self.post_img_alt

Living off the Land: el enemigo que ya vive dentro de tu sistema

  • Alex De los Llanos Dueñas
  • Abril 2025

Te voy a contar algo que la mayoría de la gente no sabe: no todos los ataques empiezan desde fuera. A veces, el atacante no necesita meter nada nuevo, ningún virus, ningún archivo extraño. Solo necesita usar lo que ya está ahí. Herramientas legítimas. Utilidades del propio sistema operativo. Comandos que están en tu equipo desde que lo encendiste por primera vez.

Eso es exactamente lo que pasa con los ataques LoL —“Living off the Land”—.
Y sí, el nombre suena a documental de granjeros autosuficientes, pero en ciberseguridad, es todo lo contrario. Es uno de los métodos más sigilosos y difíciles de detectar que existen hoy en día. Y en 2025, siguen siendo un dolor de cabeza para cualquier equipo de seguridad serio.

Si tienes una empresa, trabajas en IT o simplemente usas un ordenador todos los días, esto te interesa. Porque los ataques LoL no van a dejar una alerta en rojo, ni un archivo raro en el escritorio. Lo que van a hacer es usar tus propias herramientas contra ti, y eso los convierte en algo tan peligroso como brillante.

Un ataque LoL (también llamado LoLBin, cuando hablamos de binarios específicos del sistema operativo) consiste en que el atacante utiliza herramientas ya preinstaladas en tu sistema operativo para ejecutar su ataque, moverse lateralmente dentro de la red, extraer información o incluso abrir puertas para regresar más tarde.

La genialidad (y el peligro) de este tipo de ataques es que no requieren malware tradicional. Es decir, no tienen que introducir software externo. No tienen que “infectar” el sistema de manera clásica. Solo tienen que usar, por ejemplo, PowerShell, WMI, Certutil, o cualquier utilidad que ya venga con Windows, por ejemplo.

Y como todo esto son programas legítimos, firmados por el fabricante, los antivirus no los ven como amenazas. ¿Lo pillas? Estás siendo atacado… por algo que tú mismo instalaste sin cuestionar.

¿Por qué estos ataques son tan difíciles de detectar?

Te lo explico con un ejemplo muy real. Supón que un atacante se cuela en un sistema y usa PowerShell para listar los usuarios activos, copiar archivos sensibles y mandarlos cifrados a un servidor remoto.
Todo eso lo puede hacer sin descargar nada, sin abrir archivos sospechosos, sin hacer ruido.

Ahora pregúntate: ¿tu antivirus va a saltar si detecta PowerShell ejecutándose?
Claro que no. Porque es parte del sistema.
Ahí está la gracia (y el peligro).

La mayoría de soluciones de seguridad tradicionales no detectan estos ataques porque no hay un “archivo malicioso” en circulación. No hay un ejecutable con nombre raro. No hay una firma de virus conocida. Todo está pasando con herramientas de confianza.

Y eso, créeme, es un reto enorme.

Algunas herramientas comunes que se usan en ataques LoL

La lista es larga, pero estas son algunas de las herramientas más utilizadas por atacantes LoLBin:

  • -PowerShell: automatización y ejecución de scripts. El favorito de muchos atacantes.

  • -WMI (Windows Management Instrumentation): para consultar e interactuar con componentes del sistema.

  • -Certutil: diseñada para manejar certificados digitales, pero usada para descargar archivos en segundo plano.

  • -MSHTA: ejecuta scripts HTML, y puede ser abusado para cargar código malicioso desde una web externa.

  • -Rundll32: invoca funciones dentro de archivos DLL, pero también puede ejecutar código arbitrario.

  • -Bitsadmin: utilidad para descargar archivos, muchas veces usada para extraer payloads sin levantar sospechas.

  • -Regsvr32: puede ejecutar scripts remotos usando archivos .sct.

Y no es que estas herramientas sean malas. El problema es cómo se usan. Esa es la diferencia entre uso legítimo y abuso silencioso. La mayoría de los ataques LoLBin buscan tres cosas principales:

  1. -Persistencia: quedarse en el sistema el mayor tiempo posible sin ser detectados.

  2. -Movimiento lateral: saltar de un equipo a otro dentro de la red, buscando privilegios más altos o datos sensibles.

  3. -Exfiltración de datos: sacar información valiosa hacia el exterior sin dejar rastros evidentes.

Y muchas veces, ni siquiera es el ataque principal. Los LoLBin suelen ser parte de una cadena más grande, donde el atacante entra por phishing o credenciales filtradas, y luego usa estas técnicas para avanzar sin levantar sospechas.

¿Cómo se defiende uno contra algo que no parece un ataque?

Esta es la parte complicada. Porque defenderse de algo invisible no es fácil. Pero se puede.

Te dejo aquí algunas estrategias que realmente funcionan (no solo en teoría, sino en la vida real):

1. Segmentación de la red

Lo primero, lo básico, lo imprescindible. Si un atacante entra, que no pueda moverse con libertad. Divide la red. Limita los accesos. No todos los usuarios deben ver todos los recursos.

2. Control de uso de herramientas

PowerShell está genial… para los administradores. ¿Pero todos lo necesitan?
Implementa políticas de control. Limita su uso a usuarios y equipos específicos. Y registra todo lo que pasa por ahí.

3. Monitorización del comportamiento, no solo de archivos

Aquí entra el concepto de EDR (Endpoint Detection & Response) moderno. No basta con buscar virus. Hay que observar el comportamiento. Si alguien ejecuta PowerShell para conectarse a un dominio desconocido, eso debería levantar alertas.

4. Auditoría constante y análisis de logs

Sí, es aburrido. Pero también es lo que puede hacerte detectar que alguien está usando Certutil para bajar archivos sin autorización.

5. Formación al equipo de IT y seguridad

No todos los técnicos saben cómo funcionan los LoLBin. Hay que actualizar el conocimiento constantemente. Los ataques cambian. Los defensores también deben hacerlo.

6. Restringir privilegios

La regla de oro: el mínimo acceso necesario. Si un usuario no necesita WMI, ¿por qué tiene acceso? Cada permiso que das innecesariamente es una posible vía de ataque.

¿Y si ya tienes a alguien dentro usando estas técnicas?

Actúa rápido. Y con cabeza.

  • -Cambia credenciales.

  • -Aísla equipos sospechosos.

  • -Revisa logs de ejecución.

  • -Contacta con expertos si no puedes reconstruir el incidente tú solo.

  • -Prepara un informe completo. Los ataques LoL no son siempre fáciles de erradicar.

Conclusión

Los ataques LoL nos enseñan una lección brutal: ya no basta con protegerse de lo que viene de fuera. Hay que vigilar lo que ya está dentro.

En 2025, los ciberdelincuentes son cada vez más pacientes, más astutos y más sutiles. Ya no buscan romper puertas. Prefieren usar las llaves que ya tienes en tu bolsillo.

Y la única forma de evitarlo no es dejar de usar esas herramientas. Es entenderlas, vigilarlas y controlarlas.

Porque la ciberseguridad ya no se trata de evitar ataques visibles. Se trata de detectar a los que no hacen ruido.

Así que la próxima vez que revises la configuración de tus sistemas, pregúntate esto:
¿Estoy seguro de que nadie está usando mis propias herramientas para atacarme?

Porque si no estás seguro… Contacta con nosotros de inmediato. Te ayudaremos en todo lo que sea necesario.

Etiquetas:
  • ciberataques
  • ciberseguridad
  • living off the land
  • seguridad empresarial
Categorías:
  • Ciberseguridad
VOLVER