Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Guía de detección y prevención de ataques Living Off the Land (LOTL)
Cybersecurity 101/Seguridad de puntos finales/Living Off the Land (LOTL)

Guía de detección y prevención de ataques Living Off the Land (LOTL)

Los ataques Living Off the Land (LOTL) utilizan herramientas nativas del sistema operativo como PowerShell y WMI para evadir los controles de seguridad. Esta guía cubre las etapas del ataque, campañas reales y estrategias de defensa.

CS-101_Endpoint.svg
Tabla de contenidos
¿Qué son los ataques Living Off the Land (LOTL)?
Técnicas y herramientas detrás de los ataques Living Off the Land
LOLBins comunes y sus usos maliciosos
Cómo funcionan los ataques Living Off the Land
Etapa 1: Acceso inicial
Etapa 2: Ejecución
Etapa 3: Descubrimiento y acceso a credenciales
Etapa 4: Movimiento lateral
Etapa 5: Persistencia e impacto
Por qué tienen éxito los ataques Living Off the Land
Campañas LOTL en el mundo real: actores estatales y operadores de ransomware
Desafíos para detener los ataques Living Off the Land
Cómo detectar ataques Living Off the Land
Señales de comportamiento a monitorear
Fuentes de registro relevantes
Errores comunes en la defensa contra Living Off the Land
Cómo prevenir ataques Living Off the Land
Puntos clave

Entradas relacionadas

  • ¿Qué es el sandboxing en ciberseguridad? Detección de amenazas
  • EDR frente a CDR: diferencias en la detección y la respuesta
  • XDR frente a SIEM frente a SOAR: comprenda las diferencias
  • Política eficaz de seguridad de los puntos finales en 2025
Autor: SentinelOne
Actualizado: May 8, 2026

¿Qué son los ataques Living Off the Land (LOTL)?

Un atacante permanece dentro de su red durante un período prolongado. Sin malware personalizado. Sin ejecutables sospechosos. Cada acción utiliza herramientas que su sistema operativo incluye de fábrica. Esta es la realidad documentada de Volt Typhoon, un actor de amenazas patrocinado por el estado de la RPC que mantuvo acceso a infraestructuras críticas de EE. UU., incluyendo comunicaciones, energía, transporte y sistemas de agua, utilizando herramientas nativas del sistema y credenciales válidas, según una alerta de CISA.

Living off the land, o LOTL, es una clase de comportamiento adversario que abusa de herramientas y procesos nativos ya presentes en un sistema objetivo. Los atacantes utilizan estos binarios confiables y preinstalados, conocidos como Living Off the Land Binaries o LOLBins, para mezclarse con la actividad normal del sistema, operar de forma discreta y evitar activar controles de seguridad. La guía de CISA publicada en marzo de 2025 define este enfoque como uno que permite a los actores de amenazas "evitar invertir en el desarrollo y despliegue de herramientas personalizadas" mientras reduce la probabilidad de ser detectados o bloqueados.

LOTL opera en entornos Windows, Linux, macOS, cloud e híbridos. En macOS, el concepto equivalente se denomina "Living Off the Orchard", o LOOBins. La técnica abarca todo el ciclo de vida del ataque, desde la ejecución inicial hasta la persistencia, movimiento lateral, acceso a credenciales y exfiltración de datos. Para los defensores, eso significa que la visibilidad del comportamiento y el control estricto sobre las herramientas confiables importan más que las firmas para archivos conocidos como maliciosos.

En lugar de escribir malware que las herramientas de seguridad puedan identificar y poner en cuarentena por firmas, los atacantes utilizan PowerShell, WMI, certutil y otras herramientas que los equipos de TI ejecutan a diario. Su antivirus las confía. Sus listas de permitidos las aprueban. Su SIEM las espera. Los propios equipos rojos de CISA "utilizan frecuentemente técnicas LOTL de conocimiento público para ejecución, persistencia, movimiento lateral, descubrimiento y acceso a credenciales, siendo rara vez detectada su actividad por los defensores de red", según la guía 2025. Para entender por qué esto funciona tan bien, comience por las técnicas y herramientas específicas en las que confían los atacantes.

Técnicas y herramientas detrás de los ataques Living Off the Land

Los ataques LOTL comparten un conjunto común de componentes básicos. Comprender estos componentes ayuda a diferenciar la administración rutinaria de una intrusión activa.

  • Living Off the Land Binaries (LOLBins): Son ejecutables nativos firmados por el sistema operativo que los atacantes reutilizan. El Proyecto LOLBAS, referenciado directamente por CISA, cataloga los LOLBins de Windows, mientras que GTFOBins cubre Unix/Linux y LOOBins cubre macOS.
  • Credenciales válidas: LOTL rara vez funciona sin cuentas robadas o comprometidas. Volt Typhoon utilizó credenciales de administrador de dominio comprometidas para movimiento lateral por RDP en redes víctimas.
  • Ejecución sin archivos: Las cargas útiles se ejecutan en memoria o a través de software existente sin escribir archivos ejecutables en disco. Esto ayuda a los atacantes a evitar las firmas de antivirus. Una técnica documentada por SANS utiliza Get-Clipboard de PowerShell combinado con Invoke-Expression para ejecutar código que evita IOC.
  • Ejecución por proxy de binarios del sistema: Clasificado bajo MITRE T1218, esto implica usar binarios confiables y firmados para ejecutar cargas útiles maliciosas. El binario es legítimo, a menudo firmado por Microsoft, pero la carga útil que lanza no lo es.
  • Intérpretes de comandos y scripts: PowerShell (T1059.001), Windows Command Shell (T1059.003) y shells Unix (T1059.004) otorgan a los atacantes capacidades completas de scripting mediante herramientas de las que depende su empresa.

Cada una de estas técnicas se centra en un pequeño conjunto de binarios que aparecen campaña tras campaña.

LOLBins comunes y sus usos maliciosos

La siguiente tabla relaciona los LOLBins más frecuentemente abusados con su función prevista y cómo los atacantes los reutilizan.

BinarioPropósito legítimoAbuso por el atacanteMITRE ID
PowerShellAdministración del sistema, automatizaciónEjecución de código en memoria, robo de credenciales

T1059.001

WMI / WMICGestión remota de sistemas, inventarioEjecución remota de procesos, persistencia

T1047

certutil.exeGestión de certificadosDescarga de archivos, codificación/decodificación Base64

T1105

rundll32.exeCarga de funciones DLLEjecución por proxy de DLLs maliciosas

T1218.011

mshta.exeEjecución de aplicaciones HTMLEjecutar cargas HTA maliciosas desde URLs remotas

T1218.005

netsh.exeConfiguración de redRedirección de puertos, modificación de reglas de firewall

T1090.001

Estos componentes se combinan para crear cadenas de ataque difíciles de detectar si sus herramientas dependen principalmente de firmas conocidas como maliciosas o reputación de binarios. El siguiente paso es entender cómo los atacantes los encadenan.

Cómo funcionan los ataques Living Off the Land

Una cadena de ataque LOTL típica se desarrolla en etapas, cada una utilizando herramientas nativas que pertenecen al sistema.

Etapa 1: Acceso inicial

El atacante obtiene acceso mediante un correo de phishing, vulnerabilidad explotada o credencial comprometida. Volt Typhoon explotó dispositivos de red expuestos al público. La campaña "Nearest Neighbor" de APT28 utilizó Wi-Fi cerca del objetivo para obtener acceso inicial.

Etapa 2: Ejecución

En lugar de desplegar un binario personalizado, el atacante invoca intérpretes nativos. PowerShell ejecuta código en memoria. WMI lanza procesos de forma remota. La operación de ransomware Black Basta utilizó WMI vía Cobalt Strike para desplegar cargas en redes víctimas, encadenando herramientas nativas para ejecución lateral.

Etapa 3: Descubrimiento y acceso a credenciales

Herramientas como ntdsutil extraen bases de datos de Active Directory. CISA documentó a Volt Typhoon ejecutando el comando ntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro" para volcar credenciales. PowerShell consulta registros de eventos. net localgroup administrators mapea los límites de privilegios.

Etapa 4: Movimiento lateral

Las sesiones RDP utilizan credenciales de administrador válidas. SMB transfiere archivos entre hosts. netsh crea reglas de proxy de puertos para redirigir tráfico. Cada paso utiliza una herramienta que su equipo de TI podría ejecutar por una razón legítima.

Etapa 5: Persistencia e impacto

Tareas programadas, suscripciones WMI y modificaciones de registro mantienen el acceso. En operaciones de ransomware, el propio cifrador puede ser la única herramienta no nativa en la cadena, desplegada solo después de que el atacante ha utilizado LOLBins para mapear, acceder y preparar cada objetivo.

Todo el proceso se mapea a múltiples tácticas ATT&CK, desde ejecución hasta evasión de defensas, persistencia, acceso a credenciales, comando y control, y movimiento lateral. Dividir LOTL en etapas deja claro por qué los controles de seguridad lo pasan por alto tan a menudo: la verdadera ventaja del atacante proviene de cómo su entorno está construido para confiar en estas herramientas.

Por qué tienen éxito los ataques Living Off the Land

Los ataques LOTL tienen éxito porque explotan supuestos arquitectónicos integrados en su pila de seguridad y flujos operativos.

  • Confiables por diseño. Los LOLBins tienen hashes de archivo válidos y firmas digitales emitidas por el proveedor del sistema operativo. CISA afirma que estos "atributos confiables pueden inducir a error a los defensores de red" haciéndoles pensar que son seguros para todos los usuarios.
  • Invisibles para las firmas. Un estudio revisado por pares en Cybersecurity documenta una evasión específica: los atacantes insertan caracteres especiales en el código de línea de comandos que el intérprete de Windows elimina en tiempo de ejecución, haciendo que el comando ejecutado difiera del que evalúan las reglas.
  • Ocultos en el registro por defecto. CISA confirma que las técnicas LOTL deliberadamente "limitan la actividad en los registros". Si ejecuta la configuración de registro predeterminada de Windows, carece de argumentos de línea de comandos, contenido de bloques de script de PowerShell y cadenas de ascendencia de procesos.
  • Amplificados por fatiga de alertas. Las reglas amplias para LOLBins generan un alto volumen de falsos positivos. La alerta de CISA sobre objetivos de la GRU rusa advierte que "se necesitan más heurísticas" para la búsqueda efectiva de binarios LOTL y evitar verse abrumado por falsos positivos. Cuando los analistas dejan de confiar en las alertas, los operadores LOTL ganan más margen de maniobra.
  • Prolongados por el dwell time. Volt Typhoon persistió durante un período prolongado. Cada día sin identificación es otro día para reconocimiento, robo de credenciales y preposicionamiento.

Estas condiciones hacen que LOTL sea difícil de detectar incluso en entornos maduros. Las campañas reales muestran cómo estas ventajas se manifiestan en la práctica.

Campañas LOTL en el mundo real: actores estatales y operadores de ransomware

Comprender cómo los adversarios reales encadenan LOLBins hace que la amenaza sea concreta.

  • Volt Typhoon (RPC) mantuvo acceso a sistemas de comunicaciones, energía, transporte y agua de EE. UU. durante un período prolongado. Las herramientas documentadas incluyen wmic, ntdsutil, netsh, PowerShell y RDP, todas documentadas en el perfil de Volt Typhoon.
  • APT28 / Fancy Bear (Rusia/GRU) ejecutó la campaña Nearest Neighbor durante varios años, utilizando reg save para volcar hives SAM, vssadmin para extracción de NTDS.dit, netsh portproxy para proxies internos y PowerShell para acceso a credenciales y compresión de datos antes de la exfiltración.
  • FIN7 utiliza PowerShell con ofuscación personalizada, POWERTRASH, una PowerSploit modificada, rundll32.exe para ejecución de DLL y cuentas válidas según el perfil de FIN7 en objetivos financieros.

El patrón en estas campañas es consistente: herramientas confiables, credenciales válidas y código personalizado mínimo. Ese patrón también revela los desafíos específicos que enfrentan los defensores.

Desafíos para detener los ataques Living Off the Land

Incluso las organizaciones con programas de seguridad maduros luchan contra LOTL porque las técnicas explotan brechas que las herramientas tradicionales no fueron diseñadas para abordar.

  • Colapso de contexto a escala. El mismo comando PowerShell puede representar administración rutinaria o una intrusión activa. En entornos ICS/OT, SANS documenta la forma extrema: los adversarios cambiaron HMIs y reprogramaron controladores usando flujos de trabajo estándar de ingeniería.
  • Fallos estructurales en SIEM. Los SIEM fallan ante LOTL por brechas en la cobertura de registros, como la ausencia de argumentos de línea de comandos en configuraciones predeterminadas, fragilidad de reglas, como coincidencia de patrones estáticos frente a comportamientos que no coinciden con ningún patrón malicioso conocido, y parálisis por falsos positivos.
  • Brechas de visibilidad en cloud e híbridos. SANS identifica que los atacantes ahora abusan de herramientas cloud para obtener privilegios administrativos y moverse lateralmente entre entornos cloud. Si sus defensas solo cubren endpoints Windows, no son suficientes.
  • Convergencia entre actores estatales y ransomware. El mapeo cruzado de MITRE ATT&CK muestra que actores estatales, incluyendo Volt Typhoon y APT28, y operadores de ransomware, incluyendo Black Basta y FIN7, ahora usan técnicas casi idénticas: PowerShell, RDP, WMI, ntdsutil y ejecución por proxy de binarios del sistema. No puede aislar sus defensas por tipo de actor de amenaza.

Estos desafíos impactan directamente en las operaciones diarias. Superarlos comienza por saber cómo se ve la actividad LOTL en su telemetría.

Cómo detectar ataques Living Off the Land

La actividad LOTL carece de indicadores tradicionales de compromiso. La detección requiere cambiar el enfoque de qué se está ejecutando a cómo y por qué se está ejecutando, utilizando contexto de comportamiento en lugar de reputación de archivos.

Señales de comportamiento a monitorear

La guía conjunta 2025 de CISA recomienda aplicar heurísticas como hora del día, rol del usuario y ascendencia de procesos para separar el uso malicioso del rutinario de LOLBins. Las señales de alto valor incluyen:

  • PowerShell o cmd.exe lanzados por aplicaciones de Office (Word, Excel, Outlook)
  • ntdsutil o vssadmin ejecutados por cuentas no administrativas
  • certutil utilizado para descargas de archivos en lugar de gestión de certificados
  • netsh creando reglas de proxy de puertos o modificando configuraciones de firewall fuera de ventanas de cambio
  • rundll32.exe cargando DLLs desde directorios temporales o de escritura de usuario
  • Creación de tareas programadas o suscripciones WMI fuera de ventanas de mantenimiento

SANS aboga por un enfoque de línea base flexible usando expresiones regulares de PowerShell aplicadas a campos de registros de eventos, refinando reglas de forma iterativa a medida que aprende los patrones normales de su entorno. Estas señales solo emergen si la telemetría adecuada alimenta su análisis.

Fuentes de registro relevantes

Las configuraciones de registro predeterminadas omiten la mayoría de la actividad LOTL. CISA prioriza habilitar lo siguiente:

  • Registro de ScriptBlock y Módulos de PowerShell
  • Auditoría de creación de procesos con línea de comandos (ID de evento 4688 con argumentos)
  • Sysmon para creación de procesos, conexiones de red y eventos de archivos
  • Registro de actividad WMI (IDs de evento 5857–5861)

Agregue estos registros en una ubicación centralizada y de solo escritura, y aplique análisis de comportamiento de usuarios y entidades (UEBA) para detectar anomalías frente a líneas base establecidas.

Incluso con la telemetría adecuada, los equipos suelen cometer errores evitables que debilitan su postura de detección.

Errores comunes en la defensa contra Living Off the Land

Los equipos de seguridad que reconocen la amenaza LOTL aún debilitan sus propias defensas por brechas operativas recurrentes.

  1. Políticas de permitidos globales para LOLBins. Confiar en que las herramientas legítimas de TI son seguras para permitir globalmente amplía la superficie de ataque. La guía 2025 de CISA advierte explícitamente contra esto.
  2. Ejecutar configuraciones de registro predeterminadas. Si no ha habilitado el registro de ScriptBlock y Módulos de PowerShell, auditoría de procesos con línea de comandos y registro de actividad WMI, carece de la telemetría que requiere el análisis LOTL.
  3. Tratar la ausencia de alertas como ausencia de compromiso. El silencio no equivale a seguridad.
  4. Aplicar playbooks de respuesta a incidentes de TI en ICS/OT. SANS advierte que los controles de TI pueden causar daño cuando se aplican directamente en entornos industriales.
  5. Sustituir herramientas por capacidad del analista. Las herramientas complementan pero no reemplazan la habilidad del analista para evaluar el contexto LOTL. Construir reglas sin invertir en threat hunting solo genera ruido, no defensa.

Evitar estos errores comienza con controles que mejoran la visibilidad, reducen el abuso de confianza y brindan más contexto a los analistas.

Cómo prevenir ataques Living Off the Land

La prevención se centra en reducir la superficie de ataque que LOTL explota: acceso demasiado permisivo a herramientas, autenticación débil y restricciones insuficientes en entornos de scripting.

  • Habilite registro centralizado y detallado. La máxima prioridad de CISA es un registro amplio agregado en una ubicación fuera de banda y de solo escritura. Sin telemetría detallada que cubra PowerShell, creación de procesos y actividad WMI, el análisis de comportamiento no tiene con qué trabajar.
  • Implemente listas de permitidos de aplicaciones. Utilice AppLocker o Windows Defender Application Control, WDAC, para restringir la ejecución de LOLBins por usuario, ruta y editor. Bloquee o restrinja mshta.exe, psexec.exe, certutil.exe, wmic.exe y rundll32.exe excepto para cuentas administrativas aprobadas. Comience en modo auditoría antes de aplicar.
  • Habilite PowerShell Constrained Language Mode. CLM restringe capacidades avanzadas de scripting, bloqueando métodos .NET como [Convert]::FromBase64String() mientras preserva la funcionalidad básica de cmdlets. Combínelo con la política de ejecución AllSigned y Just Enough Administration, o JEA.
  • Implemente MFA resistente a phishing. CISA lo enumera como una prioridad inmediata para defenderse de LOTL. Exija MFA específicamente para RDP, VPN y acceso a software de administración y monitoreo remoto (RMM) según la guía RMM de CISA.
  • Adopte arquitectura Zero Trust. CISA y NSA recomiendan firmemente Zero Trust como estrategia a largo plazo. LOTL tiene éxito porque las defensas perimetrales confían implícitamente en herramientas internas y sesiones autenticadas. Zero Trust elimina esa confianza implícita mediante microsegmentación, acceso de mínimo privilegio y verificación continua.

Estas prácticas elevan el costo de LOTL para un atacante. Para aplicarlas a velocidad de máquina, necesita una plataforma basada en contexto de comportamiento.

Proteja su puesto final

Descubra cómo la seguridad para endpoints basada en IA de SentinelOne puede ayudarle a prevenir, detectar y responder a las ciberamenazas en tiempo real.

Demostración

Puntos clave

Los ataques Living off the Land abusan de herramientas nativas y confiables del sistema para evadir defensas basadas en firmas. Actores estatales y operadores de ransomware ahora emplean técnicas LOTL similares en entornos Windows, Linux, cloud y OT. 

Para detenerlos, necesita registro detallado, líneas base de comportamiento, control de aplicaciones, arquitectura Zero Trust y  IA de ciberseguridad basada en comportamiento que distinga la intención maliciosa del uso legítimo de herramientas. Plataformas que correlacionan cadenas completas de ataque de forma autónoma, como Singularity, reemplazan la carga de investigación manual que LOTL explota.

Preguntas frecuentes

Un ataque living off the land es una clase de comportamiento adversario en la que los atacantes utilizan herramientas nativas, preinstaladas en el sistema y binarios confiables, en lugar de malware personalizado, para lograr sus objetivos. 

Al apoyarse en herramientas como PowerShell, WMI y certutil que ya están presentes y aprobadas en el sistema objetivo, los atacantes se camuflan con la actividad administrativa normal y evitan activar controles de seguridad basados en firmas.

LOTL se centra en la fuente de las herramientas, abusando de binarios legítimos y preinstalados del sistema. El malware sin archivos se enfoca en el método de ejecución, evitando escribir archivos en el disco. A menudo se superponen: un atacante puede ejecutar una carga útil de PowerShell sin archivos utilizando un binario nativo del sistema operativo. 

Sin embargo, los ataques sin archivos pueden utilizar herramientas personalizadas, y LOTL puede implicar la escritura de archivos en el disco a través de binarios confiables y firmados como los categorizados bajo MITRE ATT&CK T1218.

PowerShell (T1059.001), WMI/WMIC (T1047), rundll32.exe (T1218.011), certutil.exe (T1105) y cmd.exe (T1059.003) aparecen con frecuencia en campañas documentadas. Los atacantes prefieren estos binarios porque vienen preinstalados, están firmados digitalmente por el proveedor del sistema operativo y son capaces de ejecutar código, descargar archivos o iniciar procesos sin generar alertas. 

El Proyecto LOLBAS mantiene el catálogo autorizado para Windows, mientras que GTFOBins cubre Linux y LOOBins cubre macOS.

El antivirus heredado que depende de firmas no puede, porque los LOLBins tienen hashes y firmas digitales válidas del proveedor del sistema operativo. La protección de endpoints basada en IA de comportamiento sí puede, al rastrear relaciones de procesos, argumentos de línea de comandos y desviaciones de las líneas base establecidas en tiempo real. 

Su plataforma debe correlacionar cadenas de procesos entre el endpoint, sistemas de identidad y la telemetría de red para detectar comportamientos LOTL. Sin esa visibilidad entre dominios, los eventos LOTL individuales parecen benignos.

Comience con el contexto de comportamiento, no con los nombres de los binarios. Busque PowerShell iniciado desde aplicaciones de Office, ejecución de ntdsutil por cuentas que no son de administrador o certutil utilizado para descargas de archivos. CISA recomienda usar heurísticas adicionales, como hora del día, rol del usuario y ascendencia del proceso, para filtrar los resultados. 

SANS aboga por un enfoque de línea base flexible utilizando expresiones regulares aplicadas a los campos de los registros de eventos. Refine las reglas de manera iterativa a medida que conozca los patrones normales de su entorno.

El malware personalizado deja artefactos únicos que los equipos de inteligencia de amenazas pueden identificar, atribuir y para los que pueden crear firmas. LOTL reduce ese riesgo porque cada comando utiliza una herramienta que pertenece al sistema. 

CISA confirma que los actores de la RPC utilizan LOTL específicamente para "camuflarse con las actividades normales del sistema y la red, evitar la identificación por las defensas de red y limitar la cantidad de actividad que se captura en las configuraciones de registro comunes."

Descubre más sobre Seguridad de puntos finales

MSSP frente a MDR: ¿cuál elegir?Seguridad de puntos finales

MSSP frente a MDR: ¿cuál elegir?

En lo que respecta a la ciberseguridad, MSSP y MDR son dos actores clave. Pero, ¿cuál es la diferencia entre ellos?

Seguir leyendo
Seguridad de los puntos finales para empresas: descripción general rápidaSeguridad de puntos finales

Seguridad de los puntos finales para empresas: descripción general rápida

Descubra los fundamentos de la seguridad de los puntos finales para empresas. Aprenda a proteger los dispositivos corporativos contra las amenazas cibernéticas, garantizar la protección de los datos y mantener la seguridad de la red con soluciones prácticas.

Seguir leyendo
¿Qué es un punto final en ciberseguridad?Seguridad de puntos finales

¿Qué es un punto final en ciberseguridad?

Los puntos finales son puertas de acceso a datos confidenciales, lo que los convierte en objetivos principales de los ciberataques. Una seguridad eficaz de los puntos finales implica herramientas como antivirus, cortafuegos y cifrado para detectar y mitigar las amenazas.

Seguir leyendo
5 proveedores de protección de endpoints en 2025Seguridad de puntos finales

5 proveedores de protección de endpoints en 2025

Descubra los 5 proveedores de protección de terminales para 2025. Vea cómo combaten los ataques con IA, supervisión en tiempo real y plataformas unificadas. Conozca los consejos de selección y las ventajas clave para cada sector.

Seguir leyendo
Seguridad para puntos finales que detiene las amenazas a mayor velocidad y escala de lo humanamente posible.

Seguridad para puntos finales que detiene las amenazas a mayor velocidad y escala de lo humanamente posible.

Una plataforma inteligente para una visibilidad superior y prevención, detección y respuesta en toda la empresa a través de su superficie de ataque, desde puntos finales y servidores hasta dispositivos móviles.

Proteger el punto final
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español