Ocurre entre el acceso inicial y el movimiento lateral en la cadena de ataque.
Qué es persistencia
En ciberseguridad, la persistencia es la capacidad de un atacante para mantener acceso a un sistema comprometido de forma continuada, incluso después de reinicios, cambios de credenciales o intentos de remediación parcial. Es una de las fases críticas de la cadena de ataque.
Por qué importa
La persistencia permite a los atacantes operar durante semanas, meses o incluso años dentro de un entorno comprometido. Maximiza el valor del acceso inicial, permitiendo múltiples objetivos —robo de datos, sabotaje, extorsión— sin necesidad de reintentar la intrusión. Muchas organizaciones no detectan compromisos persistentes hasta meses después del acceso inicial. Los atacantes sofisticados implantan múltiples mecanismos redundantes para asegurar que al menos uno sobreviva a intentos de remediación. La persistencia puede implementarse a nivel de usuario (tareas programadas, carpetas de inicio), de sistema (servicios, daemons) o incluso de firmware/BIOS. La presencia de persistencia sofisticada es un fuerte indicador de actividad de grupos avanzados (APT). El coste de respuesta crece exponencialmente con la detección tardía: forense completo, reimagen de sistemas y análisis de qué datos fueron exfiltrados.
Puntos clave
Métodos comunes: tareas programadas, servicios Windows/daemons Linux, claves de registro, DLLs maliciosas, cuentas ocultas y modificaciones de firmware.
Los atacantes sofisticados implantan múltiples mecanismos redundantes para sobrevivir a remediaciones parciales.
La detección requiere auditoría de cambios en configuración, threat hunting proactivo y herramientas EDR.
Eliminar un malware sin investigar todos los puntos de persistencia es contraproducente: el atacante reinstalará el acceso.
Ejemplo de persistencia en un ataque APT
Un grupo APT obtiene acceso a una organización mediante phishing dirigido a un usuario administrativo. Tras ejecutar el payload inicial, el adversario crea un usuario local oculto con permisos administrativos, registra una tarea programada que ejecuta un script PowerShell cada 4 horas, modifica un servicio Windows legítimo para cargar una DLL maliciosa durante el arranque, altera claves de registro para ejecutar código en el siguiente reinicio e instala un agente en el firmware IPMI del servidor para sobrevivir incluso a un reemplazo del sistema operativo. Si los defensores detectan y eliminan el implante principal, los otros mecanismos de persistencia lo reinstalan automáticamente. Es necesario un análisis forense profundo para identificar y eliminar todos los puntos de persistencia.
Errores habituales
- Asumir que un antivirus es suficiente. La persistencia sofisticada es invisible para herramientas tradicionales. Se requiere EDR, threat hunting y análisis de procesos.
- No auditar cambios en configuración de servicios, tareas programadas y claves de registro, lo que hace imposible detectar persistencia implantada.
- No hacer threat hunting proactivo. La persistencia no se detecta automáticamente: requiere búsqueda activa de patrones anómalos y procesos huérfanos.
- Eliminar un malware sin investigar todos los mecanismos de persistencia. El atacante habrá implantado redundancia.
- No segmentar la red. Si la red es plana, un atacante con persistencia puede moverse lateralmente sin restricciones.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué técnicas de persistencia son más comunes?
Las más frecuentes son tareas programadas (cron/Task Scheduler), servicios del sistema modificados, claves de registro de inicio (Run/RunOnce), DLL hijacking, cuentas de usuario ocultas y, en ataques sofisticados, implantes en firmware o bootkit.
¿Cómo se detecta la persistencia en un sistema comprometido?
Mediante revisión de tareas programadas, servicios, claves de registro de inicio, cuentas de usuario, procesos en ejecución y comparación con una línea base conocida. Las herramientas EDR y el threat hunting proactivo son fundamentales.
¿La persistencia siempre implica malware?
No necesariamente. Un atacante puede mantener persistencia mediante cuentas legítimas creadas, accesos VPN con credenciales robadas o reglas de reenvío de correo, sin necesidad de malware tradicional.
¿Cómo se elimina completamente la persistencia?
Requiere análisis forense completo para identificar todos los mecanismos, seguido de reimagen de sistemas afectados, rotación de credenciales, revisión de configuraciones y monitorización intensiva post-remediación.