciberdelincuentes buscan hosts vulnerables para explotarlos. 

Además, los atacantes pueden pivotar entre los hosts comprometidos para rebotar más profundamente en la red. Este proceso de realizar reconocimiento interno y pasar cargas útiles a hosts sucesivos es a menudo un claro indicador del movimiento lateral en la red. 

El elemento humano 

Cuando se piensa en intrusiones y amenazas avanzadas persistentes (APTs), es fácil centrarse en el malware. Sin embargo, a medida que los ataques se vuelven más avanzados, casi siempre contienen un elemento humano fuerte, y esto es especialmente cierto en el caso del movimiento lateral. 

Además, los ciberataques estratégicos suelen tener a un humano creativo al mando de un ataque para navegar adecuadamente (y en silencio) por la red interna y encontrar los datos verdaderamente valiosos. Esto significa que los atacantes necesitan un control remoto en tiempo real sobre los dispositivos de la red para que el movimiento lateral tenga éxito. 

Esto puede adoptar la forma de herramientas de escritorio remoto, o de herramientas de administración remota más especializadas, que proporcionan un control de ataque detallado. En consecuencia, los profesionales de la seguridad deben vigilar muy de cerca la naturaleza del comportamiento de su tráfico. 

El comportamiento de una persona externa que controla a una interna es algo que las herramientas de análisis de tráfico de red pueden reconocer rápidamente, y este comportamiento ligado a cualquier tipo de reconocimiento interno o comportamiento sospechoso debería ser una señal de alerta inmediata. 

Además, las acciones de movimiento lateral a menudo evitan el malware en favor de robar o reutilizar las credenciales de un usuario válido. Huelga decir que hacerse pasar por un usuario válido brinda a los atacantes una forma más silenciosa y sutil de propagarse a través de una red que explotando directamente múltiples máquinas. 

Por lo tanto, es de vital importancia que los profesionales de la seguridad desarrollen una inteligencia de red interna que pueda reconocer los signos reveladores de un uso abusivo o anormal de las credenciales. 

El movimiento lateral seguirá teniendo una importancia estratégica para el éxito general de los ciberataques. Y a medida que los atacantes mejoren en intrusiones “low and slow” (bajas y lentas), sus habilidades de movimiento lateral evolucionarán y mejorarán con el tiempo. 

La detección del movimiento lateral sigue siendo un área de seguridad crítica pero desatendida. Las organizaciones tienen que cambiar su enfoque de la protección perimetral hacia la detección y respuesta frente a amenazas en la red (NDR - Network Detection and Response) basada en Inteligencia Artificial (IA) para ser capaces de prevenir y detectar estos movimientos de manera temprana y así interrumpir los ciberataques antes de que los activos sean dañados o robados.