Tema 21

21. Pivoting, tunneling, proxychains y movimiento lateral autorizado

El pivoting permite evaluar qué puede alcanzarse desde un sistema comprometido o una posición interna autorizada. Es una técnica potente, pero debe usarse con límites estrictos para no transformar una prueba en una exploración fuera de alcance.

Objetivo Comprender rutas internas y alcance real del acceso
Enfoque Autorización, segmentación y control de tráfico
Resultado Validar movimiento lateral sin exceder límites

21.1 Introducción

En una prueba de penetración, obtener acceso a un sistema no siempre representa el impacto completo. A veces ese sistema permite alcanzar redes internas, bases de datos, servicios administrativos, aplicaciones no expuestas o segmentos que deberían estar aislados.

Pivoting y tunneling son técnicas para enrutar tráfico a través de una posición intermedia. Proxychains permite que ciertas herramientas usen un proxy para llegar a servicios no accesibles directamente desde la máquina del pentester.

Estas técnicas deben utilizarse solo cuando el alcance lo permite. El movimiento lateral cambia la superficie evaluada y puede tocar sistemas que no estaban contemplados inicialmente.

21.2 Qué es pivoting

Pivoting consiste en usar un sistema accesible como punto intermedio para llegar a otros sistemas o redes. En pentesting, ayuda a evaluar si un acceso inicial puede convertirse en acceso a activos más sensibles.

  • Un servidor web comprometido con acceso a una base interna.
  • Una estación de usuario con rutas hacia recursos compartidos.
  • Una VPN que permite acceso a más segmentos de los necesarios.
  • Un contenedor con acceso al host o red interna.
  • Un equipo dual-homed conectado a dos redes.
Pivoting no amplía automáticamente el permiso. Si el nuevo segmento no está autorizado, se documenta como posible ruta y se solicita aprobación antes de probar.

21.3 Qué es tunneling

Tunneling encapsula tráfico dentro de otro canal para atravesar una ruta disponible. Puede usarse para acceder a servicios internos desde una posición autorizada sin exponerlos directamente.

Ejemplos conceptuales:

  • Redirigir un puerto local hacia un servicio interno.
  • Crear un proxy temporal a través de una sesión autorizada.
  • Encapsular tráfico de una herramienta para alcanzar un segmento interno.
  • Conectar dos redes de laboratorio para validar segmentación.

El túnel debe ser temporal, documentado y eliminado al finalizar.

21.4 Movimiento lateral autorizado

Movimiento lateral significa desplazarse desde un sistema hacia otros dentro de una red. En un pentest profesional, esto requiere autorización clara porque puede involucrar muchos activos y generar alertas.

Situación Acción prudente Motivo
Se descubre una red interna no listada Documentar y consultar Puede estar fuera de alcance
Credencial local funciona en otro host Validar permiso antes de usarla Implica otro activo
Servicio interno crítico es alcanzable Comunicar riesgo y pedir autorización Puede afectar producción
Segmentación permite más acceso del esperado Recolectar evidencia mínima El hallazgo puede demostrarse sin explotación profunda

21.5 Objetivos de estas técnicas

Pivoting y tunneling no deben usarse por curiosidad. Deben responder objetivos concretos de evaluación.

  • Validar si la segmentación limita el acceso.
  • Comprobar si una credencial permite movimiento lateral.
  • Medir alcance real de un sistema comprometido.
  • Evaluar exposición de servicios internos.
  • Identificar rutas hacia activos críticos.
  • Demostrar impacto sin escanear indiscriminadamente.

21.6 Tipos de pivoting

Tipo Descripción Uso típico
Port forwarding local Un puerto local apunta a un servicio remoto accesible desde el pivote Probar una aplicación interna concreta
Port forwarding remoto Un puerto remoto expone una conexión hacia la máquina del evaluador Casos específicos con reglas aprobadas
Proxy dinámico El tráfico se enruta mediante un proxy temporal Navegación o herramientas compatibles con proxy
Ruteo por agente Un agente o sesión enruta tráfico hacia subredes internas Laboratorios o pruebas autorizadas de red interna

21.7 Proxychains

Proxychains permite que herramientas que no soportan proxy de forma nativa envíen tráfico a través de un proxy configurado. Es útil para probar conectividad hacia servicios internos a través de un pivote.

Buenas prácticas:

  • Configurar solo el proxy necesario.
  • Probar primero con una conexión simple y autorizada.
  • Evitar escaneos agresivos a través del proxy.
  • Documentar qué herramientas usaron el túnel.
  • Limitar objetivos a hosts y puertos aprobados.
  • Cerrar el proxy al terminar.
Usar proxychains no reduce la obligación de respetar alcance. Solo cambia la ruta del tráfico.

21.8 Mapeo de rutas internas

Antes de crear túneles, hay que entender qué redes y servicios son alcanzables desde el sistema pivote. Esta información debe recolectarse con cuidado.

  • Interfaces de red y rutas del sistema.
  • DNS interno y dominios resolubles.
  • Conexiones existentes del host.
  • Servicios escuchando localmente.
  • Segmentos permitidos por firewall.
  • Relación del host con aplicaciones y bases de datos.

El objetivo es construir un mapa inicial, no escanear todo lo alcanzable sin permiso.

21.9 Segmentación y controles de red

El movimiento lateral prueba si la segmentación funciona. Una red bien segmentada debería limitar qué puede alcanzar un sistema comprometido.

Control Qué limita Señal de debilidad
Firewall interno Comunicación entre segmentos Hosts de usuario acceden a servicios administrativos
ACL de red Puertos y protocolos permitidos Reglas amplias entre zonas
VLAN Separación lógica Rutas abiertas sin control
NAC Acceso por identidad de dispositivo Equipos no confiables alcanzan redes internas
Zero Trust Acceso explícito por identidad y contexto Confianza implícita por estar dentro de la red

21.10 Descubrimiento a través de pivote

El descubrimiento a través de un pivote debe ser más conservador que un reconocimiento directo. El tráfico pasa por un sistema intermedio que puede ser sensible o tener recursos limitados.

  • Probar conectividad a objetivos específicos primero.
  • Limitar puertos y hosts.
  • Evitar escaneos de alta velocidad.
  • Registrar origen, pivote y destino.
  • Monitorear carga o errores en el sistema pivote.
  • Pausar si el túnel se vuelve inestable.

21.11 Túneles SSH

SSH puede crear túneles en entornos donde se cuenta con acceso autorizado. Son útiles para redirigir un puerto o crear un proxy dinámico, pero deben limitarse a lo necesario.

Consideraciones:

  • Usar cuentas autorizadas.
  • No compartir claves privadas.
  • Limitar duración del túnel.
  • Registrar puertos locales y destinos.
  • Evitar exponer puertos a interfaces públicas.
  • Cerrar sesiones al finalizar.

21.12 Túneles en Windows

En Windows, el tunneling puede realizarse mediante herramientas administrativas, agentes de prueba o funciones de red. Debe coordinarse con defensas porque puede generar alertas.

  • Confirmar si PowerShell remoting, RDP o WinRM están dentro del alcance.
  • No crear servicios temporales sin autorización.
  • Evitar binarios no aprobados.
  • Registrar cualquier proceso o conexión creada.
  • Coordinar con EDR si el ejercicio es técnico y no de evasión.

21.13 DNS y resolución interna

Al pivotar, la resolución DNS puede cambiar. Un nombre que no existe desde internet puede resolver dentro de una red interna.

  • Identificar servidores DNS internos.
  • Registrar dominios internos autorizados.
  • No enumerar zonas completas sin permiso.
  • Comparar resolución externa e interna.
  • Usar DNS interno para contexto, no para ampliar alcance automáticamente.
La resolución interna puede revelar activos sensibles. Trátala como información de alcance controlado.

21.14 Uso de credenciales en movimiento lateral

Las credenciales encontradas durante post-explotación pueden permitir acceso a otros sistemas. Usarlas es una actividad separada que debe estar autorizada.

  • Confirmar si el alcance permite probar reutilización de credenciales.
  • Evitar intentos masivos.
  • Usar cuentas de laboratorio cuando sea posible.
  • No probar credenciales contra sistemas fuera de alcance.
  • Registrar cada intento autorizado.
  • Recomendar rotación si la credencial está expuesta.

21.15 Riesgos operativos

Pivoting y tunneling pueden introducir riesgos técnicos si se implementan sin control.

Riesgo Causa Mitigación
Saturación del pivote Escaneo intenso o mucho tráfico Limitar velocidad y alcance
Exposición accidental Puerto local ligado a interfaz pública Escuchar solo en loopback cuando sea posible
Alertas defensivas Tráfico anómalo o herramientas detectadas Coordinar según reglas de compromiso
Ampliación de alcance Descubrir redes no autorizadas Pausar y pedir aprobación
Persistencia accidental Túneles o agentes olvidados Plan de limpieza y verificación

21.16 Evidencia de segmentación débil

Para reportar una debilidad de segmentación no siempre hace falta enumerar todo. Basta con demostrar que una ruta indebida existe y que permite alcanzar un servicio sensible.

  • Origen de la prueba.
  • Sistema pivote utilizado.
  • Destino alcanzado.
  • Puerto o servicio accesible.
  • Política esperada según arquitectura.
  • Impacto potencial.
  • Recomendación de restricción.

21.17 Limpieza de túneles y rutas

Todo túnel, proxy, agente o regla temporal debe cerrarse al finalizar. La limpieza debe estar documentada.

  • Cerrar conexiones SSH o agentes.
  • Eliminar reglas temporales de red si fueron creadas.
  • Detener procesos de proxy.
  • Revocar tokens o credenciales temporales.
  • Eliminar archivos de configuración creados.
  • Confirmar que no quedan puertos escuchando.
  • Informar cualquier artefacto que no pudo eliminarse.

21.18 Documentación de rutas

La documentación debe dejar claro cómo se llegó a un servicio y qué controles fallaron o funcionaron.

Campo Ejemplo Uso
Origen Servidor web comprometido Ubicar posición inicial
Pivote Host con doble conectividad Explicar ruta
Destino Base de datos interna Medir criticidad
Puerto 5432/TCP Identificar servicio
Control esperado Segmentación entre DMZ y datos Comparar diseño vs. realidad

21.19 Remediación

Las recomendaciones deben apuntar a limitar rutas innecesarias y reducir impacto de accesos comprometidos.

  • Aplicar segmentación por necesidad real.
  • Restringir tráfico este-oeste entre segmentos.
  • Usar listas de permisos por servicio, no redes amplias.
  • Controlar rutas desde DMZ hacia redes internas.
  • Limitar credenciales reutilizadas entre sistemas.
  • Monitorear conexiones internas anómalas.
  • Revisar reglas de firewall y grupos de seguridad cloud.
  • Implementar acceso por identidad y contexto cuando aplique.

21.20 Errores frecuentes

  • Usar un pivote para explorar redes no autorizadas.
  • Ejecutar escaneos agresivos a través de un túnel frágil.
  • No documentar origen, pivote y destino.
  • Dejar proxies o túneles activos al terminar.
  • Usar credenciales encontradas sin permiso.
  • Confundir alcance técnico con conectividad posible.
  • No coordinar alertas defensivas si el ejercicio lo requiere.
  • Reportar segmentación débil sin explicar impacto de negocio.

21.21 Flujo práctico de movimiento lateral autorizado

Un flujo responsable puede ser:

  1. Confirmar que movimiento lateral está autorizado.
  2. Identificar posición inicial y redes alcanzables.
  3. Clasificar destinos como incluidos, excluidos o pendientes.
  4. Crear túnel o proxy temporal solo si es necesario.
  5. Probar conectividad a objetivos específicos.
  6. Recolectar evidencia mínima de acceso o segmentación.
  7. Evitar escaneos amplios sin aprobación.
  8. Documentar ruta completa.
  9. Limpiar túneles, procesos y archivos.
  10. Recomendar controles de segmentación y monitoreo.

21.22 Qué debes recordar de este tema

  • Pivoting usa un sistema intermedio para alcanzar otros servicios o redes.
  • Tunneling encapsula tráfico por una ruta disponible y debe ser temporal.
  • Proxychains cambia la ruta del tráfico, no el alcance autorizado.
  • Movimiento lateral requiere permiso explícito y objetivos claros.
  • La evidencia de segmentación débil puede ser mínima y aun así suficiente.
  • La limpieza de túneles, proxies y artefactos es obligatoria.

21.23 Conclusión

Pivoting, tunneling y movimiento lateral permiten medir cuánto puede avanzar un atacante desde una posición inicial. Usados con control, revelan debilidades de segmentación, exposición interna y reutilización de credenciales.

En el próximo tema veremos Active Directory: enumeración, ataques comunes y rutas de privilegio, un área central en entornos corporativos Windows.

Volver al índice