{"id":2004,"date":"2026-06-11T16:39:34","date_gmt":"2026-06-11T22:39:34","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=2004"},"modified":"2026-06-12T08:46:48","modified_gmt":"2026-06-12T14:46:48","slug":"living-off-the-cloud-abuso-de-servicios-cloud-legitimos","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2026\/06\/living-off-the-cloud-abuso-de-servicios-cloud-legitimos\/","title":{"rendered":"Living Off The Cloud: Abuso de servicios Cloud leg\u00edtimos"},"content":{"rendered":"\n
\"Living
Living off the Cloud <\/figcaption><\/figure>\n\n\n\n

Imagina lo siguiente: Un atacante logra comprometer una computadora dentro de tu red corporativa y ahora necesita comunicarse con esa m\u00e1quina para darle instrucciones, extraer informaci\u00f3n, mantener el acceso, etc. Pero el atacante no usa una IP desconocida. No abre puertos inusuales. No se conecta a un dominio reci\u00e9n registrado o sospechoso.<\/p>\n\n\n\n

En lugar de eso, usa servicios que tu organizaci\u00f3n ya est\u00e1 utilizando todos los d\u00edas: Google Drive, Dropbox, Slack, OneDrive, etc. Por lo tanto, desde fuera todo parece “normal”, ya que el tr\u00e1fico malicioso se mezcla con la actividad diaria de la empresa. Parece que alguien est\u00e1 abriendo documentos, sincronizando archivos o usando herramientas de trabajo.<\/p>\n\n\n\n

Esto da pie a que servicios o sistemas de seguridad como un firewall puedan permitirlo si esos servicios est\u00e1n autorizados. El sistema de monitoreo (SIEM) puede no generar una alerta si no existen reglas espec\u00edficas o detecci\u00f3n por comportamiento.<\/p>\n\n\n\n

Y ah\u00ed est\u00e1 el problema: el atacante no se esconde en un servidor desconocido. Se esconde dentro de servicios que utilizas y esencialmente necesitas, us\u00e1ndolos exactamente como fueron dise\u00f1ados. La diferencia es la intenci\u00f3n. No estamos hablando de una mala implementaci\u00f3n, hardening deficiente o servicios desactualizados, aunque eso tambi\u00e9n facilita las cosas, sobre todo para un acceso inicial. El punto principal de LOTC es que el servicio funciona “bien”; el atacante simplemente lo usa con otro prop\u00f3sito.<\/p>\n\n\n\n

\"Comunicaci\u00f3n<\/figure>\n\n\n\n

Para entender Living Off the Cloud (LOTC), primero hay que conocer Living Off the Land (LOTL).<\/strong><\/p>\n\n\n\n

Esta t\u00e9cnica es utilizada por atacantes desde hace m\u00e1s de una d\u00e9cada y est\u00e1 presente en una proporci\u00f3n muy alta de incidentes severos. Por ejemplo, Bitdefender report\u00f3 que el 84% de los ataques mayores analizados involucraron binarios LOTL.<\/p>\n\n\n\n

Living Off the Land consiste en abusar de herramientas leg\u00edtimas ya presentes en el sistema operativo, como PowerShell, WMI, certutil o cmd.exe, para ejecutar acciones maliciosas sin necesidad de instalar malware tradicional. Entonces, si un atacante usa las mismas herramientas que utiliza el propio administrador o el sistema operativo, es mucho m\u00e1s dif\u00edcil detectarlo.<\/p>\n\n\n\n

Living Off the Cloud lleva ese mismo principio a la nube. En lugar de abusar de binarios y herramientas del sistema operativo, los atacantes abusan de servicios cloud leg\u00edtimos o permitidos: Google Drive, OneDrive, Dropbox, Slack, etc. Y no se limita al comando y control: tambi\u00e9n incluye alojar payloads, distribuir phishing o exfiltrar datos a trav\u00e9s de estos servicios confiables. El resultado principal es similar: es m\u00e1s dif\u00edcil de detectar. Pero el alcance puede ser mayor, porque la actividad puede confundirse tanto en el endpoint como en los controles perimetrales.<\/p>\n\n\n\n

\"Tabla
Tabla de comparaci\u00f3n entre LOTL Y LOTC<\/figcaption><\/figure>\n\n\n\n

Pi\u00e9nsalo como la diferencia entre un ladr\u00f3n que usa las llaves que encontr\u00f3 dentro de tu casa (LOTL) y uno que saca tus cosas por la puerta principal metidas en cajas de Amazon (LOTC). Ambos usan lo que ya es “normal” en tu entorno; pero LOTC simplemente lo hace a una escala m\u00e1s dif\u00edcil de detectar.<\/p>\n\n\n\n

C\u00f3mo funciona Living Off the Cloud (LOTC)<\/h3>\n\n\n\n
\"Como
Como funciona Living Off the Cloud (LOTC)<\/figcaption><\/figure>\n\n\n\n

Nota: LOTC no es un m\u00e9todo de acceso inicial, es decir el atacante necesita haber comprometido previamente un sistema o credencial dentro de la organizaci\u00f3n para comenzar a usar estas t\u00e9cnicas podemos decir que LOTC es una forma de operar.<\/mark><\/em><\/p>\n\n\n\n

Un actor malicioso puede hacer uso de Living Off the Cloud de distintas formas, dependiendo de su objetivo, del servicio usado y del nivel de acceso que haya obtenido. Sin embargo, de forma general, el flujo puede entenderse en cinco pasos:<\/p>\n\n\n\n