A medida que las organizaciones dependen más de las capacidades de trabajo remoto y de sistemas de nube más grandes, aumenta su vulnerabilidad a los ciberataques. Los ataques de elevación de privilegios son una amenaza frecuente y compleja, y cualquier red puede convertirse en un objetivo.

Las organizaciones necesitan múltiples estrategias de defensa cuando cualquier recurso puede convertirse en un punto de entrada para intrusos. Comprender el proceso de elevación de privilegios es un primer paso importante hacia la prevención y defensa contra ataques extensivos a la red.

¿Qué es la elevación de privilegios?

Un ataque de elevación de privilegios es un ciberataque diseñado para obtener acceso privilegiado no autorizado a un sistema. Los ciberdelincuentes explotan comportamientos humanos, fallos de diseño o descuidos en los sistemas operativos o las aplicaciones web. Esto está estrechamente relacionado con el movimiento lateral: tácticas mediante las cuales un ciberatacante se adentra más en una red en busca de recursos de alto valor.

El resultado es un usuario interno o externo con privilegios de sistema no autorizados. Dependiendo de la extensión de la brecha, los actores malintencionados pueden causar daños menores o mayores. Podría tratarse de un simple correo electrónico no autorizado o de un ataque de ransomware a grandes cantidades de datos. Si no se detectan, los ataques pueden derivar en amenazas persistentes avanzadas (APT) a los sistemas operativos.

Cómo funciona la elevación de privilegios

El adversario suele realizar la elevación de privilegios comenzando con una técnica de ingeniería social que se basa en la manipulación del comportamiento humano. La más básica es el phishing: comunicaciones electrónicas que contienen enlaces dañinos. Una vez que un ciberdelincuente vulnera la cuenta de un individuo, toda la red queda expuesta.

El ciberdelincuente busca puntos débiles en las defensas de la organización que permitan la entrada inicial o privilegios básicos a través del robo de credenciales. Como se explica con más detalle a continuación, explotar dichas vulnerabilidades permite obtener privilegios aún más elevados. Por tanto, una estrategia eficaz debe combinar técnicas de prevención, detección y acción rápida.

Técnicas de elevación de privilegios

Una técnica de elevación de privilegios se puede ejecutar de forma local o remota. La elevación de privilegios local comienza en el sitio, a menudo por parte de alguien dentro de la organización. La elevación remota puede comenzar desde casi cualquier lugar. Para un ciberdelincuente decidido, cualquiera de los dos enfoques puede ser eficaz.

¿Cuáles son los principales tipos de elevación de privilegios?

Los ataques se agrupan en dos tipos principales:

Con la elevación de privilegios horizontal (o toma de control de cuenta), un ciberdelincuente obtiene acceso privilegiado a una cuenta de usuario estándar con privilegios de nivel inferior. El intruso podría robar el nombre de usuario y la contraseña de un empleado, obteniendo acceso al correo electrónico, a los archivos y a cualquier aplicación web o subred a la que pertenezcan. Una vez obtenido este punto de apoyo, el ciberdelincuente puede moverse horizontalmente a través de la red, ampliando su esfera de acceso privilegiado entre cuentas igualmente privilegiadas.

La elevación de privilegios vertical (o escalada de privilegios) comienza de manera similar, con un ciberdelincuente que utiliza un punto de apoyo para intentar escalar verticalmente, obteniendo acceso a cuentas con mayores privilegios. Por ejemplo, podría atacar cuentas con privilegios de administrador o permisos de acceso root, como un trabajador de soporte técnico de TI o un administrador de sistemas. Una cuenta privilegiada puede utilizarse para invadir otras cuentas.

Diferencias entre elevación de privilegios vertical y horizontal

En resumen, la elevación de privilegios horizontal implica obtener acceso a cuentas con privilegios similares a los de la cuenta original. Por el contrario, la elevación vertical implica obtener acceso a cuentas con más privilegios y permisos. Un ciberdelincuente podría comenzar con una cuenta de usuario estándar y usarla para vulnerar cuentas de nivel superior con privilegios de administrador.

Cuantos más privilegios tenga una cuenta, más daño inmediato puede causar un actor malicioso. Una cuenta de soporte técnico de TI puede dañar las cuentas de usuario estándar y puede convertirse en un punto de escalada vertical. Sin embargo, los ataques horizontales también son peligrosos porque el riesgo para una red aumenta con el número de cuentas comprometidas. Cada punto de vulnerabilidad es una apertura para que los ciberdelincuentes puedan adentrarse más en el sistema, por lo que tanto los ataques horizontales como los verticales deben abordarse con rapidez.

Más tipos de técnicas de elevación de privilegios

Los ciberatacantes desarrollan constantemente nuevas formas de acceder a las cuentas y vulnerar los sistemas, pero el phishing sigue predominando. Los ciberdelincuentes diseñan estos mensajes engañosos, ya sean amplios y dispersos o cuidadosamente selectivos, para engañar a los usuarios, de modo que compartan credenciales, descarguen malware o expongan las redes a un uso no autorizado.

Otros tipos de ataques de ingeniería social incluyen los siguientes:

• Cybersquatting o typosquatting: secuestrar una URL o crear una URL falsa para captar clics. Los ciberdelincuentes pueden emplear un dominio de nivel superior falso (por ejemplo, Sample.co, .cm o .org en vez de .com) o introducir una errata en el nombre (por ejemplo, Sampe.com, Sarnple.com o Samp1e.com).
• Exposición de contraseñas: a veces, los usuarios exponen sus contraseñas voluntariamente, compartiéndolas con amigos o compañeros de trabajo. Con todo, la mayor parte de veces lo hacen sin darse cuenta. Es posible que anoten sus contraseñas en algún lugar visible de sus espacios de trabajo o que tengan contraseñas que sean fáciles de averiguar.
• Exposición de preguntas de seguridad: no es raro que los usuarios olviden sus contraseñas. Cuando lo hacen, a menudo deben responder preguntas de seguridad para crear nuevas contraseñas. Debido a las redes sociales, las respuestas a las preguntas de seguridad son más fáciles de descubrir que nunca antes. Ten especial cuidado con los cuestionarios virales o las publicaciones que preguntan "Las 5 cosas más importantes que nadie conoce sobre ti".
• Vishing o "phishing de voz": un ciberdelincuente podría llamar a un empleado y hacerse pasar por una figura de autoridad, engañándolo para que proporcione información privilegiada o instale malware.

Los adversarios también pueden utilizar técnicas que se apoyan en la ayuda tecnológica. Los ataques de fuerza bruta y el volcado de credenciales son las más comunes, pero existen muchas otras:

• Ataques de fuerza bruta: implican la averiguación sistemática y automática de contraseñas, y pueden ser especialmente efectivos en sistemas con requisitos de contraseñas insuficientes.
• Volcado de credenciales: en estos ataques, los ciberdelincuentes obtienen acceso ilegal a una red y roban múltiples credenciales a la vez.
• Shoulder surfing: esta técnica implica robar las credenciales de un individuo a través de una red insegura o hackeando sus dispositivos.
• Ataques de diccionario: en este tipo de ataque, los actores maliciosos combinan palabras comunes en posibles contraseñas según la longitud y los requisitos de contraseñas de una red.
• Password spraying: este tipo de ataque emplea intentos automatizados de obtener acceso a muchas cuentas a la vez utilizando unas pocas contraseñas habituales (por ejemplo, "contraseña", "qwerty", "123456" y similares).
• Inserción de credenciales: en este caso, los ciberdelincuentes intentan utilizar credenciales de un sistema en otro distinto. Esto funciona porque muchas personas reutilizan contraseñas en múltiples redes.
• Ataques Pass-the-Hash o de tabla arcoíris: este tipo de ataque implica algoritmos que "hashifican" o codifican las contraseñas.
• Cambios y restablecimientos de contraseñas: los ciberdelincuentes sofisticados pueden encontrar formas de aprovechar el proceso de configuración de nuevas contraseñas. Incluso pueden solicitar nuevas contraseñas si conocen las respuestas a las preguntas de seguridad.

Tanto los servidores Windows como los sistemas operativos Linux son vulnerables a ataques. La elevación de privilegios de Windows a menudo emplea manipulación de tokens, omisión del control de cuentas de usuario o secuestro de DLL (biblioteca de vínculos dinámicos). Los ataques comunes de elevación de privilegios en el sistema Linux incluyen enumeración, exploit del kernel y uso del acceso Sudo para obtener privilegios de root. El acceso que proporcionan las credenciales robadas es tan poderoso que los ciberdelincuentes cuentan con una gran motivación para encontrar nuevas formas de escalar los privilegios de Linux.

Estrategias de prevención de la elevación de privilegios

La prevención requiere una vigilancia constante y proactiva. Cualquier empresa con una red puede ser una víctima, ya que cada usuario presenta algún grado de vulnerabilidad. Esto significa que tu estrategia de prevención debe ser integral e inclusiva, involucrando a todos los usuarios del sistema para ayudar a proteger tu ciberespacio compartido. Cuando la prevención falla, también deben implementarse medidas de detección, junto con planes de acción que puedan ejecutarse rápidamente para evitar las peores consecuencias.

Cómo detectar un ataque de elevación de privilegios

La detección de la elevación de privilegios generalmente se basa en el reconocimiento de patrones, la búsqueda de valores atípicos y la identificación de eventos anormales. Lamentablemente, detectar la elevación de privilegios puede resultar extremadamente difícil porque es algo muy impredecible. Si un atacante logra acceder a la red en cualquier momento, podrá mantener un acceso continuo. Una vez que obtiene credenciales de cualquier tipo, el sistema lo ve como un usuario legítimo. 

El tiempo promedio para detectar un ataque es difícil de estimar porque los ataques de elevación de privilegios pueden tardar semanas o incluso meses. El tiempo transcurrido entre el momento en que un intruso roba inicialmente una credencial y el momento en que logra su objetivo se denomina "tiempo de permanencia". Con un tiempo de permanencia prolongado, los intrusos pueden recopilar información, obtener credenciales y elevar aún más los privilegios. Cuando los ciberdelincuentes están listos para lograr su objetivo, generalmente ya han cubierto sus huellas (por ejemplo, borrando registros, enmascarando direcciones IP, etc.). 

Afortunadamente para sus víctimas, los ciberdelincuentes a veces cometen errores, lo que los hace rastreables o incluso los hace caer en trampas. Aún así, muy pocos (ni siquiera el 0,5 %, según un informe de Third Way) son arrestados. Las organizaciones deben estar preparadas, no solo para detectar sino para neutralizar las amenazas; actuar con la mayor celeridad posible es primordial. 

Ejemplos de ataques de elevación de privilegios

Los ataques de elevación de privilegios comúnmente implican infectar una red o aplicación con malware, una categoría amplia que incluye lo siguiente:

• Gusanos: programas autónomos que se replican a sí mismos y extienden copias a otros ordenadores.
• Rootkits: colecciones de software diseñadas para dar a los actores el control de una red o aplicación. Una vez activados, configuran una puerta trasera para distribuir malware adicional y pueden permanecer durante años, ya que son difíciles de detectar.
• Troyanos: malware disfrazado de software legítimo, diseñado para engañar a los usuarios mediante técnicas de ingeniería social, como phishing o sitios web que sirven de cebo.
• Malware sin archivos: a diferencia del malware tradicional, este no requiere que un ciberdelincuente instale código malicioso en el sistema de un objetivo, lo que dificulta su detección.
• Spyware: software de vigilancia que recopila información sobre la actividad web de los usuarios sin su conocimiento o consentimiento. El adware es un tipo de spyware que vigila la actividad online de un usuario a fin de determinar qué anuncios mostrarle.
• Registradores de pulsaciones: spyware que monitoriza la actividad del usuario, normalmente instalado mediante phishing. Cuando se instalan, los registradores de pulsaciones pueden robar contraseñas, ID de usuario, detalles bancarios y demás información.
• Scareware: programas (generalmente, advertencias emergentes) que engañan a los usuarios haciéndoles creer que su ordenador está infectado, incitándolos a instalar un software antivirus falso que en realidad es malware.
• Ransomware: cuando un adversario cifra los datos de la víctima y ofrece una clave para descifrarlos a cambio de un pago. Los ciberdelincuentes pueden lanzar estos ataques mediante técnicas de ingeniería social o utilizando vulnerabilidades sin parchear y errores de configuración de directivas.

Importancia de prevenir la elevación de privilegios

La elevación de privilegios puede ser un paso en prácticamente cualquier ciberataque. Prevenirla donde comienza debe ser una máxima prioridad.

Cómo la prevención de la elevación de privilegios afecta a la seguridad de las aplicaciones

A diario, los empleados necesitan permiso para acceder a cientos de aplicaciones, por lo que las organizaciones precisan herramientas de gestión de identidad seguras que reduzcan la necesidad de múltiples autenticaciones. Los servicios de inicio de sesión único (SSO), como el servicio de federación de Active Directory (ADFS), permiten a las personas utilizar un único conjunto de credenciales en múltiples sistemas internos y externos. Esto ahorra tiempo y estrés, mejorando tanto la eficiencia como la experiencia del usuario al permitir un movimiento fluido entre aplicaciones.

La desventaja es que un ciberdelincuente con un único conjunto de credenciales también puede moverse sin problemas por la red. Las consecuencias de la elevación de privilegios pueden ser graves para los usuarios, los clientes y las empresas, e incluso para la seguridad de la nube. Está claro que los ataques pueden ser costosos, pero además, perder el control de información confidencial o de sistemas críticos también puede afectar a la integridad y a la reputación de una empresa.

Según un estudio de IBM de 2021, el ciberataque promedio en EE. UU. le cuesta a las empresas 9,05 millones de dólares (aproximadamente el doble del promedio mundial de 4,24 millones de dólares). En 2017, Target accedió a pagar 18,5 millones de dólares tras una brecha de ciberseguridad grave. Los ciberdelincuentes habían aprovechado debilidades en el sistema de Target utilizando credenciales robadas de un proveedor externo. Tras obtener acceso a una base de datos de atención al cliente, instalaron malware para recopilar datos de contacto, números de tarjetas de crédito y otra información privada.

La elevación de privilegios también puede afectar a pequeñas organizaciones con presupuestos y medidas de ciberseguridad insuficientes. Las instituciones educativas son objetivos habituales. El Lincoln College de Illinois se vio obligado a cerrar en 2022 después de un ataque de ransomware que detuvo operaciones críticas cuando la universidad ya atravesaba dificultades. Nadie es inmune a los ciberataques, ni siquiera los Gobiernos nacionales, por lo que todos debemos estar en guardia.

Cómo proteger tus sistemas de la elevación de privilegios

Los ciberataques son un fenómeno global. Según el Foro Económico Mundial: "Estos riesgos no pueden abordarlos organizaciones que actúen en solitario. Se requieren intervenciones políticas que fomenten la colaboración y la rendición de cuentas, tanto por parte de las empresas como de los Gobiernos".

Sea como fuere, todos tenemos un papel que desempeñar en el ecosistema de la ciberseguridad. Una estrategia de prevención exitosa requiere comprender las técnicas de elevación comunes y contar con controles adecuados para frustrarlas.

Controles a implementar para prevenir ataques de elevación de privilegios

Para mitigar los riesgos de robo de credenciales se requieren varios niveles de protección. Los controles técnicos, como el cifrado, los firewalls, la supervisión y los programas antivirus y antimalware, abordan las vulnerabilidades del hardware y el software. También incluyen soluciones de gestión de eventos e información de seguridad para recopilar y analizar eventos de seguridad, además de sistemas de detección y prevención de intrusiones que monitorizan y responden a eventos sospechosos.

Los controles administrativos, como directivas, procedimientos, formación y prácticas recomendadas, se centran en las personas y abordan técnicas de ingeniería social. Los controles físicos disuaden o previenen el acceso físico no autorizado a material confidencial. Estos incluyen desde cámaras de vigilancia y guardias de seguridad hasta identificaciones biométricas. Incluso una puerta cerrada puede ayudar a protegerse contra el robo de credenciales.

Técnicas a utilizar para protegerse contra la elevación de privilegios

Dado que muchas brechas comienzan con el phishing, las técnicas de prevención social y cultural son esenciales. Los miembros de la red suelen ser el primer punto de ataque y, por tanto, también la primera línea de defensa. El miedo, sin embargo, es una motivación ineficaz. Las organizaciones deben, en cambio, capacitar a los empleados con formación, recordatorios y un sentido de responsabilidad compartida.

Una buena higiene informática individual incluye los siguientes elementos:

• Crear contraseñas seguras y protegerlas contra robos
• Conectarse a la red a través de Wi-Fi seguro
• Estar alerta ante correos electrónicos o mensajes de texto no solicitados con enlaces sospechosos
• Alertar al departamento de TI sobre actividades sospechosas o brechas accidentales

La higiene en todo el sistema también es crucial. Muchas instituciones siguen confiando en medidas de seguridad tradicionales que los sofisticados ciberdelincuentes de hoy pueden eludir fácilmente. Las soluciones incluyen lo siguiente:

• Prácticas seguras de gestión de contraseñas y credenciales
• Manejo adecuado de las cookies
• Supervisión de sistemas en tiempo real y actualización con la inteligencia sobre amenazas más reciente
• Búsqueda proactiva y continua de vulnerabilidades y amenazas
• Implementación de programas sólidos de protección de identidad para todo el ciclo de vida de las cuentas
• Aplicación del principio del mínimo de privilegios y separación del privilegio en múltiples componentes
• Uso de un modelo de seguridad Zero Trust, tratando cada dispositivo como no fiable hasta que se autentique
• Segmentación de redes y aplicaciones para limitar el movimiento lateral
• Controles de gestión de acceso privilegiado, con supervisión estrecha de las sesiones privilegiadas
• Desarrollo de copias de seguridad sin conexión a prueba de ransomware para recuperar datos

La vigilancia de la organización debe ir más allá a fin de minimizar la exposición; ha de predecir, investigar, buscar proactivamente y responder rápidamente a las amenazas aplicando lo siguiente:

• Eliminar sistemas obsoletos o sin parches, e instalar parches rápidamente
• Utilizar autenticación multifactor y protocolos de escritorio remoto adecuados
• Protegerse contra los tipos más comunes de malware
• Monitorizar la dark web en busca de evidencias de brechas
• Llevar a cabo pruebas de penetración periódicamente
• Evitar la fatiga de alertas, causada por soluciones de seguridad que muestran demasiados falsos positivos o alertas sin forma de priorizarlas
• Realizar filtrado automático de URL de correo electrónico y archivos adjuntos

Herramientas y software para proteger tus sistemas de la elevación de privilegios

La protección de los sistemas frente a la elevación de privilegios requiere herramientas y software con capacidades como las siguientes:

• Protección de identidades para todos los usuarios
• Visibilidad en tiempo real de todos los usuarios activos con detección y respuesta para endpoints (EDR) para actividad administrativa maliciosa
• Threat Hunting, preferiblemente continuo, con capacidad para rastrear, validar y priorizar alertas
• Inteligencia sobre amenazas, relativa a los ciberdelincuentes y sus tácticas, estrategias y objetivos
• Funciones avanzadas de búsqueda de malware con indicadores de compromiso procesables
• Protecciones antivirus de última generación

Las características clave de estas herramientas deben incluir fácil instalación y configuración, escalabilidad y almacenamiento en la nube económico.

Como muchos ataques de elevación de privilegios se basan en la nube, las organizaciones necesitan un sistema nativo y a escala de la nube para mantenerse por delante de los ciberdelincuentes. Además de la inteligencia artificial y la tecnología de filtrado inteligente de alta velocidad, los analistas humanos expertos pueden monitorizar de forma proactiva los entornos y alertar a los usuarios sobre actividades inusuales. Los equipos de seguridad interna pueden necesitar esta asistencia complementaria para proteger completamente a sus organizaciones de las amenazas que plantean los ataques de elevación de privilegios.

Detén las brechas e impulsa el negocio

Ninguna organización quiere ser víctima de la elevación de privilegios, pero la mayoría necesita ayuda para mantenerse por delante del sofisticado adversario de hoy —y de mañana—. CrowdStrike tiene la experiencia, los conocimientos y las herramientas que necesitas para fortalecer las defensas de tu organización y ayudar a mantener tus redes a salvo de posibles atacantes.

Obtén más información sobre cómo CrowdStrike puede ayudarte a ganar la carrera contra los ciberataques para que puedas centrarte en lo que mejor se te da.