Escalada de Privilegios
Técnica de ataque mediante la cual un usuario o proceso obtiene permisos superiores a los asignados originalmente, pasando de acceso limitado a control administrativo o de sistema. Su detección forense es clave para determinar el alcance real de una intrusión.
¿Qué es la escalada de privilegios?
La escalada de privilegios (en inglés, privilege escalation) es una técnica de ataque mediante la cual un usuario, proceso o aplicación obtiene un nivel de permisos superior al que fue originalmente asignado. En la práctica, esto significa que un atacante que ha comprometido una cuenta de usuario estándar consigue acceso de administrador, root o SYSTEM, obteniendo control total sobre el sistema afectado.
En el contexto de un ciberataque, la escalada de privilegios suele ser la fase que separa un compromiso menor de una brecha catastrófica. Un atacante con privilegios de usuario limitado solo puede acceder a los archivos y recursos de esa cuenta; con privilegios elevados, puede instalar malware persistente, desactivar controles de seguridad, acceder a credenciales almacenadas y moverse lateralmente por toda la red.
Desde la perspectiva del análisis forense digital, identificar y documentar cómo se produjo la escalada de privilegios es fundamental para comprender el alcance real de la intrusión, establecer responsabilidades y elaborar informes periciales con validez judicial.
Fase crítica en el 80% de los ataques avanzados
Según el framework MITRE ATT&CK, la escalada de privilegios (Tactic TA0004) aparece en la inmensa mayoría de los ciberataques dirigidos. Sin ella, los atacantes quedan confinados en cuentas de bajo privilegio con capacidad de daño limitada. Detectarla a tiempo puede frenar un ataque antes de que escale a ransomware o exfiltración masiva de datos.
Tipos de escalada de privilegios
Escalada vertical (elevación de privilegios)
La escalada vertical ocurre cuando un atacante pasa de un nivel de privilegios inferior a uno superior. Es el tipo más peligroso y el más frecuente en ataques avanzados.
| Escenario | Origen | Destino | Impacto |
|---|---|---|---|
| Usuario a admin local | Cuenta estándar | Administrador | Control del equipo |
| Admin local a SYSTEM | Administrador | NT AUTHORITY\SYSTEM | Acceso total al SO |
| Usuario a root | Cuenta sin privilegios | root (UID 0) | Control total Linux |
| Admin de dominio | Admin local | Domain Admin | Control de toda la red |
| Escape de contenedor | Proceso en container | Host subyacente | Compromiso del host |
Escalada horizontal (acceso cruzado)
La escalada horizontal no implica elevar privilegios, sino acceder a recursos de otro usuario con el mismo nivel de permisos. Es especialmente relevante en aplicaciones web y entornos multi-tenant.
| Escenario | Ejemplo | Evidencia forense |
|---|---|---|
| IDOR en aplicación web | Modificar ID de usuario en URL para ver datos ajenos | Logs de acceso HTTP, parámetros manipulados |
| Robo de token de sesión | Secuestrar cookie de sesión de otro usuario | Logs de sesiones, IPs inconsistentes |
| Acceso a buzón de correo ajeno | Usar credenciales compartidas o delegadas | Logs de Exchange/O365, auditorías de buzón |
| Lectura de archivos de otro usuario | Explotar permisos ACL mal configurados | Logs de acceso a ficheros, auditoría NTFS |
Vectores de escalada en Windows
Explotación de servicios mal configurados
Los servicios de Windows se ejecutan frecuentemente con privilegios de SYSTEM. Si un atacante puede modificar el ejecutable de un servicio o su configuración, obtiene ejecución con máximos privilegios.
| Vector | Descripción | Detección forense |
|---|---|---|
| Unquoted service path | Ruta del servicio sin comillas permite inyectar ejecutable | Registro de servicios, Prefetch de ejecutables anómalos |
| Weak service permissions | Permisos de escritura en directorio del servicio | ACLs del directorio, timestamps de archivos modificados |
| Service DLL hijacking | Servicio busca DLL en directorio escribible por usuario | Sysmon Event ID 7 (Image Loaded), DLLs no firmadas |
| Registry key permissions | Claves de registro del servicio modificables | Cambios en HKLM\SYSTEM\CurrentControlSet\Services |
Explotación del kernel
Los exploits de kernel permiten la escalada directa a SYSTEM desde cualquier nivel de privilegios. Son los más poderosos pero también los más detectables.
| CVE | Nombre | Versiones afectadas | Método |
|---|---|---|---|
| CVE-2021-1732 | Win32k Elevation | Windows 10/Server 2019 | Corrupción de memoria en win32k.sys |
| CVE-2021-36934 | HiveNightmare/SeriousSAM | Windows 10 1809+ | Lectura de SAM/SYSTEM con usuario normal |
| CVE-2022-21882 | Win32k Elevation | Windows 10/11 | Vulnerabilidad en win32kfull.sys |
| CVE-2023-28252 | CLFS Elevation | Windows 10/11/Server | Corrupción en Common Log File System |
| CVE-2024-30088 | Kernel Elevation | Windows 11 23H2 | Race condition en NtQueryInformationToken |
Tokens y suplantación
Windows utiliza tokens de acceso para gestionar privilegios. Varios ataques permiten manipular estos tokens.
| Técnica | Descripción | Herramienta típica |
|---|---|---|
| Token Impersonation | Suplantar token de un proceso con más privilegios | Incognito, Juicy Potato |
| Token Stealing | Copiar token de proceso SYSTEM | Meterpreter, Cobalt Strike |
| SeImpersonatePrivilege | Cuentas de servicio pueden suplantar tokens | PrintSpoofer, GodPotato |
| SeDebugPrivilege | Permite inyectar código en cualquier proceso | Mimikatz, Process Hacker |
Dato forense clave
Los tokens de acceso solo existen en memoria RAM. Si el sistema se reinicia antes de la adquisición forense, esta evidencia se pierde irreversiblemente. La captura de memoria con herramientas como WinPmem o DumpIt debe ser prioritaria ante sospecha de escalada de privilegios.
Tareas programadas y GPO
| Vector | Cómo funciona | Event ID de detección |
|---|---|---|
| Scheduled Task como SYSTEM | Crear tarea que se ejecuta con privilegios elevados | 4698 (tarea creada), 4702 (tarea actualizada) |
| GPO maliciosa | Modificar política de grupo para ejecutar scripts | 5136 (objeto de directorio modificado) |
| Startup scripts | Inyectar script en carpeta de inicio con permisos elevados | 4688 (creación de proceso al iniciar sesión) |
Vectores de escalada en Linux
SUID/SGID y capabilities
Los binarios con bit SUID se ejecutan con los privilegios del propietario (frecuentemente root), independientemente de quién los invoque.
| Binario SUID | Riesgo | Explotación |
|---|---|---|
/usr/bin/find | Alto | find / -exec /bin/sh -p \; ejecuta shell como root |
/usr/bin/vim | Alto | :!/bin/sh obtiene shell de root |
/usr/bin/python3 | Crítico | import os; os.setuid(0); os.system("/bin/bash") |
/usr/bin/pkexec | Crítico | CVE-2021-4034 (PwnKit): escalada a root en casi todo Linux |
| Custom binarios | Variable | Análisis caso por caso de funcionalidad |
Sudo y configuraciones erróneas
| Configuración sudo | Riesgo | Ejemplo de explotación |
|---|---|---|
NOPASSWD: ALL | Crítico | Cualquier comando como root sin contraseña |
NOPASSWD: /usr/bin/vim | Alto | :!/bin/sh desde dentro de vim |
sudo -l revela wildcards | Alto | Inyección de argumentos maliciosos |
| Sudo version vulnerable | Crítico | CVE-2021-3156 (Baron Samedit): buffer overflow |
env_keep con LD_PRELOAD | Crítico | Cargar librería maliciosa con privilegios root |
Kernel exploits en Linux
| CVE | Nombre | Kernel afectado | Impacto |
|---|---|---|---|
| CVE-2021-4034 | PwnKit | Polkit en casi todo Linux | Root desde cualquier usuario |
| CVE-2022-0847 | Dirty Pipe | Linux 5.8+ | Escritura en archivos de solo lectura |
| CVE-2023-0386 | OverlayFS | Linux 5.11-6.2 | Escalada a root via overlayfs |
| CVE-2024-1086 | nf_tables | Linux 5.14-6.6 | Escalada via netfilter |
Cron jobs y permisos de archivos
| Vector | Descripción | Detección |
|---|---|---|
| Cron job de root con script escribible | Atacante modifica script ejecutado por root | ls -la del script, comparar hash con backup |
| PATH hijacking en cron | Cron no usa PATH absoluto, atacante inyecta binario | Revisar PATH en crontab, buscar binarios sospechosos |
| Archivos de configuración escribibles | /etc/passwd, /etc/shadow con permisos incorrectos | Auditoría de permisos en archivos críticos |
| Capabilities excesivas | cap_setuid+ep en binarios no críticos | getcap -r / 2>/dev/null para listar |
Detección forense de escalada de privilegios
Artefactos en Windows
Event Logs de seguridad: Analizar Event ID 4672 (Special Privileges Assigned) para detectar asignación de privilegios elevados a cuentas que no deberían tenerlos. Buscar correlación con Event ID 4624 (Logon) para identificar la sesión.
Event Logs de creación de procesos: Event ID 4688 con Process Creator elevado. Si un proceso de usuario genera cmd.exe o powershell.exe con token de SYSTEM, es indicador claro de escalada.
Sysmon logs: Event ID 1 (Process Create) con IntegrityLevel elevado, Event ID 10 (Process Access) hacia lsass.exe, Event ID 7 (Image Loaded) para DLLs sospechosas.
Registro de Windows: Cambios en claves de servicios (HKLM\SYSTEM\CurrentControlSet\Services), nuevas tareas programadas, y modificaciones en RunOnce/Run.
Análisis de memoria RAM: Listar tokens de acceso activos, procesos con privilegios inesperados, y threads inyectados en procesos de SYSTEM.
Prefetch y Amcache: Verificar ejecución de herramientas conocidas de escalada: PrintSpoofer.exe, GodPotato.exe, JuicyPotato.exe, o exploits compilados con nombres genéricos.
Event IDs críticos para escalada de privilegios
Eventos Windows a monitorizar:
├── 4672 - Special privileges assigned to new logon
│ └── Clave: ¿El usuario debería tener estos privilegios?
├── 4688 - Process creation (con command line logging habilitado)
│ └── Buscar: whoami /priv, net localgroup administrators
├── 4697 - Service installed in the system
│ └── Servicios nuevos = posible persistencia con SYSTEM
├── 4698 - Scheduled task created
│ └── Tareas nuevas ejecutándose como SYSTEM
├── 7045 - New service installed (System log)
│ └── Complemento de 4697 en log de Sistema
├── 1102 - Audit log cleared
│ └── Intento de cubrir huellas post-escalada
└── Sysmon 10 - Process Access
└── Acceso a lsass.exe = posible dump de credencialesArtefactos en Linux
| Artefacto | Ubicación | Indicador de escalada |
|---|---|---|
| auth.log / secure | /var/log/auth.log | Comandos sudo inusuales, su hacia root |
| Audit logs | /var/log/audit/audit.log | syscall execve con uid=0 desde usuario no-root |
| Historial bash | ~/.bash_history | Comandos de reconocimiento: find / -perm -4000, sudo -l |
| Binarios SUID nuevos | Todo el filesystem | find / -perm -4000 -newer reference_file |
| Crontab modificado | /var/spool/cron/, /etc/cron.* | Entradas nuevas ejecutando scripts como root |
| Módulos kernel | /lib/modules/, lsmod | Rootkits cargados como módulos |
| Timestamps de /etc/passwd | /etc/passwd, /etc/shadow | Modificación reciente = posible usuario root añadido |
Anti-forense frecuente
Los atacantes sofisticados borran el historial de bash, limpian auth.log y manipulan timestamps tras escalar privilegios. Sin embargo, los audit logs del kernel (auditd) son mucho más difíciles de eliminar sin dejar rastro, y los logs enviados a un SIEM remoto son inmutables desde el equipo comprometido.
Herramientas utilizadas por atacantes
Herramientas de enumeración
| Herramienta | SO | Función |
|---|---|---|
| WinPEAS | Windows | Enumeración automatizada de vectores de escalada |
| LinPEAS | Linux | Enumeración automatizada de vectores de escalada |
| PowerUp | Windows | Script PowerShell para encontrar misconfiguraciones |
| BeRoot | Ambos | Verificación de configuraciones explotables |
| Seatbelt | Windows | Recopilación de información de seguridad |
| Linux Smart Enumeration | Linux | Enumeración con niveles de detalle |
Herramientas de explotación
| Herramienta | Técnica | Privilegio obtenido |
|---|---|---|
| PrintSpoofer | Abuso de SeImpersonatePrivilege | SYSTEM |
| GodPotato | Abuso de SeImpersonatePrivilege (moderno) | SYSTEM |
| Mimikatz | Token manipulation, credential dump | Domain Admin |
| PwnKit | CVE-2021-4034 en pkexec | root |
| Dirty Pipe exploit | CVE-2022-0847 | root |
| Rubeus | Kerberos ticket manipulation | Domain Admin |
Valor forense de las herramientas
La presencia de estas herramientas en el sistema (detectada via Prefetch, Amcache, historial de bash o análisis de disco) es evidencia directa de intento o ejecución de escalada de privilegios. Documentar su hash SHA-256, timestamp de creación y usuario que las ejecutó es fundamental para el informe pericial.
Caso práctico: escalada de privilegios en ataque a PYME
Escenario
Una empresa de servicios profesionales con 30 empleados detecta que datos financieros confidenciales han aparecido en manos de un competidor. Se sospecha de un exempleado que fue despedido hace tres meses pero que, al parecer, conservó algún tipo de acceso.
Investigación forense
Fase 1: Preservación de evidencia
- Imagen forense del servidor Windows Server 2019 (controlador de dominio)
- Captura de memoria RAM del servidor de ficheros
- Exportación de Event Logs de los últimos 6 meses
- Copia de logs del firewall perimetral
Fase 2: Análisis de la escalada
Timeline reconstruido:
├── Día -90: Exempleado es despedido. Su cuenta de AD es deshabilitada.
├── Día -85: Login desde VPN con cuenta de servicio "svc_backup" (no deshabilitada)
│ └── Event ID 4624 Type 10 (RDP) desde IP residencial del exempleado
├── Día -84: svc_backup ejecuta "whoami /priv" y "net localgroup administrators"
│ └── Event ID 4688 - reconocimiento de privilegios
├── Día -83: Explotación de servicio con unquoted path
│ └── C:\Program Files\Backup Software\Service.exe
│ └── Atacante coloca C:\Program.exe (ejecutado como SYSTEM)
│ └── Event ID 7045 - nuevo servicio instalado
├── Día -83: Con SYSTEM, dump de credenciales con Mimikatz
│ └── Sysmon Event ID 10 - acceso a lsass.exe
│ └── Obtiene hash del Domain Admin
├── Día -82 a -5: Accesos periódicos con credenciales de Domain Admin
│ └── Event ID 4672 - Special Privileges en cada sesión
│ └── Acceso a carpeta \\servidor\financiero$
│ └── Exfiltración de 2.3 GB en 47 sesiones
└── Día 0: La empresa detecta la fuga y contacta al peritoFase 3: Hallazgos clave
| Evidencia | Ubicación | Significado |
|---|---|---|
| Program.exe (Mimikatz) | C:\Program.exe | Herramienta de escalada ejecutada como SYSTEM |
| Event ID 7045 | Security Log | Servicio malicioso creado para escalada |
| Event ID 4672 x47 | Security Log | 47 sesiones con privilegios de Domain Admin |
| Hash NTLM en memoria | RAM dump del DC | Credenciales de Domain Admin comprometidas |
| Prefetch de Program.exe | C:\Windows\Prefetch | Confirma ejecución y timestamp |
Fase 4: Conclusiones del informe pericial
El informe documenta que el exempleado utilizó una cuenta de servicio no deshabilitada para acceder al sistema, explotó una vulnerabilidad de configuración (unquoted service path) para escalar privilegios a SYSTEM, extrajo credenciales de Domain Admin, y accedió a información financiera confidencial durante casi tres meses.
Marco legal en España
Tipificación penal de la escalada de privilegios
La escalada de privilegios, como técnica que permite acceso no autorizado a recursos protegidos, encaja en varios artículos del Código Penal:
| Artículo CP | Tipo delictivo | Relación con escalada de privilegios |
|---|---|---|
| Art. 197 bis | Acceso no autorizado a sistemas | La escalada otorga acceso a recursos sin autorización |
| Art. 197.2 | Apoderamiento de datos personales | Si los datos accedidos tras la escalada son personales |
| Art. 264 | Daños informáticos | Si la escalada se usa para modificar o destruir datos |
| Art. 264 bis | Obstrucción de sistemas | Si se compromete la disponibilidad del servicio |
| Art. 278 | Descubrimiento de secretos empresa | Acceso a información empresarial confidencial |
Relevancia de la ISO 27037
El estándar ISO 27037 establece las directrices para la adquisición y preservación de evidencia digital. En casos de escalada de privilegios, es especialmente relevante:
- Volatilidad: Los tokens de acceso y la memoria RAM deben adquirirse antes de reiniciar el sistema
- Cadena de custodia: Documentar cada paso del análisis con hashes SHA-256
- Reproducibilidad: El método de detección de la escalada debe poder ser verificado por un contra-perito
Obligaciones RGPD
Si la escalada de privilegios da acceso a datos personales:
- Notificación a la AEPD en 72 horas (art. 33 RGPD)
- Evaluación del riesgo para los afectados
- Notificación a los interesados si el riesgo es alto (art. 34 RGPD)
- Documentar las medidas de seguridad que fallaron
Herramientas forenses para investigación
| Herramienta | Función en investigación de escalada |
|---|---|
| Volatility 3 | Análisis de memoria: listar tokens, procesos con privilegios elevados |
| Chainsaw | Búsqueda rápida de Event IDs de escalada en logs EVTX |
| Hayabusa | Detección de TTPs MITRE en logs de Windows |
| Velociraptor | Recopilación remota de artefactos de escalada |
| Autopsy | Análisis de disco: Prefetch, Amcache, registro, timeline |
| FTK Imager | Adquisición forense de imagen de disco |
| WinPmem / DumpIt | Captura de memoria RAM para análisis de tokens |
| Sigma Rules | Reglas de detección estándar para escalada (TA0004) |
Relación con otros conceptos
La escalada de privilegios no ocurre de forma aislada en un ataque. Es una fase intermedia que conecta el acceso inicial con el impacto final:
Movimiento Lateral: Tras escalar privilegios en un sistema, el atacante usa esos privilegios elevados para desplazarse a otros equipos de la red. Sin escalada previa, el movimiento lateral es mucho más limitado.
Insider Threats: Las amenazas internas frecuentemente implican escalada de privilegios cuando un empleado descontento intenta acceder a información fuera de su nivel de autorización. La diferencia es que el insider ya tiene acceso legítimo al sistema, lo que facilita la escalada.
Backdoor Administrativa: Una vez lograda la escalada, los atacantes suelen instalar backdoors para mantener el acceso elevado de forma persistente, sin necesidad de repetir la explotación.
Logs de Sistema: Los logs son la fuente primaria de evidencia forense para detectar escalada de privilegios. Event Logs de Windows, auth.log de Linux y los registros de Sysmon contienen los rastros que permiten reconstruir la cadena de escalada.
Prevención y mitigación
| Medida | Tipo | Impacto en la escalada |
|---|---|---|
| Principio de mínimo privilegio | Preventiva | Reduce la superficie de ataque disponible |
| Parcheo regular del SO | Preventiva | Elimina kernel exploits conocidos |
| Auditoría de servicios y permisos | Detectiva | Identifica misconfiguraciones explotables |
| Monitorización de Event Logs | Detectiva | Alerta temprana de intentos de escalada |
| LAPS (Local Admin Password Solution) | Preventiva | Evita reutilización de credenciales de admin local |
| Sysmon con configuración avanzada | Detectiva | Registra acceso a lsass, carga de DLLs, creación de procesos |
| EDR con detección de TTPs | Detectiva/Reactiva | Bloquea herramientas de escalada conocidas |
| Credential Guard | Preventiva | Protege credenciales en memoria contra dumps |
Conclusión
La escalada de privilegios es una de las fases más determinantes en cualquier ciberataque. Es el punto de inflexión donde un acceso limitado se convierte en control total. Para el perito informático forense, documentar cómo, cuándo y desde dónde se produjo la escalada permite:
- Determinar el alcance real de la intrusión
- Identificar las vulnerabilidades o errores de configuración explotados
- Establecer una timeline precisa del ataque
- Atribuir responsabilidades (tanto del atacante como de posibles negligencias en seguridad)
- Elaborar un informe pericial sólido con validez judicial
La detección forense de escalada de privilegios requiere conocimiento profundo de los mecanismos de seguridad de Windows y Linux, acceso a los logs adecuados y, sobre todo, actuar con rapidez para preservar la evidencia volátil antes de que se pierda.
¿Sospechas que un atacante ha conseguido privilegios elevados en tus sistemas? Contacta con Digital Perito para un análisis forense que determine el alcance real de la intrusión.
Última actualización: 10 de febrero de 2026 Categoría: Seguridad Código: PRV-001
Preguntas Frecuentes
¿Qué es la escalada de privilegios en ciberseguridad?
Es una técnica mediante la cual un atacante obtiene permisos superiores a los que tiene asignados, pasando de usuario normal a administrador o SYSTEM. Es una fase crítica en la mayoría de ciberataques avanzados.
¿Cómo detecta un perito forense una escalada de privilegios?
Analizando logs de eventos de Windows (Event IDs 4672, 4688, 4697), auditorías de sudo en Linux, cambios en grupos de seguridad, creación de servicios y tareas programadas, y anomalías en tokens de acceso.
¿Qué diferencia hay entre escalada vertical y horizontal?
La escalada vertical implica obtener privilegios superiores (usuario normal a administrador). La horizontal consiste en acceder a recursos de otro usuario del mismo nivel de privilegios, sin elevar los permisos propios.
Términos Relacionados
Movimiento Lateral
Técnicas utilizadas por atacantes para desplazarse de un sistema comprometido a otros dentro de la misma red, escalando privilegios y ampliando el alcance del ataque.
Insider Threats
Amenazas a la seguridad de la información originadas por empleados, contratistas o colaboradores internos que acceden, exfiltran o sabotean datos de forma malintencionada o negligente, aprovechando su acceso legítimo.
Backdoor Administrativa
Código malicioso instalado en sitios web que permite acceso persistente no autorizado con privilegios administrativos, incluso después de cambiar contraseñas. En análisis forense, su detección requiere auditoría completa de archivos del sistema y base de datos.
Logs de Sistema
Archivos que registran automáticamente eventos del sistema operativo, aplicaciones y servicios. Son fuente primaria de evidencia forense para reconstruir actividades, detectar intrusiones y establecer timelines de incidentes.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita