® 
Movimiento Lateral (Lateral Movement)
Definicion
El movimiento lateral es una tecnica de ataque en la que un atacante, tras obtener acceso inicial, se mueve por la red para comprometer sistemas adicionales.
El movimiento lateral es una tecnica de ataque en la que un atacante, tras obtener acceso inicial a un sistema, se propaga por la red interna para comprometer recursos adicionales, escalar privilegios y finalmente alcanzar datos valiosos. Segun el framework MITRE ATT&CK, el movimiento lateral es una de las fases mas criticas de un ciberataque.
Como funciona el movimiento lateral?
Tras la infeccion inicial, el atacante realiza reconocimiento interno: que sistemas son accesibles, que credenciales estan disponibles en memoria o en disco, que direcciones de red y recursos compartidos estan activos? Luego se mueve lateralmente usando credenciales robadas, vulnerabilidades en servicios internos o abuso de relaciones de confianza.
Tecnicas de movimiento lateral
Pass the Hash usa hashes de contrasenas robados para autenticarse sin conocer la contrasena real. Pass the Ticket abusa de tickets Kerberos. Servicios remotos como RDP, SMB, WMI y SSH se utilizan para conectarse a otros sistemas. PsExec ejecuta codigo en sistemas remotos. Las cuentas de servicio comprometidas con amplio acceso proporcionan rutas faciles. Las tecnicas Living off the Land usan herramientas de administracion legitimas con fines maliciosos.
Impacto para las organizaciones
El movimiento lateral permite a los atacantes escalar desde un unico sistema comprometido hasta un compromiso completo de la red. Los operadores de ransomware lo usan para alcanzar el maximo de sistemas. NIS2 exige segmentacion de red y capacidades de deteccion para limitar y detectar el movimiento lateral.
Proteccion
La segmentacion de red y microsegmentacion limitan el movimiento lateral. Las soluciones PAM protegen cuentas de administrador. EDR y XDR detectan conexiones internas sospechosas y abuso de credenciales. SIEM correlaciona eventos entre sistemas para identificar patrones laterales.
Como ayuda DEFION
DEFION simula movimiento lateral como parte de Red Teaming y pentests internos para probar hasta donde puede llegar un atacante tras el acceso inicial. El equipo SOC monitoriza activamente indicadores de movimiento lateral.