CVEs en kernel Linux/Windows, drivers gráficos sin parches, servicios SUID con fallos, sudo mal configurado, kernel exploits (Dirty COW, PetitPotam).
Qué es escalada de privilegios
Técnica de ataque mediante la cual un usuario sin privilegios obtiene acceso administrativo o root a un sistema. Resultado directo de vulnerabilidades locales o mal configuración de permisos.
Por qué importa
La escalada de privilegios es crítica porque: Convierte una brecha menor en una catástrofe: acceso a una cuenta estándar de empleado se convierte en control total del servidor. Facilita persistencia: con privilegios administrativos, el atacante puede crear cuentas ocultas, instalar rootkits, y garantizar acceso futuro. Permite exfiltración de datos masiva: acceso a directorios del sistema, bases de datos, claves de encriptación, secretos comerciales. Afecta múltiples sistemas en cascada: control administrativo de un servidor permite movimiento lateral a otros servidores en la red. Elude controles de acceso: ACLs, RBAC, y seguridad a nivel de aplicación se saltan con acceso root. Impacto en cumplimiento normativo: ISO 27001, NIS2, y DORA exigen parchado regular y restricción de privilegios administrativos.
Puntos clave
archivos de sistema con permisos world-writable, contraseñas de root/admin compartidas o débiles, sudoers permitiendo comandos sin contraseña, credenciales en archivos de configuración.
un atacante logra phishing en un empleado (acceso inicial como usuario estándar), pero su verdadero objetivo requiere acceso administrativo (escalada de privilegios).
la mayoría de escaladas de privilegios explotan CVEs conocidas en el SO o aplicaciones; patches disponibles desde hace meses no aplicados.
usuarios finales no deberían tener permiso de sudo; servidores deberían ejecutarse con la cuenta menos privilegiada posible.
cambios de permisos, modificación de grupos, instalación de servicios, y cambios de configuración del SO son logs detectables en auditoría.
Ejemplo real
Un empleado de IT recibe un email de phishing que lo dirige a un sitio falso de Microsoft 365 y captura su contraseña. El atacante accede a su cuenta estándar de dominio. Desde allí, logra aceso RDP a un servidor interno usando herramientas descubiertas en el servidor de archivos compartido. En el servidor, el atacante es un usuario estándar sin acceso a bases de datos críticas. Descubre que el servidor ejecuta una versión antigua y vulnerable del kernel Linux (sin parches hace 6 meses). Usa un exploit público de Dirty COW para obtener acceso root. Con privilegios administrativos, accede a las claves de encriptación de la base de datos, la desencripta, y roba 2 años de datos de clientes. El incidente se detecta cuando los logs de auditoría muestran creación de cuentas administrativas y cambios en permisos de archivos críticos.
Errores habituales
- aplazar actualizaciones de SO por "cambios podría romper las cosas" resulta en sistemas vulnerables a escaladas conocidas.
- empleados con derechos de administrador en sus máquinas facilitan la escalada accidental o intencional.
- cambios en sudoers, agregar usuarios a grupos administrativos, o crear cuentas no deberían pasar desapercibidos.
- un servidor web nunca necesita ejecutarse como root; debería tener acceso solo a archivos necesarios.
- una cuenta de admin comprometida afecta todos los sistemas; cuentas administrativa compartidas dificultan auditoría.
- uso de sudo, PowerShell elevado, o RunAs debería auditarse y alertarse en SIEM.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre escalada de privilegios horizontal y vertical?
Escalada vertical es convertirse en administrador/root en el MISMO sistema (usuario estándar → root). Escalada horizontal es acceder a datos o recursos de OTRO usuario sin cambiar tu nivel de privilegios. Ambas son peligrosas; vertical es más crítica porque da control total del sistema.
¿Cómo se relaciona la escalada de privilegios con el principio de "mínimo privilegio"?
El principio de mínimo privilegio reduce la superficie de ataque para escalada. Si los usuarios no tienen derechos administrativos, el atacante debe explotar vulnerabilidades del OS en lugar de simplemente reutilizar credenciales robadas. Si los servicios corren con la menor privilegios posible, incluso si se comprometen, el daño es limitado.
¿Por qué el parchado es tan crítico para prevenir escaladas de privilegios?
La mayoría de escaladas explotan CVEs públicamente conocidas del kernel, drivers, o servicios del SO. Un parche disponible desde hace 6 meses no aplicado es equivalente a dejar la puerta trasera abierta. Los atacantes usan herramientas automatizadas que escanean sistemas sin parches y ejecutan exploits públicos.
¿Cómo detecta un SIEM o EDR la escalada de privilegios?
Monitoreando cambios en ACLs y permisos, ejecución de comandos privilegiados (sudo, RunAs, UAC bypass), creación de cuentas administrativas, cambios en grupos administrativos, y comportamiento anómalo de procesos (binarios del sistema ejecutados desde ubicaciones inusuales). El EDR debería alertar ante intentos de escalada usando técnicas conocidas.