Persistencia
¿Qué es Persistencia?
PersistenciaTáctica MITRE ATT&CK (TA0003) que agrupa las técnicas con las que un atacante mantiene el acceso al sistema tras reinicios, cambios de credenciales y respuesta a incidentes.
Persistencia (táctica MITRE ATT&CK TA0003) reúne las técnicas que permiten al adversario conservar su punto de apoyo aunque se reinicien sistemas, se cambien contraseñas o los operadores intenten limpiar. Implementaciones habituales: claves de registro de autoinicio, tareas programadas, servicios de Windows, suscripciones a eventos WMI, trabajos BITS, elementos de inicio en macOS, cron en Linux, extensiones de navegador maliciosas, tokens OAuth y cuentas con backdoor en Active Directory. Los adversarios suelen apilar varios mecanismos por si uno cae. Los defensores la detectan con logs de creación de procesos, inventarios de autoruns (Sysinternals Autoruns, EDR), reglas Sigma y caza de tareas, servicios o proveedores LSA anómalos, y la neutralizan reimaginando por completo los equipos comprometidos.
● Ejemplos
- 01
Backdoor instalado como un servicio de Windows con un nombre GUID aleatorio.
- 02
Aplicación OAuth maliciosa con acceso permanente a un buzón de Microsoft 365.
● Preguntas frecuentes
¿Qué es Persistencia?
Táctica MITRE ATT&CK (TA0003) que agrupa las técnicas con las que un atacante mantiene el acceso al sistema tras reinicios, cambios de credenciales y respuesta a incidentes. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Persistencia?
Táctica MITRE ATT&CK (TA0003) que agrupa las técnicas con las que un atacante mantiene el acceso al sistema tras reinicios, cambios de credenciales y respuesta a incidentes.
¿Cómo funciona Persistencia?
Persistencia (táctica MITRE ATT&CK TA0003) reúne las técnicas que permiten al adversario conservar su punto de apoyo aunque se reinicien sistemas, se cambien contraseñas o los operadores intenten limpiar. Implementaciones habituales: claves de registro de autoinicio, tareas programadas, servicios de Windows, suscripciones a eventos WMI, trabajos BITS, elementos de inicio en macOS, cron en Linux, extensiones de navegador maliciosas, tokens OAuth y cuentas con backdoor en Active Directory. Los adversarios suelen apilar varios mecanismos por si uno cae. Los defensores la detectan con logs de creación de procesos, inventarios de autoruns (Sysinternals Autoruns, EDR), reglas Sigma y caza de tareas, servicios o proveedores LSA anómalos, y la neutralizan reimaginando por completo los equipos comprometidos.
¿Cómo defenderse de Persistencia?
Las defensas contra Persistencia combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Persistencia?
Nombres alternativos comunes: Persistencia de acceso, TA0003.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- malware№ 080
Puerta trasera
Mecanismo encubierto que evita la autenticación o los controles habituales para conceder al atacante un acceso futuro al sistema.
- defense-ops№ 397
Ejecución (Táctica MITRE)
Táctica MITRE ATT&CK (TA0002) que reúne las técnicas con las que el adversario consigue ejecutar su código en un sistema local o remoto.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
● Véase también
- № 535Acceso Inicial
- № 447Golden Ticket