pass-the-hash, pass-the-ticket (Kerberos), uso de herramientas administrativas legítimas (BloodHound, Mimikatz, PsExec), explotación de Trust Relationships, acceso a recursos compartidos SMB/NFS.
Qué es movimiento lateral
Técnica de ataque mediante la cual un adversario que ha obtenido acceso inicial a la red corporativa se desplaza internamente en búsqueda de datos valiosos, sistemas críticos o acceso administrativo.
Por qué importa
El movimiento lateral es crítico porque: Extiende el daño potencial: un compromiso inicial en una estación de trabajo puede escalar a servidores críticos en minutos. Elude controles de perímetro: los firewalls edge protegen contra amenazas externas, pero no contra tráfico interno; el atacante está "dentro". Permite búsqueda de datos de alto valor: acceso a bases de datos, almacenes de datos financieros, sistemas de investigación y desarrollo. Facilita persistencia prolongada: el atacante puede establecer múltiples puntos de acceso redundantes (puertas traseras) en la red interna. Aumenta el tiempo de detección: el movimiento lateral gradual y sigiloso puede pasar desapercibido durante semanas o meses. Impacta SLAs de cumplimiento: la segmentación de red y la detección de movimiento lateral son requisitos en ISO 27001, NIS2, y DORA.
Puntos clave
acceso inicial (credenciales débiles) → escalada de privilegios (CVE local) → movimiento lateral (credenciales de admin) → acceso a datos críticos.
dividir la red interna en zonas con restricciones de tráfico (VLAN, microsegmentación) ralentiza y dificulta el movimiento lateral.
PowerShell, WinRM, SSH, RDP son servicios normales que no generan alertas de "malware"; el EDR debe detectar uso anómalo.
intentos de autenticación fallidos, cambios de permisos, conexiones inusuales entre sistemas; SIEM y logs centralizados son esenciales.
requerimiento de autenticación y autorización continua para cada acceso a recurso, incluso dentro de la red.
Ejemplo real
Un empleado de marketing cliquea un correo de phishing que instala un backdoor en su portátil. El atacante obtiene acceso remoto. Desde allí, escanea la red interna y descubre un servidor de base de datos expuesto sin firewall interno. Usa herramientas internas (RDP) para conectarse. Las credenciales del empleado no funcionan en el servidor, pero encuentra una contraseña guardada en un script en el PC. Con acceso al servidor de base de datos, el atacante descubre otra máquina (servidor de contabilidad) conectada en la misma subred. Realiza pass-the-hash usando un hash Kerberos capturado, obtiene acceso. Desde allí accede a un servidor de archivos central donde residen informes financieros y datos de clientes. Exfiltra 500 MB de datos durante varios días sin ser detectado. El incidente se descubre cuando un backup falla por espacio insuficiente.
Errores habituales
- una vez dentro, todo el tráfico interno se permite; el atacante se mueve libremente.
- intentos de acceso fallidos en 10 sistemas diferentes nunca se correlacionan en un SIEM.
- usuarios finales o servidores no críticos no deberían tener permisos para acceder a bases de datos o servidores sensibles.
- el tráfico entre departamentos no está restricto; un compromiso en marketing puede acceder directamente a contabilidad.
- credenciales administrativas guardadas en hojas de cálculo o wikis internas facilitan el movimiento lateral.
- el EDR detecta malware, pero no comportamiento anómalo de herramientas legítimas; se necesita correlación de red.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre movimiento lateral y escalada de privilegios?
La escalada de privilegios es pasar de usuario estándar a administrador en el MISMO sistema. El movimiento lateral es acceder a OTROS sistemas o servicios. Ambos suelen ocurrir juntos: primero escalas privilegios en tu máquina comprometida, luego usas esos privilegios para moverte lateralmente a otros sistemas.
¿Cómo detecta un SIEM el movimiento lateral?
Correlacionando eventos de autenticación fallida en múltiples sistemas, cambios de permisos, conexiones inusuales entre servidores, uso de herramientas administrativas (RDP, PSExec) por usuarios no administrativos, y análisis de comportamiento (logueos a las 3 AM desde IP interna sospechosa). El SIEM necesita datos centralizados de múltiples fuentes.
¿La segmentación de red previene completamente el movimiento lateral?
No lo previene completamente, pero lo ralentiza y dificulta mucho. Si tu red está dividida en 5 zonas segregadas con firewall interno, el atacante debe escalar privilegios 5 veces en lugar de una sola vez. Es una capa de defensa adicional; es por eso que Zero Trust y microsegmentación son el estado del arte.
¿Qué es "pass-the-hash" y cómo funciona en movimiento lateral?
Es una técnica donde el atacante captura el hash de contraseña (no la contraseña en texto plano) de un usuario y lo usa directamente para autenticarse en otro sistema sin necesidad de descifrar la contraseña. En Windows, esto es especialmente posible con NTLM y Kerberos. El mitigación es MFA, salting de hashes, y restricción de reutilización de credenciales.