La Elevación de Privilegios (en inglés, privilege escalation) no es algo nuevo. De hecho, se viene usando desde el desarrollo de sistemas multiusuario, en los años 70 y 80, pero con los años este término acabó convirtiéndose en un objeto de deseo de los ciberdelincuentes. Y lo confirman las estadísticas.
Según el último Informe de BeyondTrust sobre vulnerabilidades de Microsoft en 2024, se reportó un récord de 1.360 vulnerabilidades de Microsoft, un aumento del 11% respecto a 2022. De este total, las vulnerabilidades de Elevación de Privilegios (EoP) constituyeron el 40%, sumando 554 casos.
Según el Departamento de Defensa de los Estados Unidos, la Elevación de Privilegios consiste en técnicas que los adversarios utilizan para obtener permisos de nivel superior en un sistema o red. En otras palabras, se trata de una técnica por la cual un usuario, aplicación o atacante obtiene un nivel de acceso o control superior al que originalmente le corresponde.
Marcio Bonifacio, el vicepresidente de ventas de BeyondTrust para Latam, destacó que, en los últimos dos años la Elevación de Privilegios no era el objetivo principal de los delincuentes:
“Este año pasó un cambio exponencial relacionado al número de vulnerabilidades relacionadas con la parte de credenciales y privilegios dentro de Microsoft del 2025”, señaló.
Índice de temas
Origen del informe y su importancia
El informe 2025 de BeyondTrust nace como consecuencia de un análisis de los datos extraídos de los boletines de seguridad publicados por Microsoft (Patch Tuesday), proporcionando información sobre las tendencias en vulnerabilidades y la evolución del panorama de amenazas, para ayudar a las organizaciones a identificar y abordar los riesgos.
Al respecto, Mateo Díaz, gerente de ventas de BeyondTrust para NoLA, define las vulnerabilidades como la “capacidad de un software de ser atacado” y, aunque el objeto de estudio son los productos de Microsoft, agrega que esto es muestra de una tendencia del mercado que afecta también a otras plataformas informáticas (Android, Linux, MacOS, etc.).
Las razones tras la búsqueda de la Elevación de Privilegios son claras: poseer credenciales privilegiadas es extremadamente valioso para los atacantes. Les permite sortear perímetros de seguridad enfocándose en vulnerabilidades o errores humanos, buscando capturar las credenciales y privilegios de acceso de usuarios finales para infiltrarse como si fueran usuarios internos.
Dicho de otro modo, este ‘login’ o acceso legítimo es menos ruidoso y más eficiente que intentar ‘hackear’ o romper un perímetro directamente.
Otros hallazgos y tendencias
Aunque la Elevación de Privilegios fue la mayor tendencia del año, otras prácticas criminales siguen en ascenso, como la ‘ejecución de código en forma remota’ o, tal vez más preocupante, las vulnerabilidades en el navegador Microsoft Edge que aumentaron un 17%, alcanzando un total de 292 vulnerabilidades.
Por el lado positivo, se produjo un descenso en vulnerabilidades críticas de Microsoft que disminuyeron un 7% comparado con el año anterior, lo que demuestra un buen trabajo desde Microsoft para disminuir estos riesgos. Como muestra, las vulnerabilidades en Microsoft Azure y Dynamics 365 se mantuvieron estables en 2024.
Si bien la aplicación de parches es fundamental y la tendencia a la baja en vulnerabilidades críticas sugiere que las iniciativas de seguridad de Microsoft están teniendo un impacto positivo, los sistemas sin actualizar siguen siendo un blanco para los criminales.
Ante este escenario, principios fundamentales de seguridad como la aplicación del principio de mínimo privilegio se vuelven aún más cruciales, siguiendo principios de Zero Trust y Just in Time, afirmó Bonifacio.
Recordemos que en ciberseguridad, la metodología ‘Just in time’ (JIT) sigue principios de control de acceso limitados no solo en cuanto a los recursos informáticos y herramientas tecnológicas que usa un empleado, sino también en el marco de tiempo en el que se desempeña, ayudando a minimizar el riesgo.
Por cierto, si quieres conocer más del informe, puedes consultarlo en este enlace.
