Buscar
 Newsletter
Revista IT Digital Magazine
IT Digital Magazine Última edición Descárgatela

LOTL: la nueva cara del ciberataque silencioso

  • Opinión
Ricard de la Torre, Bitdefender

En ciberseguridad, los ataques más peligrosos no siempre son los más ruidosos. Mientras muchas organizaciones invierten en defenderse de malware y campañas visibles, una técnica discreta gana terreno: Living Off the Land (LOTL).

Por Richard de la Torre, technical product marketing manager en Bitdefender

 

Esta estrategia, basada en usar las propias herramientas del sistema para fines maliciosos, está cambiando las reglas del juego.

 

Qué significa “Living Off the Land”

A diferencia de un ataque tradicional que introduce software externo, LOTL consiste en aprovechar utilidades ya presentes en el sistema operativo o en la red corporativa para ejecutar acciones maliciosas: movimiento lateral, persistencia o exfiltración de datos, entre otras. Al emplear binarios de confianza y procesos legítimos, los atacantes se mimetizan con la actividad normal y evitan levantar alertas.

 

Un dato que preocupa: el 84 % de los ataques graves incorporan LOTL

Un informe de Bitdefender que analiza 700.000 incidentes de seguridad revela que el 84 % de los ataques de alta gravedad incorporan técnicas LOTL. Esto confirma que no se trata de tácticas reservadas a actores muy sofisticados, sino que son ya la norma en el cibercrimen avanzado.


El problema para los equipos de seguridad es doble:

  • Estas técnicas esquivan controles basados en firmas o listas negras.
  • Bloquear las herramientas legítimas puede paralizar procesos críticos, creando un delicado equilibrio entre seguridad y operatividad.

 

Las utilidades más explotadas

Entre las herramientas más abusadas por los atacantes destacan:

  • netsh.exe: administración de redes y firewall.
  • PowerShell.exe: shell y lenguaje de automatización muy potente.
  • reg.exe: manipulación del registro de Windows.
  • csc.exe: compilador C# incluido en el propio sistema.
  • rundll32.exe: carga y ejecución de funciones en DLL.

Otras, como mshta.exepwsh.exebitsadmin.exemsbuild.exe y ngen.exe, también figuran en la lista. Todas son herramientas útiles para administradores y desarrolladores... y perfectas para que un atacante pase desapercibido.

 

De bloquear a entender: un nuevo enfoque defensivo

Bitdefender propone un giro estratégico: en lugar de prohibir estas herramientas críticas, endurecer proactivamente los sistemas y reducir la superficie de ataque. La tecnología PHASR (Proactive Hardening and Attack Surface Reduction) es un ejemplo de este enfoque.

PHASR monitoriza las acciones específicas de cada binario legítimo, permitiendo los usos habituales y bloqueando los comportamientos sospechosos. Por ejemplo, deja que PowerShell ejecute scripts comunes, pero impide comandos cifrados o cambios críticos en el sistema. De igual modo, distingue entre un uso legítimo de WMIC y un movimiento lateral malicioso.

Esta defensa contextual, informada por inteligencia de amenazas y patrones de uso real, bloquea automáticamente acciones anómalas sin interrumpir la operativa normal.

 

Una defensa acorde a la amenaza

Los ataques LOTL han dejado de ser anecdóticos: son discretos, difíciles de detectar y omnipresentes. Protegerse frente a ellos exige soluciones proactivas y granulares, capaces de diferenciar el uso legítimo del abuso malicioso.
Las organizaciones que adopten este tipo de defensas no solo elevarán su resiliencia ante las amenazas actuales, sino que estarán preparadas para el futuro de la ciberseguridad, en el que la discreción del atacante es la nueva norma.

TAGS

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO