+34 916 33 17 79

Aula Virtual

Técnicas LotL en ciberseguridad: Cuando el atacante no necesita malware

| Última modificación: 11 de junio de 2025 | Tiempo de Lectura: 3 minutos

En uno de mis primeros análisis de incidentes, me encontré con algo desconcertante: no había malware. Ningún archivo sospechoso, ningún ejecutable anómalo. Pero el sistema había sido claramente vulnerado. La explicación era simple y aterradora: se trataba de un ataque con técnicas LotL (Living off the Land).

Según el CrowdStrike Global Threat Report 2025, las técnicas LotL han alcanzado un nivel de sofisticación tal que representan uno de los principales vectores para compromisos silenciosos y persistentes en entornos corporativos.

¿Qué son las técnicas LotL en ciberseguridad?

“Living off the Land” significa que el atacante usa herramientas, comandos o binarios ya presentes en el sistema para ejecutar acciones maliciosas. Esto le permite moverse lateralmente, exfiltrar datos o escalar privilegios sin instalar software externo, evitando así la mayoría de las soluciones antimalware tradicionales.

técnicas LotL en ciberseguridad

5 técnicas LotL comunes en ciberseguridad actual

1. Uso de PowerShell

PowerShell es una de las herramientas más potentes de administración en Windows… y también una de las más explotadas por atacantes. Se utiliza para ejecutar scripts maliciosos en memoria, descargar payloads o establecer canales de comunicación con C2.

2. Abuso de WMI (Windows Management Instrumentation)

WMI permite recopilar información del sistema, ejecutar procesos y crear persistencia sin levantar sospechas. Los atacantes la usan para ejecutar comandos remotamente sin necesidad de archivos visibles.

3. Uso de herramientas administrativas legítimas

Herramientas como PsExec, bitsadmin, netsh o task scheduler son comúnmente utilizadas por administradores. Los atacantes las aprovechan para ejecutar acciones bajo cobertura de “actividad normal”.

4. Scripting con VBScript o Batch

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Muchos sistemas aún permiten el uso de scripts antiguos. Los atacantes los utilizan para automatizar acciones de reconocimiento, carga de DLLs maliciosas o extracción de información.

5. Inyección en procesos legítimos

Una técnica aún más avanzada: en vez de ejecutar su propio proceso, el atacante inyecta código malicioso en procesos como explorer.exe o svchost.exe, ocultando su actividad dentro de procesos del sistema.

¿Por qué son tan efectivas las técnicas LotL?

  • No requieren malware: evaden muchas soluciones antivirus.
  • Parecen tareas administrativas normales: difícil distinguir entre un comando legítimo y uno malicioso.
  • Alta flexibilidad: pueden adaptarse a distintas configuraciones del sistema.
  • Persistencia sin instalación: permiten mantener acceso sin dejar rastros evidentes.

¿Cómo defenderse de técnicas LotL?

  • Activar la monitorización de comportamiento, no solo detección por firmas.
  • Registrar y auditar el uso de PowerShell, WMI y herramientas administrativas.
  • Aplicar restricciones con AppLocker o políticas de ejecución.
  • Usar EDRs con capacidades de detección de amenazas sin archivo.
  • Capacitar al equipo de TI y redacción de alertas proactivas.

FAQs sobre técnicas LotL en ciberseguridad

¿Son las técnicas LotL exclusivas de Windows?

No. Aunque muchas se aprovechan de entornos Windows, también existen variantes en Linux y macOS, usando comandos del sistema o scripts bash.

¿Cómo detectarlas si no hay malware?

Es necesario monitorear el comportamiento de los procesos, comandos inusuales, conexiones anómalas o cadenas de ejecución atípicas.

¿Las usan los grupos APT?

Sí. Las APT usan técnicas LotL para moverse sigilosamente dentro de la red durante largos periodos de tiempo sin ser detectadas.

¿Puede una empresa pequeña ser víctima de estas técnicas?

Por supuesto. La falta de herramientas de detección avanzada y de auditoría hace que las PYMEs sean objetivos fáciles para este tipo de ataques.

Conclusión

Las técnicas LotL en ciberseguridad han redefinido lo que significa un ataque. Ya no necesitas un malware para comprometer un sistema: basta con conocer bien las herramientas que ya están instaladas. Por eso, entender cómo funcionan y cómo defenderse de ellas es esencial en cualquier estrategia moderna de seguridad.

Aprende a detectar ataques invisibles y defender tu infraestructura como un profesional

Con el Bootcamp de Ciberseguridad, dominarás las técnicas de defensa activa y detección avanzada que necesitas para enfrentar amenazas como las LotL. Porque el enemigo no siempre instala malware… a veces, solo camina por tu casa. KeepHunting, KeepCoding.

Arquitecto de 

Ciberseguridad

¡PONTE A PRUEBA!

¿Te gusta la ciberseguridad?

¿CREES QUE PUEDES DEDICARTE A ELLO?

Sueldos de hasta 80K | Más de 40.000 vacantes | Empleabilidad del 100%

arrow-icon-size3 🕵Haz el test y descubre si sirves para la Ciberseguridad🕵
KeepCoding Bootcamps
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.