Vectores técnicos habituales: CVEs en el kernel Linux o Windows, drivers sin parchar, binarios SUID vulnerables, servicios privilegiados con fallos y exploits públicos (Dirty COW, PetitPotam, PrintNightmare).
Qué es escalada de privilegios
La escalada de privilegios es la técnica mediante la cual un usuario o proceso sin permisos administrativos obtiene acceso de administrador, root o SYSTEM dentro de un sistema ya comprometido. Suele ser el paso inmediatamente posterior al acceso inicial y convierte una intrusión acotada en un compromiso total de la máquina y, en cascada, de la red. Aprovecha vulnerabilidades locales del sistema operativo, configuraciones débiles de permisos o credenciales con más derechos de los que deberían tener.
Por qué importa
La escalada de privilegios es el punto en el que una intrusión pasa de ser una molestia contenida a convertirse en una crisis. Una cuenta de empleado comprometida limita el daño a lo que ese usuario podía hacer; root o administrador de dominio dan control total sobre la máquina, sus datos y el resto de la red. Con privilegios administrativos el atacante puede desactivar el antivirus y el EDR, instalar rootkits, crear cuentas ocultas para garantizar persistencia, acceder a directorios del sistema y bases de datos, obtener claves de cifrado y preparar exfiltración de datos a gran escala. Además habilita el movimiento lateral hacia otros servidores y elude los controles de acceso lógicos: ACLs, RBAC y seguridad a nivel de aplicación se saltan con acceso root. Por eso marcos como ISO 27001, NIS2 y DORA insisten en parchado regular, segregación de funciones y restricción estricta de privilegios administrativos: la mayoría de los incidentes graves dejan de serlo cuando la escalada se bloquea a tiempo.
Puntos clave
Malas configuraciones frecuentes: archivos del sistema con permisos world-writable, sudoers permisivos, credenciales en texto plano dentro de archivos de configuración y contraseñas de root o admin compartidas.
Patrón de ataque clásico: un acceso inicial como usuario estándar (phishing, RDP expuesto, credencial filtrada) que necesita escalar porque el objetivo real requiere derechos administrativos.
Casi todas explotan CVEs conocidas: los parches del fabricante llevan meses disponibles y los exploits son públicos; no aplicarlos equivale a dejar la puerta abierta.
Aplica mínimo privilegio en servidores y workstations: los servicios deben ejecutarse con la cuenta menos privilegiada posible para que un compromiso inicial no se convierta en administrativo.
Señales detectables: cambios en ACLs, modificaciones de grupos administrativos, creación de cuentas privilegiadas y ejecución inusual de sudo, RunAs o PowerShell elevado.
Ejemplo real
Un técnico de IT recibe un correo de phishing que simula el portal corporativo de inicio de sesión único y entrega su contraseña a un servidor del atacante. Con la cuenta estándar de dominio ya comprometida, el intruso consigue acceso RDP a un servidor interno apoyándose en herramientas y rutas encontradas en un repositorio compartido. En ese servidor actúa como usuario normal, sin permisos sobre las bases de datos críticas, así que su prioridad pasa a ser la escalada: detecta que el kernel Linux lleva seis meses sin parches y lanza un exploit público de Dirty COW para obtener root.
Con privilegios administrativos desactiva la recogida de logs locales, añade una cuenta de servicio oculta para persistencia, accede a las claves de cifrado almacenadas en el servidor y comienza a preparar la exfiltración. El equipo de seguridad lo detecta porque la SIEM correlaciona la creación de una cuenta administrativa nueva con cambios en permisos de archivos sensibles; la investigación posterior reconstruye el recorrido desde el movimiento lateral hasta la escalada y fuerza el parchado urgente del kernel, la rotación de credenciales y el endurecimiento de privilegios en todo el dominio.
Errores habituales
- Aplazar actualizaciones del sistema operativo por miedo a romper servicios deja abiertas escaladas conocidas durante meses; el riesgo de no parchar casi siempre supera al del parche.
- Dar derechos de administrador local a los empleados en sus estaciones de trabajo convierte cualquier infección de malware en una escalada trivial.
- No auditar ni alertar cambios en sudoers, grupos administrativos o creación de cuentas privilegiadas permite que un atacante se instale sin hacer ruido.
- Ejecutar servicios expuestos como root o bajo cuentas de dominio con privilegios amplios: un servidor web o un runner de CI/CD solo debe tener acceso a lo estrictamente necesario.
- Reutilizar cuentas administrativas compartidas: una sola credencial comprometida afecta a todos los sistemas y dificulta enormemente la investigación forense.
- No monitorizar el uso de sudo, RunAs o PowerShell elevado desde SIEM y EDR: la mayoría de escaladas dejan huella si alguien está observando.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre escalada de privilegios horizontal y vertical?
Escalada vertical es convertirse en administrador/root en el MISMO sistema (usuario estándar → root). Escalada horizontal es acceder a datos o recursos de OTRO usuario sin cambiar tu nivel de privilegios. Ambas son peligrosas; vertical es más crítica porque da control total del sistema.
¿Cómo se relaciona la escalada de privilegios con el principio de "mínimo privilegio"?
El principio de mínimo privilegio reduce la superficie de ataque para escalada. Si los usuarios no tienen derechos administrativos, el atacante debe explotar vulnerabilidades del OS en lugar de simplemente reutilizar credenciales robadas. Si los servicios corren con la menor privilegios posible, incluso si se comprometen, el daño es limitado.
¿Por qué el parchado es tan crítico para prevenir escaladas de privilegios?
La mayoría de escaladas explotan CVEs públicamente conocidas del kernel, drivers, o servicios del SO. Un parche disponible desde hace 6 meses no aplicado es equivalente a dejar la puerta trasera abierta. Los atacantes usan herramientas automatizadas que escanean sistemas sin parches y ejecutan exploits públicos.
¿Cómo detecta un SIEM o EDR la escalada de privilegios?
Monitoreando cambios en ACLs y permisos, ejecución de comandos privilegiados (sudo, RunAs, UAC bypass), creación de cuentas administrativas, cambios en grupos administrativos, y comportamiento anómalo de procesos (binarios del sistema ejecutados desde ubicaciones inusuales). El EDR debería alertar ante intentos de escalada usando técnicas conocidas.