Skip to content

Un atacante tiene un punto de apoyo en un host. ¿Qué signos de movimiento lateral buscarías?

Respuesta breve

El movimiento lateral es un atacante que usa un punto de apoyo para alcanzar otros sistemas. Los signos incluyen logons de red inesperados (tipo 3) y RDP (tipo 10), acceso a recursos compartidos admin como C$ y ADMIN$, herramientas de ejecución remota como PsExec, WMI y WinRM, patrones de pass-the-hash, y una cuenta normalmente local que de repente se autentica en muchos hosts.

Una vez que un atacante tiene una máquina, el verdadero daño viene de propagarse a otras: hacia controladores de dominio, servidores de archivos y los datos más valiosos. Detectar el movimiento lateral es un trabajo de SOC de alto valor, por eso es una pregunta senior. La respuesta fuerte nombra señales concretas y observables.

Patrones de autenticación

Las señales más claras están en los logons. Vigila los logons de red (tipo 3) y RDP (tipo 10) hacia hosts que un usuario nunca toca normalmente, y sobre todo una cuenta autenticándose en muchas máquinas en una ventana corta. Una cuenta local o de servicio que de repente se extiende ampliamente es una pista clásica. Las ráfagas de actividad Kerberos o NTLM desde una fuente inusual también importan.

Herramientas de ejecución remota

Los atacantes se mueven usando mecanismos de ejecución remota integrados: PsExec (creando un servicio en el objetivo), WMI (wmic/Win32_Process) y WinRM/PowerShell Remoting. En los logs aparecen como creación remota de servicios (event 7045 / 4697), árboles de procesos 4688 sospechosos y conexiones WinRM. El uso living-off-the-land de herramientas de administración es deliberado: se mezcla con el entorno.

Abuso de credenciales

El pass-the-hash y el pass-the-ticket permiten a un atacante autenticarse con material de credenciales robado sin la contraseña en texto plano, por lo que puedes ver logons exitosos sin una entrada interactiva de credenciales correspondiente. Volcar LSASS en el host de origen es una señal previa que vale la pena correlacionar.

Acceso a recursos compartidos

Las conexiones a recursos compartidos administrativos (C$, ADMIN$, IPC$) desde fuentes inesperadas suelen preceder a la ejecución remota y la preparación de archivos.

Detectar por correlación

Ningún evento aislado prueba el movimiento lateral; correlacionas el tipo de logon, origen/destino, cuenta y las herramientas que siguen. Mapear estos elementos a la táctica Lateral Movement de ATT&CK ayuda a estructurar la caza.

Por qué importa

Atrapar el movimiento entre el punto de apoyo inicial y el objetivo es lo que limita el radio de impacto. Un analista que pueda describir estas señales de forma concreta demuestra que sabe cazar a un intruso activo, no solo leer una alerta aislada.

Posibles preguntas de seguimiento

  • ¿Cómo funciona el pass-the-hash y qué lo hace difícil de detectar?
  • ¿En qué event IDs de Windows y tipos de logon pivotarías?
  • ¿Por qué son las cuentas de servicio un objetivo favorito para el movimiento lateral?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.