La elevación de privilegios es una técnica mediante la cual un usuario o proceso obtiene permisos superiores a los autorizados, normalmente con el objetivo de ejecutar acciones administrativas. Los atacantes la usan para tomar control del sistema, mantener persistencia y mover lateralmente dentro de la red corporativa.

Definición de elevación de privilegios

La elevación de privilegios ocurre cuando se rompe el modelo de control de acceso y se accede a permisos más altos. Existen dos formas principales:

• Vertical: pasar de usuario estándar a root o Administrador.
• Horizontal: cambiar a otra cuenta con privilegios similares para acceder a recursos distintos.

Puede ser local (desde un host comprometido) o remota (aprovechando servicios expuestos). En entornos Windows, Linux y cloud, el objetivo es el mismo: ampliar capacidades para ejecutar comandos críticos, desactivar defensas y extraer credenciales.

Tipos y técnicas de elevación de privilegios

1. Vulnerabilidades del sistema: explotación de fallos en kernel, controladores o servicios con privilegios elevados (CVE conocidos) para ejecutar código como SYSTEM o root.
2. Configuraciones débiles: permisos inseguros en servicios, carpetas o claves de registro; sudoers demasiado amplio; binarios con SUID/SGID; credenciales en scripts o tareas programadas.
3. Secuestro de carga de librerías: DLL hijacking y abuso de PATH para cargar librerías maliciosas con privilegios elevados.
4. Suplantación de tokens y bypass de UAC en Windows: uso indebido de tokens de acceso o técnicas para ejecutar como Administrador sin consentimiento.
5. Robo y abuso de credenciales: volcado de LSASS, Pass-the-Hash, Pass-the-Ticket, Kerberoasting para obtener privilegios de dominio.
6. Cloud y contenedores: políticas IAM laxas, escalada de roles, escape de contenedores y metadatos de instancia expuestos.

Cómo detectarla y prevenirla

• Aplica el principio de mínimo privilegio y revisa roles, grupos y sudoers de forma continua.
• Endurece sistemas: parches frecuentes, deshabilita SUID innecesarios, firma y allowlisting de binarios, UAC estricto.
• Supervisa telemetría: EDR, Sysmon y auditorías de eventos sensibles (creación de servicios, cambios de permisos, token abuse).
• Protege credenciales: LSASS protegido, Credential Guard, PAM y bóvedas; MFA y JIT admin para accesos privilegiados.
• Segmenta la red y usa control de aplicaciones para limitar el movimiento lateral y la ejecución no autorizada.
• En cloud, aplica RBAC mínimo, condiciones en políticas, límites de permisos y revisiones de roles heredados.

Conclusión

La elevación de privilegios es un paso crítico en la cadena de ataque. Reducir su impacto exige combinar hardening, gestión de identidades, monitoreo continuo y respuesta rápida ante señales de abuso.

Relacionado

• Principio de mínimo privilegio
• Gestión de identidades y accesos (IAM)