Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Caballo de Troya moderno: cómo los atacantes viven de la tierra y cómo detenerlos

Maritza Marie Dubec
Gerente Senior de Marketing de Contenidos
Illumio Editorial
August 12, 2025
23 min. leer

Odiseo no irrumpió en Troya con fuerza bruta.

Se infiltró en ellos desde adentro, escondido dentro de un caballo de madera que los troyanos pensaron que era un regalo. Esa noche, sus fuerzas emergieron y tomaron la ciudad desde adentro.

Fue el engaño perfecto: usar lo que se confía, no dar advertencias, solo estrategia, paciencia y conocimiento de los puntos ciegos del enemigo.

Los ciberataques más avanzados de la actualidad siguen el mismo libro de jugadas. Los atacantes explotan las herramientas nativas que ya están dentro de sus sistemas. Se mueven en silencio y permanecen ocultos. Al igual que Odiseo, usan lo que se confía para abrir paso sin ser detectados.

El caballo de madera, pintado por un artista florentino, Biagio d'Antonio, a finales del siglo XV.

Herramientas confiables, amenazas ocultas

En ciberseguridad, los ciberataques de vida fuera de la tierra (LOTL) evaden la detección mediante el uso de herramientas de sistema legítimas e integradas como PowerShell o WMI.

Estas herramientas descargan cargas útiles maliciosas, se mueven lateralmente y filtran datos, todo junto con el tráfico normal de la red. No se instala malware y no se sueltan archivos sospechosos, por lo que estos ataques a menudo pasan desapercibidos durante meses.

Los ataques LOTL ahora representan la mayoría de las intrusiones cibernéticas modernas. Un análisis de 2025 de más de 700,000 incidentes encontró que el 84% de los ataques importantes involucraron técnicas LOTL.

¿Por qué son tan efectivos? Los sistemas operativos vienen precargados con poderosas herramientas destinadas a los administradores, y los atacantes las están convirtiendo en armas. Una vez dentro, usan esas mismas herramientas para mezclar, mantener el acceso y expandir silenciosamente su alcance.

Un análisis de 2025 de más de 700,000 incidentes encontró que el 84% de los ataques importantes involucraron técnicas LOTL.

Esto hace que los ataques de Living off the Land sean más difíciles de detectar y mucho más difíciles de detener.

Si bien muchos ataques LOTL ocurren en Windows, el uso de herramientas confiables y la ejecución de código en memoria también se pueden aplicar a macOS y Linux.  

En macOS, los atacantes pueden explotar servicios nativos como AppleScript y el comando launchd para persistir y ejecutar comandos. En Linux, podían confiar en Bash, SSH, cron jobs y ejecución en memoria para operar sin escribir archivos en el disco y evadir la detección tradicional.

Ejemplo de herramientas del sistema disponibles en Windows
Ejemplo de herramientas del sistema disponibles en Windows

¿El reciente exploit de SharePoint ToolShell "vive de la tierra"?

En julio de 2025, Microsoft reveló la explotación activa de dos vulnerabilidades de día cero de SharePoint (CVE202553770 y CVE202553771), conocidas colectivamente como ToolShell.

Las fallas, Linen Typhoon, Violet Typhoon y Storm2603, afectaron a los servidores locales orientados a Internet y fueron explotadas por actores respaldados por el estado.

Estos grupos de amenazas emplearon vulnerabilidades para ejecutar código remoto, robar claves de máquina, escalar privilegios e implementar ransomware, incluidas las variantes Warlock y LockBit , en cientos de sistemas vulnerables.

Michael Adjei, director de ingeniería de sistemas de Illumio, comparte su perspectiva sobre lo que se destaca en los exploits de ToolShell: "No es solo el uso de herramientas nativas, es cómo los atacantes pasaron del acceso inicial al movimiento lateral sin activar las alarmas tradicionales. Este incidente refuerza una realidad clave: si los defensores solo están atentos al malware, ya están atrasados".

Ransomware + Vivir de la tierra: un poderoso combo

Otro poderoso ejemplo de este enfoque sigiloso es Medusa ransomware.

En febrero de 2024, el FBI y CISA emitieron un aviso conjunto (#StopRansomware: Medusa Ransomware) advirtiendo de su creciente amenaza para las infraestructuras críticas. Más de 300 organizaciones ya fueron atacadas, incluidos hospitales, instituciones financieras, escuelas y servicios gubernamentales.  

Medusa no se basa en días cero llamativos o malware obvio. En cambio, se mezcla, empleando herramientas confiables como PowerShell, WMI, RDP, SSH y software de acceso remoto como ScreenConnect para mover a través de entornos híbridos y evitar la detección.

El ransomware moderno no entra por la puerta principal, sino que se mezcla como un espía.

Por qué la NSA hizo sonar la alarma sobre LOTL

En 2024, la NSA, la CISA y sus socios internacionales publicaron un aviso conjunto advirtiendo sobre el aumento de las intrusiones de LOTL.

Esto no fue provocado por una infracción, sino por una tendencia inquietante: los actores de amenazas avanzadas, incluidos los grupos patrocinados por el estado, usaban cada vez más herramientas nativas para infiltrar silenciosamente en la infraestructura crítica.

¿El punto de inflexión? Campañas como Volt Typhoon, donde los atacantes se adentraron en los sistemas de comunicaciones, energía y transporte de EE. UU. sin implementar malware tradicional.

El aviso era claro: las técnicas LOTL se convirtieron en una estrategia de referencia para los atacantes de estados-nación, y los defensores debían adaptar de inmediato.

SolarWinds: una clase magistral en LOTL

Uno de los primeros y más dañinos ejemplos de oficio de LOTL ocurrió en 2020, cuando los actores de amenazas insertaron silenciosamente malware en una actualización rutinaria de Orion de SolarWinds.

Cuando los clientes lo instalaron, los atacantes obtuvieron acceso a algunas de las redes más sensibles del mundo, incluidas las agencias gubernamentales de EE. UU. y las compañías Fortune 500.

Mediante el uso de herramientas nativas de Windows e imitando la actividad normal de Orion, los atacantes evadieron la detección durante meses. El malware se activó solo en objetivos de alto valor. Una vez dentro, hubo una exfiltración generalizada de datos y cubrieron sus huellas.  

La Casa Blanca atribuyó más tarde el ataque a la inteligencia rusa.

Detener LOTL requiere ver lo que otros pasan por alto

Estos ataques no se basan en malware y abusan de las herramientas legítimas que ya están dentro de su red. Los equipos de seguridad necesitan visibilidad de cómo se comunican normalmente los sistemas para que puedan detectar comportamientos inusuales y poner en cuarentena las amenazas en tiempo real.  

Las defensas clave incluyen:

  • Detección de movimiento lateral: la visibilidad de la comunicación de sistema a sistema es esencial para descubrir a los atacantes que se mueven dentro de los entornos.
  • Detección de amenazas de comportamiento: los análisis que identifican el uso anormal de herramientas nativas ayudan a sacar a la luz la actividad que se integra en las operaciones normales.
  • Priorización de alertas: filtrar el comportamiento rutinario y resaltar patrones sospechosos es fundamental cuando los atacantes usan procesos confiables.
  • Contención rápida: la capacidad de aislar los activos comprometidos rápidamente, sin esperar firmas de malware, puede detener las técnicas LOTL antes de que se propaguen.

En un mundo donde los atacantes viven de la tierra, los defensores necesitan el poder de ver y controlar cómo se emplea su entorno.

Descubra cómo Illumio Insights detiene las amenazas LOTL antes de que se propaguen. Comienza tu Prueba gratis Hoy.

Temas relacionados

Ransomware Containment

Artículos relacionados

Cómo detener los ataques de Clop Ransomware con Illumio
Ransomware Containment

Cómo detener los ataques de Clop Ransomware con Illumio

Descubra cómo funciona la variante de ransomware Clop y cómo Illumio puede ayudar a su organización a contener el ataque con microsegmentación.

Read more
3 pasos para evitar que el ransomware se propague
Ransomware Containment

3 pasos para evitar que el ransomware se propague

Descubra los pasos para evitar que el ransomware se propague limitando las conexiones, ampliando la visibilidad y mejorando el tiempo de respuesta.

Read more
Desmitificando las técnicas de ransomware usando ensamblajes .Net: 5 técnicas principales
Ransomware Containment

Desmitificando las técnicas de ransomware usando ensamblajes .Net: 5 técnicas principales

Conozca 5 técnicas de ransomware empleando el marco de software .Net.

Read more
Por qué Medusa Ransomware es una amenaza creciente para la infraestructura crítica
Ransomware Containment

Por qué Medusa Ransomware es una amenaza creciente para la infraestructura crítica

Descubra cómo funciona Medusa ransomware y por qué es tan peligroso para la infraestructura crítica a nivel mundial.

Read more
Here Be Dragons: Las crecientes amenazas cibernéticas a la infraestructura crítica
Cyber Resilience

Here Be Dragons: Las crecientes amenazas cibernéticas a la infraestructura crítica

Descubra cómo aumentan los ciberataques a infraestructuras críticas en 2025 a medida que aumentan las tensiones globales y los grupos respaldados por el Estado se dirigen a los servicios públicos, la atención médica y más.

Read more
Dos brechas, un banco: lecciones de la crisis cibernética del ICBC
Cyber Resilience

Dos brechas, un banco: lecciones de la crisis cibernética del ICBC

Descubra las lecciones críticas de la crisis cibernética de ICBC, donde dos violaciones importantes, ransomware en los EE. UU. y un robo de datos en Londres, revelaron vulnerabilidades sistémicas en la banca global.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more