El modelo tradicional de defensa basado en “detectar el archivo malicioso y bloquearlo” se está quedando atrás. Los atacantes actuales dependen cada vez menos del malware clásico y explotan con creciente frecuencia los recursos ya presentes en la infraestructura: utilidades administrativas, binarios firmados del sistema operativo y motores de scripting integrados. Este enfoque, conocido como Living off the Land (LOTL), convierte las propias herramientas de administración en un canal eficaz para ejecutar ataques silenciosos y difíciles de detectar.
Por qué los ataques que parecen actividad normal se han convertido en la norma
El análisis de más de 700 000 incidentes graves revela una tendencia clara: hasta el 84 % de las intrusiones aprovechan herramientas legítimas para eludir los controles de seguridad. A diferencia del malware clásico, estas acciones se camuflan entre las operaciones diarias de TI y raramente generan alertas inmediatas.
En lugar de descargar ejecutables sospechosos, los adversarios recurren a PowerShell, WMIC, Certutil y otras utilidades integradas en Windows, usadas a diario por equipos de IT y DevOps. En los registros de eventos, muchas de estas actividades se asemejan a tareas de administración habituales: ejecución de scripts, gestión de certificados o invocación de comandos del sistema. Distinguir entre uso legítimo y uso malicioso resulta especialmente complejo en entornos extensos y heterogéneos.
Este contexto crea una peligrosa zona ciega: ya no basta con buscar “archivos maliciosos”, sino que es necesario analizar el comportamiento y el contexto de ejecución en tiempo casi real. Mientras los analistas validan si una secuencia concreta de comandos es aceptable, el atacante puede consolidar persistencia, realizar reconocimiento interno y avanzar lateralmente por la red.
Herramientas nativas de Windows como superficie interna de ataque
Incluso una instalación estándar de Windows 11 incorpora cientos de binarios nativos, muchos documentados por proyectos como LOLBAS (Living Off The Land Binaries and Scripts) como potencialmente aprovechables en ataques LOTL. Estos componentes están integrados en el sistema, firmados por el fabricante y, por defecto, gozan de un alto nivel de confianza por parte de las soluciones de seguridad y de los administradores.
Los estudios indican que hasta un 95 % de las invocaciones a utilidades de alto riesgo es innecesario para las tareas cotidianas. Las causas principales son el exceso de permisos y la ausencia de restricciones sobre funciones poco usadas pero muy potentes: ejecución remota de comandos, descarga y descifrado de datos, modificación de configuración crítica, entre otras. Estas capacidades son explotadas con mucha mayor intensidad por los atacantes que por el personal de TI.
Cada permiso sin restricciones se transforma en una posible ruta de ataque. Si el adversario no necesita introducir un nuevo ejecutable y puede apoyarse en un componente ya instalado y de confianza, los controles tradicionales centrados en el perímetro parten en clara desventaja.
Límites de EDR/XDR: cuando detectar implica interpretar
Las tecnologías EDR (Endpoint Detection and Response) y XDR (Extended Detection and Response) siguen siendo esenciales para identificar amenazas y anomalías. Sin embargo, el auge de los ataques LOTL desplaza el foco del mero “detectar” a la interpretación contextual: ¿esta orden de PowerShell forma parte de una automatización legítima o de una cadena de ataque? ¿Es esperable este proceso, con este usuario y en este servidor concreto?
La velocidad de las intrusiones modernas complica aún más el escenario. Los atacantes emplean automatización e incluso IA para probar rápidamente diferentes tácticas y reaccionar casi al instante ante los bloqueos. Para cuando el equipo de seguridad confirma una alerta sospechosa, el movimiento lateral puede haberse completado, la persistencia estar asegurada y los canales de exfiltración preparados. Confiar únicamente en la detección reactiva ya no es suficiente: es imprescindible reducir de forma activa la superficie de ataque disponible.
Evaluar la superficie interna de ataque: un primer paso práctico
La superficie interna de ataque engloba todos los mecanismos legítimos que un adversario puede aprovechar una vez dentro de la red: herramientas administrativas, scripts, cuentas de servicio, binarios firmados y canales de automatización. En muchas organizaciones, esta dimensión está poco definida: se conocen los riesgos en teoría, pero raramente existe un inventario detallado de qué herramientas están disponibles y para quién en la práctica.
Para abordar este problema, varios proveedores —incluido Bitdefender— ofrecen evaluaciones gratuitas del tipo Internal Attack Surface Assessment. Estos análisis proporcionan una visión estructurada y basada en datos sobre el grado de exposición de la infraestructura debido al abuso potencial de herramientas confiables: dónde existe acceso excesivo, qué utilidades se utilizan fuera de su propósito previsto y qué cadenas de acciones podrían combinarse para materializar un ataque exitoso.
La principal ventaja de estas evaluaciones es su baja carga operativa: se basan en la recopilación pasiva de telemetría, sin interrumpir a los usuarios ni los servicios críticos. El resultado es un conjunto de recomendaciones priorizadas: qué binarios limitar, qué derechos deben redistribuirse, dónde reforzar las políticas de ejecución de scripts y comandos.
Los ataques LOTL se han consolidado como estándar en la operativa de muchos grupos de amenazas. El mayor riesgo ya no proviene de exploits exóticos, sino de lo que ya está preinstalado y autorizado en la propia organización. Cuanto antes se identifique cómo pueden utilizarse en contra de la empresa las herramientas internas, antes se podrán cerrar rutas innecesarias: restringir el acceso a utilidades de alto riesgo, supervisar de forma estricta PowerShell y otros motores de automatización, revisar los privilegios de las cuentas de servicio y realizar evaluaciones periódicas de la superficie interna de ataque. Este enfoque no solo permite detectar incidentes, sino también privar de antemano a los atacantes de su principal recurso: las herramientas legítimas de la propia organización.
