Movimiento Lateral
¿Qué es Movimiento Lateral?
Movimiento LateralTáctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
Movimiento Lateral (táctica MITRE ATT&CK TA0008) agrupa las técnicas con las que el adversario amplía su foothold pasando del host inicial a otros sistemas, cuentas o tenants cloud. Incluye pass-the-hash, pass-the-ticket, overpass-the-hash, secuestro de sesiones RDP y SSH, explotación de servicios remotos (SMB, WinRM, WMI, PsExec), uso de herramientas como Cobalt Strike y reutilización de tokens OAuth o SAML válidos contra APIs cloud. Es a menudo la fase más ruidosa en telemetría porque atraviesa fronteras entre hosts. Los defensores se apoyan en segmentación de red, jerarquización de identidades, administración Just-In-Time, MFA en protocolos remotos, correlación EDR multi-host y detecciones Sigma/MDE para pivotes SMB y RPC.
● Ejemplos
- 01
Usar pass-the-hash con un hash NTLM capturado para autenticarse contra un servidor de ficheros.
- 02
Robar una cookie de sesión RDP para saltar de un puesto de trabajo a un jump box.
● Preguntas frecuentes
¿Qué es Movimiento Lateral?
Táctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Movimiento Lateral?
Táctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
¿Cómo funciona Movimiento Lateral?
Movimiento Lateral (táctica MITRE ATT&CK TA0008) agrupa las técnicas con las que el adversario amplía su foothold pasando del host inicial a otros sistemas, cuentas o tenants cloud. Incluye pass-the-hash, pass-the-ticket, overpass-the-hash, secuestro de sesiones RDP y SSH, explotación de servicios remotos (SMB, WinRM, WMI, PsExec), uso de herramientas como Cobalt Strike y reutilización de tokens OAuth o SAML válidos contra APIs cloud. Es a menudo la fase más ruidosa en telemetría porque atraviesa fronteras entre hosts. Los defensores se apoyan en segmentación de red, jerarquización de identidades, administración Just-In-Time, MFA en protocolos remotos, correlación EDR multi-host y detecciones Sigma/MDE para pivotes SMB y RPC.
¿Cómo defenderse de Movimiento Lateral?
Las defensas contra Movimiento Lateral combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Movimiento Lateral?
Nombres alternativos comunes: Pivoting, Movimiento interno.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 229
Acceso a Credenciales
Táctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- defense-ops№ 325
Descubrimiento (Táctica MITRE)
Táctica MITRE ATT&CK (TA0007) que reúne las técnicas que utiliza el atacante para conocer el entorno comprometido tras obtener acceso.
- network-security№ 723
Segmentación de red
Práctica de dividir la red en varias zonas con tráfico controlado entre ellas para contener brechas y aplicar el principio de mínimo privilegio.
● Véase también
- № 107BloodHound
- № 790Pass-the-Hash
- № 1088Reenvio de agente SSH
- № 293Tecnología de engaño