Blog WatchGuard

Go to 

El 85% de los ataques aprovecha RDP para el movimiento lateral

Descubre por qué el movimiento lateral es difícil de detectar y cómo identificarlo antes de que sea demasiado tarde.

El ransomware está evolucionando hacia modelos de extorsión de datos más rápidos y dirigidos, en los que el cifrado ya no es el objetivo principal. Según las predicciones de ciberseguridad de WatchGuard para 2026, el cripto-ransomware perderá terreno frente a modelos impulsados por la exfiltración de datos y la presión reputacional, reduciendo la barrera técnica para los actores de amenazas y aumentando, al mismo tiempo, la velocidad de los ataques.

Este cambio tiene una consecuencia directa. El foco del ataque se ha desplazado desde la brecha inicial hacia el movimiento lateral dentro de la red. En este contexto, herramientas internas y de confianza, como el Protocolo de Escritorio Remoto (RDP), se han convertido en una de las tácticas más eficaces para el movimiento lateral.

Los datos de Google Threat Intelligence (GTIG) muestran que RDP está presente en el 85% de este tipo de ataques, lo que evidencia una tendencia clara: los atacantes están dejando de lado el malware complejo para apostar por técnicas de living off the land, utilizando herramientas legítimas para pasar desapercibidos.

Ya no se trata solo de cómo entran los atacantes, sino de qué hacen una vez que están dentro. 

RDP: un vector de amenaza sigiloso

RDP es una herramienta fiable y ampliamente utilizada por administradores y MSP para la gestión remota de dispositivos. Precisamente por eso se ha convertido en uno de los vectores de ataque preferidos: permite a los atacantes camuflarse entre el tráfico habitual de la empresa, pasando a menudo desapercibidos durante largos periodos de tiempo, en los que pueden causar daños significativos.

Los ciberdelincuentes explotan RDP para:

  • Escalar privilegios utilizando credenciales comprometidas.  
  • Moverse entre sistemas sin ser detectados.  
  • Preparar el terreno para el robo de datos o el lanzamiento de ataques sin activar alertas evidentes.

Para los MSP, el reto es aún mayor. Deben ser capaces de diferenciar entre sesiones legítimas e intenciones maliciosas en una amplia variedad de entornos, muchos de los cuales incluyen RDP como una constante en sus operaciones diarias. 

El verdadero reto: detectar el peligro en lo cotidiano

Para los MSP que gestionan innumerables endpoints y clientes, la mayoría de las acciones diarias parecen rutinarias: inicios de sesión remotos, transferencias de datos y cambios de configuración. Es precisamente esta “normalidad” la que buscan los ciberdelincuentes y la que hace que la detección sea más difícil. Si consiguen camuflarse dentro de procesos legítimos, pueden moverse sin ser detectados por las redes y causar daños significativos.

Esto plantea un nuevo desafío: distinguir las sesiones legítimas de los comportamientos no autorizados en un entorno en el que ambos parecen prácticamente idénticos. Este proceso puede resultar abrumador, especialmente para los MSP que ya están saturados de alertas, lo que limita su capacidad operativa y ralentiza los tiempos de respuesta.

Resolver este problema requiere una estrategia más estructurada, centrada en:

  • Monitorización continua de endpoints, con detecciones de amenazas basadas en comportamiento y una visibilidad clara de los incidentes 
  • Correlación de eventos, que convierte datos aislados en alertas accionables 
  • Priorización de incidentes en función del riesgo real, para que los equipos puedan centrarse en lo que más importa.

Al adoptar este modelo, los equipos pueden detectar anomalías ocultas tras actividades aparentemente “normales”, reducir el ruido y mejorar significativamente la respuesta. 

Cómo detectar y detener el movimiento lateral en la práctica

Las soluciones EDR impulsadas por IA abordan este reto de forma directa al consolidar prevención, detección y respuesta en una única plataforma. Sin embargo, el verdadero cambio no reside únicamente en detectar amenazas, sino en la visibilidad continua y el contexto de comportamiento que proporcionan a los MSP, permitiéndoles proteger mejor a sus clientes y escalar su negocio.

En la práctica, esto significa:

  • Visibilidad completa del endpoint, unificando la telemetría de procesos, conexiones y usuarios, junto con análisis de causa raíz para que los equipos comprendan el alcance y el origen de las amenazas. 
  • Detección del movimiento lateral, identificando inicios de sesión RDP inusuales, manipulación de credenciales y patrones de conexión sospechosos, y mapeando las alertas al marco MITRE ATT&CK. 
  • Correlación automatizada de incidentes, conectando y correlacionando múltiples eventos para reconstruir toda la secuencia del ataque, ayudando a los equipos a centrar sus esfuerzos y reduciendo la fatiga por alertas. 
  • Aislamiento y respuesta en el endpoint, poniendo dispositivos en cuarentena y finalizando procesos sospechosos, con análisis y mitigación directa mediante herramientas de acceso remoto o remote shell. 
  • Consolas multicliente para una mayor eficiencia operativa, que permiten a los MSP gestionar más clientes sin aumentar la carga de trabajo ni la complejidad.

Visibilidad y contexto: la nueva primera línea de defensa

No es casualidad que el 85% de los ciberataques aproveche RDP. Es un claro recordatorio de cómo operan hoy los ciberdelincuentes: mediante técnicas de living off the land, utilizando herramientas de confianza para permanecer invisibles. Cuanto más se parece un ataque a la actividad habitual de la empresa, más difícil resulta para una organización detectarlo y más probabilidades tiene de tener éxito. Ahí es donde reside el verdadero reto para los MSP. La seguridad del endpoint ya no consiste únicamente en la prevención; se basa en disponer de una visibilidad clara y de contexto de comportamiento para lograr detecciones más rápidas y precisas, acompañadas de una respuesta ágil.

La transición hacia este modelo no solo permite neutralizar el movimiento lateral, sino que también ayuda a construir operaciones de seguridad más eficientes, escalables y resilientes frente a las amenazas actuales, en constante evolución.

Para profundizar en por qué todas las organizaciones necesitan detección y respuesta en el endpoint, consulta estos contenidos relacionados en nuestro blog:

 

Classificati sotto: Cybersecurity Insights, Violación de datos, Malware, Ransomware, Zero Trust, Manejo de Riesgos, Seguridad endpoint, Detección y respuesta, Búsqueda de amenazas, Socios de canal