Movimiento Lateral
Técnicas utilizadas por atacantes para desplazarse de un sistema comprometido a otros dentro de la misma red, escalando privilegios y ampliando el alcance del ataque.
¿Qué es el Movimiento Lateral?
El movimiento lateral es la fase de un ciberataque en la que el atacante, habiendo comprometido un sistema inicial, se desplaza a otros equipos y servidores dentro de la misma red. El objetivo es ampliar el alcance del acceso, escalar privilegios y llegar a los activos más valiosos: controladores de dominio, servidores de bases de datos y sistemas con información sensible.
En mi trabajo como perito informático forense, rastrear el movimiento lateral es fundamental para entender el alcance real de una intrusión. Un ransomware que solo afecta al portátil del recepcionista es muy diferente de uno que llegó al controlador de dominio y cifró toda la empresa.
El Verdadero Peligro
El acceso inicial (phishing, vulnerabilidad) suele ser a un equipo de usuario sin privilegios. El movimiento lateral es lo que permite al atacante convertir ese acceso limitado en control total de la organización.
Fases del Ataque con Movimiento Lateral
Anatomía de un ataque completo:
├── 1. Acceso inicial (phishing a empleado)
├── 2. Establecer persistencia (backdoor)
├── 3. Reconocimiento interno (mapear la red)
├── 4. MOVIMIENTO LATERAL (saltar a otros sistemas)
│ ├── Escalada de privilegios
│ ├── Robo de credenciales
│ └── Propagación a servidores
├── 5. Exfiltración de datos
└── 6. Impacto final (ransomware, sabotaje)El movimiento lateral es el multiplicador del daño. Sin él, el atacante estaría limitado al primer equipo comprometido.
Técnicas Comunes de Movimiento Lateral
1. Pass-the-Hash (PtH)
El atacante captura el hash de contraseña de un usuario (sin conocer la contraseña en texto claro) y lo utiliza para autenticarse en otros sistemas.
| Aspecto | Detalle |
|---|---|
| Cómo funciona | Windows acepta hash NTLM para autenticación |
| Herramientas | Mimikatz, Metasploit |
| Requisito | Acceso a memoria del sistema (admin local) |
| Detección | Event ID 4624 Type 3 con hash, no contraseña |
2. Pass-the-Ticket (PtT)
Similar al anterior pero usando tickets Kerberos en lugar de hashes NTLM.
| Aspecto | Detalle |
|---|---|
| Cómo funciona | Exportar y reusar tickets TGT/TGS |
| Variante peligrosa | Golden Ticket (acceso ilimitado) |
| Herramientas | Mimikatz, Rubeus |
| Detección | Tickets usados desde IPs inusuales |
3. Uso de Credenciales Robadas
Obtener contraseñas mediante keyloggers, dumps de memoria o archivos de configuración, y usarlas para conectarse a otros sistemas.
| Fuente de Credenciales | Prevalencia |
|---|---|
| Mimikatz (LSASS dump) | Muy alta |
| Credenciales en scripts | Alta |
| Archivos de configuración | Media |
| Navegadores (contraseñas guardadas) | Alta |
4. Herramientas de Administración Legítimas
Los atacantes aprovechan herramientas que ya están en la red:
| Herramienta | Uso Legítimo | Abuso para Movimiento Lateral |
|---|---|---|
| PsExec | Administración remota | Ejecutar comandos en otros equipos |
| WMI | Gestión de Windows | Ejecución remota de procesos |
| PowerShell Remoting | Automatización | Sesiones interactivas remotas |
| RDP | Soporte técnico | Acceso gráfico a servidores |
| SSH | Administración Linux | Salto entre servidores |
Living off the Land
Los atacantes sofisticados prefieren usar herramientas ya presentes en el sistema (“living off the land”) porque no levantan alertas de antivirus y se confunden con actividad de administración legítima.
5. Explotación de Vulnerabilidades Internas
Vulnerabilidades que requieren acceso a la red interna:
| Vulnerabilidad | Impacto |
|---|---|
| EternalBlue (MS17-010) | Ejecución remota en SMB |
| ZeroLogon (CVE-2020-1472) | Compromiso de DC |
| PrintNightmare | Escalada a SYSTEM |
| ProxyLogon/ProxyShell | Compromiso de Exchange |
Detección Forense del Movimiento Lateral
Análisis de logs de autenticación: Buscar autenticaciones de un mismo usuario desde múltiples sistemas en poco tiempo, o autenticaciones fallidas seguidas de exitosas.
Revisión de Event Logs de Windows: Event IDs 4624, 4625, 4648, 4672 para detectar patrones de acceso anómalos.
Análisis de tráfico de red: Conexiones SMB, RDP, WinRM entre estaciones de trabajo (inusual) o desde estaciones hacia servidores sensibles.
Detección de herramientas: Presencia de Mimikatz, PsExec, Cobalt Strike u otras herramientas de movimiento lateral.
Timeline de actividad: Correlacionar timestamps de diferentes sistemas para reconstruir el camino del atacante.
Análisis de memoria: Extraer credenciales cacheadas, tickets Kerberos, y procesos inyectados.
Indicadores de Movimiento Lateral (IOCs)
Event IDs Críticos de Windows
Eventos a monitorizar:
├── 4624 (Logon exitoso)
│ ├── Type 3: Network logon (movimiento lateral típico)
│ ├── Type 10: Remote interactive (RDP)
│ └── Correlacionar IP origen con comportamiento
├── 4625 (Logon fallido)
│ └── Múltiples fallos = posible password spraying
├── 4648 (Explicit credentials)
│ └── Uso de credenciales diferentes al usuario logueado
├── 4672 (Special privileges assigned)
│ └── Escalada a privilegios de admin
└── 4688 (Process creation)
└── Ejecución de herramientas sospechosasComportamientos Sospechosos
| Comportamiento | Por Qué Es Sospechoso |
|---|---|
| Admin de dominio desde estación de trabajo | Normalmente solo desde servidores |
| Mismo usuario en 10+ equipos en 1 hora | Patrón de propagación |
| RDP entre estaciones de trabajo | No es uso normal |
| PsExec desde equipo de usuario | Herramienta de admin |
| PowerShell con base64 | Ofuscación típica de malware |
Caso Práctico: Ransomware con Movimiento Lateral
Investigación Real Anonimizada
Una empresa manufacturera de Zaragoza sufrió un ataque de ransomware que cifró 47 servidores en una noche. Me contrataron para determinar cómo ocurrió y el alcance real.
Reconstrucción del Ataque
Día 1: Acceso inicial
09:15 - Email de phishing recibido por usuario de contabilidad
09:17 - Documento Word abierto, macro ejecutada
09:18 - Cobalt Strike beacon establecido en PC-CONTA-03Día 1-3: Reconocimiento y movimiento lateral
Día 1, 14:00 - Mimikatz ejecutado, credenciales de 5 usuarios extraídas
Día 1, 15:30 - PsExec usado para conectar a PC-RRHH-01 (usuario de RRHH)
Día 2, 02:00 - Movimiento lateral a servidor de ficheros (FS01)
Día 2, 03:15 - Credenciales de admin de dominio obtenidas de FS01
Día 2, 04:00 - Acceso a controlador de dominio (DC01)
Día 3, 01:00 - Despliegue de agentes de exfiltración en servidoresDía 7: Impacto
02:00 - Ransomware desplegado vía GPO desde DC01
02:15 - 47 servidores cifrados simultáneamente
02:30 - Nota de rescate en todos los sistemasMapa del Movimiento Lateral
PC-CONTA-03 (Acceso inicial)
│
├──► PC-RRHH-01 (credenciales RRHH)
│
├──► FS01 (servidor ficheros)
│ │
│ └──► Credenciales admin dominio
│
└──► DC01 (controlador dominio)
│
└──► TODOS LOS SERVIDORES (GPO maliciosa)Hallazgos Forenses
| Evidencia | Ubicación | Significado |
|---|---|---|
| Mimikatz.exe | C:\Users\contabilidad\AppData | Herramienta de robo de credenciales |
| Event ID 4624 Type 3 | Logs de 12 sistemas | Autenticación de red (movimiento lateral) |
| PsExec remoto | Event ID 4688 en múltiples sistemas | Ejecución remota |
| Golden Ticket | Memoria de DC01 | Persistencia con acceso total |
Herramientas de Análisis
Análisis de Logs
| Herramienta | Uso |
|---|---|
| Chainsaw | Búsqueda rápida en Event Logs |
| Hayabusa | Detección de TTPs en logs |
| Sigma rules | Reglas de detección estándar |
| Splunk/ELK | Correlación de logs centralizada |
Análisis de Red
| Herramienta | Uso |
|---|---|
| Wireshark | Captura y análisis de tráfico |
| Zeek | Metadatos de conexiones |
| Rita | Detección de beaconing |
| NetworkMiner | Extracción de artefactos |
Análisis de Memoria
| Herramienta | Uso |
|---|---|
| Volatility | Análisis de dumps de memoria |
| Rekall | Análisis forense de memoria |
| MemProcFS | Sistema de ficheros sobre memoria |
Documentación para Informe Pericial
Lo que el Tribunal Necesita Entender
El movimiento lateral es un concepto técnico. En el informe pericial, uso analogías: “Es como si un ladrón entrara por una ventana del almacén y luego abriera todas las puertas internas hasta llegar a la caja fuerte”.
El informe debe incluir:
- Mapa visual del movimiento lateral
- Timeline cronológico con timestamps de cada salto
- Credenciales comprometidas y su origen
- Herramientas utilizadas por el atacante
- Alcance total del compromiso
Conclusión
El movimiento lateral es lo que convierte una intrusión menor en una catástrofe corporativa. Entender y documentar cómo se propagó el atacante por la red es fundamental para:
- Determinar el alcance real del incidente
- Identificar todos los sistemas que necesitan remediación
- Documentar para reclamaciones a ciberseguros
- Mejorar las defensas para evitar futuras propagaciones
Como perito informático forense, mi trabajo es reconstruir paso a paso el camino del atacante, desde el primer equipo comprometido hasta el impacto final.
¿Has sufrido un ciberataque y necesitas entender el alcance de la intrusión? Contacta con Digital Perito para un análisis forense completo del movimiento lateral.
Última actualización: 3 de febrero de 2026 Categoría: Ciberseguridad Código: MOL-001
Preguntas Frecuentes
¿Qué es el movimiento lateral en un ciberataque?
Es la fase del ataque donde, tras comprometer un equipo inicial, el atacante se desplaza a otros sistemas de la red para obtener más acceso, privilegios y datos. Es lo que diferencia un incidente aislado de una brecha masiva.
¿Cómo detecta un perito forense el movimiento lateral?
Analizando logs de autenticación, eventos de Windows, tráfico de red anómalo, uso de credenciales en múltiples sistemas, y herramientas de administración remota utilizadas fuera de contexto normal.
¿Por qué es tan peligroso el movimiento lateral?
Porque convierte el compromiso de un equipo de usuario normal en acceso a servidores críticos, controladores de dominio y datos sensibles. Sin movimiento lateral, muchos ransomware solo afectarían a un equipo.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita