Imagina lo siguiente: Un atacante logra comprometer una computadora dentro de tu red corporativa y ahora necesita comunicarse con esa máquina para darle instrucciones, extraer información, mantener el acceso, etc. Pero el atacante no usa una IP desconocida. No abre puertos inusuales. No se conecta a un dominio recién registrado o sospechoso.

En lugar de eso, usa servicios que tu organización ya está utilizando todos los días: Google Drive, Dropbox, Slack, OneDrive, etc. Por lo tanto, desde fuera todo parece “normal”, ya que el tráfico malicioso se mezcla con la actividad diaria de la empresa. Parece que alguien está abriendo documentos, sincronizando archivos o usando herramientas de trabajo.

Esto da pie a que servicios o sistemas de seguridad como un firewall puedan permitirlo si esos servicios están autorizados. El sistema de monitoreo (SIEM) puede no generar una alerta si no existen reglas específicas o detección por comportamiento.

Y ahí está el problema: el atacante no se esconde en un servidor desconocido. Se esconde dentro de servicios que utilizas y esencialmente necesitas, usándolos exactamente como fueron diseñados. La diferencia es la intención. No estamos hablando de una mala implementación, hardening deficiente o servicios desactualizados, aunque eso también facilita las cosas, sobre todo para un acceso inicial. El punto principal de LOTC es que el servicio funciona “bien”; el atacante simplemente lo usa con otro propósito.

Para entender Living Off the Cloud (LOTC), primero hay que conocer Living Off the Land (LOTL).

Esta técnica es utilizada por atacantes desde hace más de una década y está presente en una proporción muy alta de incidentes severos. Por ejemplo, Bitdefender reportó que el 84% de los ataques mayores analizados involucraron binarios LOTL.

Living Off the Land consiste en abusar de herramientas legítimas ya presentes en el sistema operativo, como PowerShell, WMI, certutil o cmd.exe, para ejecutar acciones maliciosas sin necesidad de instalar malware tradicional. Entonces, si un atacante usa las mismas herramientas que utiliza el propio administrador o el sistema operativo, es mucho más difícil detectarlo.

Living Off the Cloud lleva ese mismo principio a la nube. En lugar de abusar de binarios y herramientas del sistema operativo, los atacantes abusan de servicios cloud legítimos o permitidos: Google Drive, OneDrive, Dropbox, Slack, etc. Y no se limita al comando y control: también incluye alojar payloads, distribuir phishing o exfiltrar datos a través de estos servicios confiables. El resultado principal es similar: es más difícil de detectar. Pero el alcance puede ser mayor, porque la actividad puede confundirse tanto en el endpoint como en los controles perimetrales.

Piénsalo como la diferencia entre un ladrón que usa las llaves que encontró dentro de tu casa (LOTL) y uno que saca tus cosas por la puerta principal metidas en cajas de Amazon (LOTC). Ambos usan lo que ya es “normal” en tu entorno; pero LOTC simplemente lo hace a una escala más difícil de detectar.

Cómo funciona Living Off the Cloud (LOTC)

Nota: LOTC no es un método de acceso inicial, es decir el atacante necesita haber comprometido previamente un sistema o credencial dentro de la organización para comenzar a usar estas técnicas podemos decir que LOTC es una forma de operar.

Un actor malicioso puede hacer uso de Living Off the Cloud de distintas formas, dependiendo de su objetivo, del servicio usado y del nivel de acceso que haya obtenido. Sin embargo, de forma general, el flujo puede entenderse en cinco pasos:

• El atacante obtiene acceso inicial: Primero compromete una computadora, una cuenta o una sesión válida dentro de la organización. Esto puede ocurrir por phishing, credenciales robadas o la explotación de una vulnerabilidad expuesta.
• Busca una forma de comunicarse sin levantar sospechas: Una vez dentro, el atacante necesita enviar instrucciones y recibir información. En lugar de usar un servidor desconocido o una IP sospechosa, decide usar un servicio cloud legítimo que la empresa ya permite.
• Usa un servicio cloud como intermediario: El atacante puede usar plataformas como Google Drive, Google Sheets, Dropbox, OneDrive, Slack, Trello, Telegram o servicios similares para dejar comandos, recibir resultados o mover archivos. Desde la red corporativa, esto puede parecer tráfico normal hacia servicios confiables.
• El equipo comprometido consulta el servicio y ejecuta acciones: La máquina comprometida lee instrucciones desde ese servicio, ejecuta las acciones indicadas y puede regresar los resultados al mismo canal. Para los sistemas de seguridad, la comunicación puede parecer una sincronización de archivos, una consulta a una API o una actividad normal de productividad.
• El atacante extrae información o mantiene el acceso: Finalmente, el atacante puede usar ese mismo canal para recibir y exfiltrar datos, mantener comunicación con el equipo comprometido o preparar nuevas acciones dentro del entorno.

Casos Reales

Existen grupos APT (Amenazas Persistentes Avanzadas) que utilizan este principio en operaciones reales:

GC2, la herramienta de Red Team que aprovechó APT41:

APT41, un grupo de ciberespionaje vinculado a China, utilizó GC2, una herramienta open source diseñada para red teaming que opera a través de Google Sheets y Google Drive. En octubre de 2022, APT41 envió correos de phishing a una organización de medios en Taiwán. El correo contenía un enlace a un archivo protegido con contraseña alojado en Google Drive, un detalle que ayudaba a evadir el escaneo automático del propio servicio. Al ejecutarse, el payload final instalaba el agente GC2.

A partir de ahí, el atacante podía controlar el equipo comprometido mediante comandos consultados desde Google Sheets. GC2 también permitía descargar archivos desde Google Drive y exfiltrar datos hacia ese mismo servicio. En otras palabras, gran parte de la comunicación se apoyaba en servicios legítimos de Google.

Ese mismo año, APT41 también utilizó GC2 contra un sitio de empleo en Italia. En 2025, GC2 fue observado en un ataque de Fog ransomware contra una institución financiera en Asia, lo que muestra cómo una herramienta inicialmente asociada a red teaming y ciberespionaje también puede aparecer en operaciones criminales.

Este caso ilustra muy bien LOTC: una herramienta pública, alojada en GitHub, que usa servicios de Google como canal de comando y control. Para la red de la víctima, parte del tráfico puede parecer actividad normal hacia servicios de productividad.

APT29 y la API de Notion (Campaña “Ambassador Lure”):

APT29, también conocido como Cozy Bear o NOBELIUM, es un grupo de ciberespionaje asociado por múltiples reportes al Servicio de Inteligencia Exterior de Rusia (SVR). En una campaña conocida como “Ambassador Lure”, el grupo BlueBravo, con solapamientos con APT29/NOBELIUM, utilizó un malware llamado GraphicalNeutrino y la API oficial de Notion como canal de comando y control.

A finales de 2022, el grupo utilizó un señuelo relacionado con la agenda de un embajador, identificado como “Ambassador’s schedule November 2022”. De acuerdo con Recorded Future, el objetivo probable estaba relacionado con personal diplomático o entidades asociadas a embajadas.

Dónde entra LOTC: GraphicalNeutrino utilizaba la API de Notion para comunicarse con la infraestructura del atacante. El malware aprovechaba funciones legítimas de Notion, como bases de datos y páginas, para almacenar información de las víctimas y preparar payloads.

Desde la perspectiva de red, el tráfico iba hacia un servicio legítimo por HTTPS, lo que dificulta distinguirlo del uso corporativo normal si no existen controles específicos.

Un detalle clave es que este uso de Notion no fue casual. Antes de esta campaña, el mismo actor ya había usado otros servicios legítimos, como Trello, Firebase y Dropbox, como parte de su infraestructura de comando y control. Esto demuestra una característica importante de LOTC: cuando un canal se detecta o deja de ser útil, el atacante puede migrar hacia otro servicio.

Conclusión

Living Off the Cloud es una técnica que ya ha sido observada en operaciones reales, donde los atacantes abusan de servicios cloud legítimos para comunicarse, mover información o mantener acceso. La dificultad principal es que estos servicios suelen ser necesarios para la operación diaria de una organización. No siempre es viable bloquear Google Drive, OneDrive, entre otros, y los atacantes aprovechan precisamente esa confianza.

Tampoco significa que no hay nada que se pueda hacer. Significa que la estrategia de seguridad debe ir más allá de simplemente bloquear o permitir. Es necesario implementar controles de seguridad que ayuden a entender el comportamiento normal del entorno, monitorear el uso de servicios cloud, detectar actividades anómalas y revisar permisos, integraciones y accesos de forma constante; todo esto con la finalidad de identificarlas y responder mejor ante ellas.

Referencias

What Is Living Off the Land (LOTL) – DeepStrike-A Stealth Cyberattack Technique. Recuperado el 08 de Junio de 2026.

What We Learned from 700,000 Security Incidents – The Hacker News. Recuperado el 08 de Junio de 2026.

Fog Ransomware – Symantec – Threat Hunter Team. Recuperado el 08 de Junio de 2026.

APT29 – MITRE ATT&CK. Recuperado el 08 de Junio de 2026.

Bitdefender-LOTL-LOTC – SiliconAngle. Recuperado el 08 de Junio de 2026.

APT41: A Dual Espionage and Cyber Crime Operation – Google Cloud. Recuperado el 08 de Junio de 2026.

Living-Off-the-Cloud Attacks – Bank Info Security. Recuperado el 08 de Junio de 2026.

Cloud Penetration Testing – Astra. Recuperado el 09 de Junio de 2026.

Living-Off-the-Cloud – Attacks at BSidesSF 2025 . Recuperado el 09 de Junio de 2026.

Living-Off-the-Cloud – BSidesNY 2025 . Recuperado el 10 de Junio de 2026.

Living-Off-the-Cloud – SANS Institute. Recuperado el 10 de Junio de 2026.