Hay ataques que rompen sistemas. Y hay otros, más sofisticados, que simplemente se integran. No hacen ruido, no disparan alarmas, no dejan sistemas caídos. Solo operan, como si siempre hubieran estado ahí.
A esta lógica se le conoce como Living off the Land, o “vivir de la tierra”. El término viene del ámbito militar, pero en el mundo digital tomó forma cuando marcos como los de MITRE empezaron a documentar una realidad incómoda: los ataques más efectivos no rompen nada, usan lo que ya existe. Tus sistemas, tus accesos, tus propios permisos.
Y aquí aparece el verdadero objetivo: no solo robar credenciales, sino ganarse la confianza. El atacante no siempre entra forzando. A veces llega porque alguien le abrió la puerta sin darse cuenta.
¿A quién buscan? No necesariamente al CEO. Buscan a la “gallina de los huevos de oro”: superusuarios, personal de tecnología, seguridad de la información, bases de datos. Quien administra, quien tiene llaves maestras. Pero también los caminos más blandos hacia ellos: accesos remotos débiles, VPN sin controles robustos, equipos obsoletos que funcionan como puertas traseras silenciosas. Desde ahí, el movimiento es casi inevitable: lateralizar hasta el corazón del entorno, el Active Directory o su equivalente en LDAP, e incluso el hipervisor que sostiene las máquinas virtuales. Si controlas eso, no entras al sistema… lo gobiernas.
El patrón se repite más de lo que se admite. Empleados con años en la organización, nunca rotados, que bajan la guardia. Otros desmotivados. Credenciales delegadas sin control durante vacaciones. Restablecimientos mal gestionados. Y, peor aún, ese archivo olvidado: un Excel o un .txt en texto plano con usuarios y claves de todo el ecosistema. En más de un caso forense, ese archivo termina siendo el botín perfecto. El ransomware no solo cifra, también secuestra esa lista y la convierte en chantaje. Mientras la organización negocia, el equipo técnico corre contra el tiempo intentando cambiar todos los accesos. Es un colapso silencioso.
Y hay algo más incómodo todavía: decisiones internas que dejan la seguridad en piloto automático. Controles que se postergan, licencias que no se renuevan, firewalls en modo transparente, prácticamente mirando sin intervenir. No es un fallo técnico. Es gestión del riesgo desconectada de la realidad.
Ahí es donde Living off the Land se vuelve letal. Porque el atacante no necesita vulnerar el sistema… solo necesita parecer legítimo.
La defensa, entonces, cambia de lógica. El MFA sigue siendo necesario, pero ya no suficiente. El siguiente paso son los passkeys: eliminar la contraseña como concepto. Si no hay secreto que robar, el atacante pierde su principal ventaja.
Pero incluso así, queda la pregunta incómoda:
¿y cómo sé si ya tengo a alguien adentro?
Ahí entra una segunda capa. No para evitar la entrada, sino para entender el comportamiento. Plataformas de detección extendida que correlacionan señales, que identifican patrones fuera de lo normal. Un usuario que accede a sistemas que nunca tocaba. Que se mueve lateralmente sin razón. Que trabaja a horas que no son suyas.
Porque en este nuevo escenario, el atacante no parece un intruso.
Parece alguien que pertenece.
Y ese es, precisamente, el problema.