Escalada de privilegios

¿Qué es la escalada de privilegios?

La escalada de privilegios es un ataque perpetrado por ciberdelincuentes para acceder a los privilegios del sistema de un ordenador o una red, lo que les da libertad para acceder, ejecutar y modificar a su antojo.

Acaba con los malos consiguiendo superpoderes sobre el mundo digital de una persona o empresa.

Un ciberdelincuente o actor de amenazas tiene dos objetivos relacionados: Uno es conseguir acceso no autorizado a tu red. El segundo es obtener privilegios administrativos o privilegios de root.

A menudo, la cuenta que comprometen para obtener acceso a su red es una cuenta de usuario normal. Si se han seguido los principios del mínimo privilegio, a cada usuario sólo se le concederán las capacidades y la autoridad necesarias para desempeñar correctamente su función, y nada más. Para que nuestro actor de amenaza adquiera privilegios administrativos, tiene que utilizar técnicas de escalada de privilegios.

Veamos un escenario típico. La mayoría de las organizaciones tienen dispositivos multifunción (MFD) que imprimen, escanean, envían faxes y hacen fotocopias. En la mayoría de los casos, son suministrados por un especialista en impresoras. No se trata de especialistas en seguridad, ni siquiera de una empresa de TI.

El proveedor puede acceder a distancia al dispositivo multifunción para comprobar los niveles de tóner y supervisar las estadísticas de impresión para saber cuándo hay que hacer una revisión. Y como el dispositivo puede escanear documentos, debe tener una cuenta de correo electrónico para enviarte el escaneado, o bien debe tener acceso de escritura a una ubicación de tu red en la que pueda guardar los escaneados. Así que, en resumen, el dispositivo debe tener una cuenta en su red y es accesible de forma remota. Se trata de una propuesta atractiva para un actor de amenazas.

Si el proveedor del dispositivo ha seguido las mejores prácticas y ha asegurado el acceso remoto al MFD con una contraseña fuerte y única, todo va bien.

Pero si se lo han puesto fácil, es posible que hayan reutilizado una contraseña débil en todos los dispositivos que han suministrado a todos sus clientes.

De este modo, el actor de la amenaza puede entrar en su red y en la de todos los demás clientes de ese proveedor de impresoras. Si ese es el caso, el actor de la amenaza tendrá acceso a una cuenta de usuario a la que -esperemos- se le hayan concedido los privilegios mínimos de usuario y de red.

Otro vector de ataque habitual son los sitios web. Los actores de amenazas a menudo utilizan ataques web para obtener acceso básico y luego continuar con técnicas de escalada de privilegios para obtener más control.

Si su sitio web se ha construido utilizando una metodología de seguridad por diseño y por defecto, estará más protegido que si el aspecto, la sensación y el contenido de su sitio web fueran lo primero, y la seguridad se añadiera a posteriori.

Pero, independientemente del vector de ataque, la escalada de privilegios se lleva a cabo una vez que el actor de la amenaza ha obtenido acceso a su red. El objetivo final puede ser el sabotaje, el acceso a datos confidenciales, la instalación de ransomware o la introducción de algún otro código malicioso como spyware, rootkits y keyloggers.

Existen dos tipos de escalada de privilegios: escalada de privilegios horizontal y escalada de privilegios vertical.

Escalada vertical de privilegios

En un ataque de escalada vertical de privilegios, el actor de la amenaza utiliza varias técnicas para conceder a la cuenta comprometida que está utilizando privilegios normalmente reservados para usuarios con mayor acceso.

Se llama escalada vertical de privilegios porque se están promocionando a sí mismos a niveles más altos de capacidad y ascendiendo a través de las filas de los usuarios. Es la forma cibercriminal de escalada social.

Lo consiguen utilizando vulnerabilidades del sistema operativo que les permitan manipular privilegios. Buscan vulnerabilidades conocidas y, si están presentes -quizá el sistema operativo no tiene aplicados los parches de seguridad más recientes-, pueden utilizarlas para aumentar ilícitamente sus privilegios.

Por ejemplo, la ejecución de datos es una técnica en la que el código inyectado se ejecuta desde áreas reservadas para el uso de Windows y sus procesos aprobados. Si el actor de la amenaza puede ejecutar sus propios programas desde esta área privilegiada, puede utilizar los derechos elevados concedidos a su programa para realizar cambios en la cuenta de usuario que ha comprometido.

Si el actor de la amenaza tiene éxito en la explotación de las vulnerabilidades, obtendrá el poder para realizar cualquier actividad que desee. Pueden crear nuevos usuarios del sistema (y superusuarios), acceder a cualquier archivo y cambiar la configuración del sistema. Si lo desean, pueden secuestrar toda la red.

Los dispositivos móviles también son vulnerables. Las pantallas de bloqueo pueden saltarse. Obviamente, esto da al actor de la amenaza acceso al contenido del dispositivo, pero también le da acceso a la conectividad que tiene el dispositivo. ¿Tiene un correo electrónico profesional o una conexión a la red corporativa? Tal vez tenga una aplicación VPN con credenciales almacenadas. Eso significa que el actor de la amenaza tiene fácil acceso a la red corporativa.

Tanto Android como iOS se han visto afectados por este tipo de vulnerabilidades en el pasado. Por este motivo, los programas de parcheado y actualización deben incluir los dispositivos móviles, y debe implementarse el borrado remoto de los dispositivos móviles corporativos perdidos.

Escalada horizontal de privilegios

En la escalada horizontal de privilegios, el actor de la amenaza tiene acceso a una cuenta de usuario normal, igual que el actor de la amenaza en el ataque de escalada vertical de privilegios. Sin embargo, no busca obtener privilegios más altos y aplicarlos a su cuenta comprometida, sino que intenta obtener acceso a otras cuentas que ya tienen esos privilegios.

Esto se consigue normalmente utilizando técnicas menos técnicas, como adivinar o conocer contraseñas débiles o registrar las pulsaciones de teclas y extraer detalles de autenticación de los datos registrados.

La ingeniería social es una táctica común utilizada para coaccionar a los usuarios para que revelen información sobre sí mismos que pueda dar una pista sobre sus contraseñas. A veces, se puede persuadir a los usuarios para que “compartan” sus credenciales de inicio de sesión temporalmente mientras “alguien de TI” hace algo en su ordenador.

Evitar las vulnerabilidades de escalada de privilegios

Las vulnerabilidades de escalada de privilegios surgen por diferentes motivos:

  • Errores de software: Las aplicaciones, sitios web y otros portales mal diseñados pueden incluir vulnerabilidades que los hacen susceptibles a ataques web, como desbordamientos de búfer e inyección SQL. Los sitios web son fáciles de pasar por alto cuando se elaboran los calendarios de aplicación de parches. Recuerde parchear los protocolos, tecnologías y marcos de trabajo que utiliza su sitio web.
  • Mala configuración: Dar a los usuarios o procesos privilegios superiores a los mínimos que necesitan para desempeñar su función es una mala práctica. A veces se hace porque un problema de red impide que una cuenta de usuario o dispositivo acceda a algo que debería poder, y darles privilegios totales o elevados es una solución rápida. Una mala configuración intencionada sigue siendo una mala configuración e igual de perjudicial si se explota.
  • Parches y seguridad deficientes: No parchear a tiempo los sistemas operativos, las aplicaciones, los dispositivos de red y los sitios web supone un riesgo. Si no mantiene los parches actualizados, sus sistemas estarán cada vez más expuestos y debilitados.
  • Contraseñas débiles: Implemente una política de contraseñas que regule la composición de las mismas y su salvaguarda. Asegúrese de que menciona no compartir nunca las contraseñas y no revelarlas nunca.
  • Formación del personal: Mantenga informado al personal sobre las mejores prácticas y simule algunos escenarios de ingeniería social. Su personal no aprenderá estas cosas por ósmosis. Proporcióneles la orientación que necesitan.

Temas relacionados

Marshall Gunnell

Marshall es un experimentado escritor técnico y entusiasta de los videojuegos con sede en Tokio. Es un profesional en el arte de las palabras con cientos de artículos destacados en VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier, y mucho más. Sus escritos han llegado a una audiencia masiva de más de 70 millones de lectores.