Movimiento lateral es una técnica utilizada por los ciberatacantes para moverse dentro de una red después de una intrusión inicial, con el fin de obtener acceso a sistemas, datos o información. privilegios sensible.
El movimiento lateral pretende ampliar el alcance del atacante explotando vulnerabilidades identificadores robados o herramientas legítimas.
Objetivo
- Alcanzar objetivos críticos (servidores, bases de datos, cuentas de administrador)
- Aumentar los privilegios controlar los recursos estratégicos
- Preparar acciones destructivas (exfiltración de datos, despliegue de ransomware)
Herramientas
| Método | Explicación |
|---|---|
| Pase el hash | Robo y reutilización de hashes de contraseñas para acceder a otras máquinas. |
| Explotación de vulnerabilidades | Uso de vulnerabilidades no parcheadas (por ejemplo, EternalBlue) para propagar el ataque. |
| RDP (Protocolo de Escritorio Remoto) | Acceso remoto a máquinas utilizando credenciales comprometidas. |
| PowerShell/WMI | Explotación de herramientas legítimas del sistema para ejecutar comandos maliciosos. |
| Caballo de Troya | Despliegue de malware para mantener un acceso persistente y pivotar entre sistemas. |
👉 Ejemplos
- ransomware Tras infectar una estación de trabajo de usuario, el atacante utiliza las credenciales robadas para propagarse a los servidores de copia de seguridad.
- APT (Amenaza persistente avanzada) un grupo estatal utiliza explota para acceder a la red administrativa de una empresa mediante el uso compartido de archivos internos.
- Phishing interno enviar correos electrónicos falsos desde una cuenta comprometida para infectar a otros empleados.
🔎 Detección y prevención
- Control del tráfico interno :
- Herramientas : EDR (Punto final Detección y Respuesta), SIEManálisis de registros.
- Señales: Conexiones RDP inusuales, actividad de la cuenta de administrador fuera del horario normal.
- Limitación de privilegios :
- Principio del menor privilegio.
- Segmentación de la red (aislar las zonas críticas).
- Autenticación mejorada :
- AMF (autenticación multifactorial) para accesos sensibles.
- Rotación periódica de contraseñas.
- Parche gestión Solucione rápidamente las vulnerabilidades críticas (por ejemplo, ProxyLogon, PrintNightmare).
Cifras clave
En Francia (fuente: ANSSI, 2023)
- 68 % de incidentes graves implican un movimiento lateral para llegar a los sistemas críticos.
- 40 % de ataques utilizar herramientas internas (por ejemplo, PowerShell) para evitar la detección.
En el mundo
- 87% de violaciones de datos incluyen el movimiento lateral (Verizon DBIR 2023).
- Coste medio un ataque con movimiento lateral: 4,7 millones de euros (IBM).
- Tiempo medio para detectar el movimiento lateral : 150 días (Mandiant).
¿Por qué es fundamental?
- Silenciador Los atacantes suelen imitar comportamientos legítimos
- Impacto exponencial una brecha inicial menor puede llevar a un compromiso total de la red
- Desafío estratégico Los sectores financiero, sanitario y energético son objetivos prioritarios
⚠️ Desafío Entornos en la nube/híbridos: la detección es más compleja (por ejemplo, movimiento entre las instalaciones y AWS/Azure).
