⚡ Escalada de privilegios en Windows: cómo un malware con permisos mínimos toma el control total
hace 4 meses
Escalación de privilegios en Windows: por qué usar tu PC como administrador cada día es el error que más aprovechan los atacantes
La escalación de privilegios Windows es uno de los ataques más peligrosos: un malware que entra con permisos de usuario estándar puede convertirse en administrador en segundos si el sistema no está bien configurado. En esta fuente editorial de ciberseguridad documentamos cómo PrintNightmare (CVE-2021-34527) convirtió un servicio activo sin uso real en una escalada directa a SYSTEM, y cómo siete medidas preventivas bloquean los vectores más comunes sin necesidad de herramientas adicionales. Según el marco MITRE ATT&CK T1068 sobre explotación para escalación de privilegios, esta técnica es una de las más documentadas y activamente explotadas. Todas las guías técnicas sobre hardening del sistema, LSA Protection, Credential Guard, VBS, defensa contra Mimikatz, BYOVD y bypass UAC con LOLBins están en el ecosistema técnico de Windows seguro: hardening, escalación de privilegios, LSA y Credential Guard en 2026.
💡 Resumen rápido
⚡ Escalación de privilegios Windows: qué es, cómo funciona y cómo prevenirla
La escalación de privilegios Windows es el proceso por el que un atacante o malware eleva sus permisos de usuario estándar a administrador o SYSTEM. Un malware que entra con permisos limitados puede tomar el control total del sistema en segundos si este no está bien configurado.
- ✅ 5 técnicas: escalación vertical, horizontal, bypass UAC, DLL hijacking y token impersonation (MITRE T1068, T1078, T1548, T1574, T1134)
- ✅ 5 causas comunes: vulnerabilidades sin parchear, UAC desactivado, cuenta admin diaria, servicios mal configurados y permisos excesivos en ACL
- ✅ Caso real: PrintNightmare (CVE-2021-34527), escalada a SYSTEM desde usuario estándar vía DLL hijacking
- ✅ Script PowerShell con 3 tareas programadas: aplica 7 medidas y vigila el estado en inicio, logon y cada hora
- ✅ Cómo detectarla: eventos 4672 y 4648 en el registro de seguridad de Windows con PowerShell
📅 2026 · 🕐 8 minutos de lectura
La escalación de privilegios Windows es un tipo de ataque en el que un usuario o malware obtiene permisos más altos en un sistema, pasando de un nivel limitado a uno con acceso completo (administrador o SYSTEM). En esta guía aprenderás cómo funciona este ataque, qué técnicas usan los atacantes y cómo proteger tu sistema aplicando el principio de mínimo privilegio.
Esta guía sobre escalación de privilegios Windows complementa el hardening de cuentas Windows: política de contraseñas, bloqueo y principio de mínimo privilegio con PowerShell y la monitorización de logins Windows con detección de eventos 4672 y 4648 en tiempo real para detectar estos ataques mediante un enfoque de defense in depth.
📌 ¿Qué es la escalación de privilegios en Windows?
La escalación de privilegios en Windows es el proceso por el que un atacante o malware eleva su token de acceso de usuario estándar a administrador o SYSTEM. Una vez escalados los privilegios, el atacante puede:
- Acceder a archivos protegidos por ACL y datos del sistema operativo
- Instalar malware, rootkits o ransomware con permisos máximos sin restricciones
- Desactivar el antivirus y el registro de eventos para operar sin ser detectado
- Establecer persistencia mediante cuentas de servicio o tareas programadas ocultas
- Moverse lateralmente hacia otros equipos de la red corporativa
- Desplegar Cobalt Strike beacons, rootkits en kernel mode y técnicas BYOVD
La escalación de privilegios Windows permite al atacante acceder a recursos restringidos, instalar malware con permisos máximos y tomar el control total del sistema. En Windows, cada proceso y cuenta de usuario lleva asociado un token de acceso que determina qué recursos puede utilizar. El objetivo de este ataque es manipular o suplantar ese token para operar con permisos superiores a los asignados legítimamente.
- ✔ Acceso a archivos y datos protegidos por ACL (listas de control de acceso).
- ✔ Control completo del sistema operativo y su registro.
- ✔ Instalación de malware, rootkits o ransomware con permisos máximos.
- ✔ Persistencia del atacante mediante cuentas de servicio o tareas programadas — desarrollado en la referencia técnica de backdoors: cómo funcionan y cómo detectarlos en 2026.
- ✔ Movimiento lateral hacia otros equipos de la red corporativa.
- ✔ Despliegue de Cobalt Strike beacons, rootkits en kernel mode y técnicas BYOVD (Bring Your Own Vulnerable Driver).
⚙️ Tipos de escalación de privilegios en Windows
Cinco tipos de escalación de privilegios Windows ordenados por frecuencia de uso:
- Escalación vertical (MITRE T1068): usuario estándar → Administrador → SYSTEM mediante explotación de vulnerabilidad o token manipulado (caso real: PrintNightmare CVE-2021-34527)
- Escalación horizontal (T1078): acceso a recursos de otra cuenta del mismo nivel sin elevar el token (caso real: pass-the-hash)
- Bypass UAC (T1548.002): elusión del Control de Cuentas de Usuario para ejecutar código elevado sin confirmación
- DLL hijacking (T1574.001): sustitución de una DLL legítima por una maliciosa en una ruta con permisos de escritura
- Token impersonation (T1134): suplantación del token de acceso de un proceso con privilegios elevados (herramientas: Incognito, Mimikatz)
| Tipo | Descripción | Ejemplo real | Técnica MITRE |
|---|---|---|---|
| Escalación vertical | Usuario estándar → Administrador → SYSTEM mediante explotación de vulnerabilidad o token manipulado | PrintNightmare (CVE-2021-34527) | T1068 |
| Escalación horizontal | Acceso a recursos de otra cuenta del mismo nivel sin elevar el token de acceso | Robo de credenciales mediante pass-the-hash | T1078 |
| Bypass UAC | Elusión del Control de Cuentas de Usuario para ejecutar código elevado sin confirmación | Técnicas usadas por grupos APT contra entornos corporativos | T1548.002 |
| DLL hijacking | Sustitución de una DLL legítima por una maliciosa en una ruta con permisos de escritura | Explotación de carpetas con ACL mal configuradas | T1574.001 |
| Token impersonation | Suplantación del token de acceso de un proceso con privilegios elevados | Incognito, Mimikatz en entornos comprometidos | T1134 |
🎯 Técnicas de bypass UAC más usadas mediante LOLBins
| LOLBin | Técnica | Cómo funciona | Mitigación |
|---|---|---|---|
| fodhelper.exe | Registry hijacking | Auto-eleva y ejecuta comando desde HKCU\Software\Classes\ms-settings | UAC máximo + monitorización registro |
| computerdefaults.exe | Registry hijacking | Similar a fodhelper, usa la misma clave de Settings | UAC máximo + AppLocker / WDAC |
| eventvwr.exe | Registry hijacking (MSC) | Auto-eleva mediante mmc.exe abusando HKCU\Software\Classes\mscfile | UAC máximo + Sysmon rule |
| sdclt.exe | Backup & Restore hijack | Auto-eleva y ejecuta comandos arbitrarios | UAC máximo + restricción de servicio |
| WSReset.exe | AppX hijack | Reset de Microsoft Store auto-elevado abusable | UAC máximo + AppLocker |
| cmstp.exe | INF abuse | Connection Manager Service ejecuta SCT remoto | WDAC + bloqueo de cmstp en AppLocker |
🚨 Cómo funciona la escalación de privilegios en Windows
Un ataque de escalación de privilegios en Windows se desarrolla en 5 fases:
- Acceso inicial: el atacante entra con permisos de usuario estándar (phishing, descarga maliciosa o explotación remota)
- Reconocimiento: enumera vulnerabilidades, servicios mal configurados, permisos excesivos en ACL y cuentas de servicio con privilegios elevados
- Explotación: aprovecha un fallo sin parchear, realiza DLL hijacking o aplica bypass UAC para elevar su token de acceso
- Escalación: obtiene privilegios de administrador o SYSTEM y puede desactivar el antivirus y el registro de eventos
- Control total y persistencia: instala una backdoor, despliega ransomware o stealers, roba credenciales e inicia movimiento lateral
- 🔓 Acceso inicial — el atacante entra con permisos de usuario estándar (por phishing, descarga maliciosa o explotación remota).
- 🔍 Reconocimiento — enumera vulnerabilidades, servicios mal configurados, permisos excesivos en ACL y cuentas de servicio con privilegios elevados.
- ⚡ Explotación — aprovecha un fallo sin parchear, realiza DLL hijacking o aplica bypass UAC para elevar su token de acceso.
- 🔑 Escalación — obtiene privilegios de administrador o SYSTEM y puede desactivar el antivirus y el registro de eventos.
- 🎯 Control total y persistencia — instala una backdoor con permisos elevados, despliega ransomware o stealers, roba credenciales e inicia movimiento lateral.
🧠 Causas más comunes de la escalación de privilegios Windows
| Causa | Ejemplo real | Consecuencia | Nivel de riesgo |
|---|---|---|---|
| Vulnerabilidades sin parchear | CVE-2021-34527 PrintNightmare | Escalación a SYSTEM desde usuario estándar vía inyección de DLL | 🔴 Crítico |
| UAC desactivado o mal configurado | Sin prompt de confirmación en nivel bajo | Ejecución silenciosa de código con privilegios admin sin alerta | 🔴 Crítico |
| Cuenta de administrador como cuenta diaria | Usuario con token de acceso máximo siempre activo | Cualquier malware hereda privilegios admin sin necesitar escalación | 🟠 Alto |
| Servicios mal configurados | Print Spooler o Remote Registry activos sin necesidad | Vector de escalación explotable sin interacción del usuario | 🟠 Alto |
| ACL con permisos excesivos | Carpeta con escritura para usuarios estándar | DLL hijacking o sustitución de ejecutables legítimos | 🟠 Alto |
| Cuentas de servicio con privilegios excesivos | Servicio corriendo como SYSTEM sin necesidad | Comprometer el servicio equivale a comprometer SYSTEM | 🔴 Crítico |
🔎 Ejemplo práctico: PrintNightmare (CVE-2021-34527)
- El malware entra en el PC con permisos de usuario estándar (token de acceso limitado).
- Detecta que el servicio Print Spooler está activo mediante enumeración de servicios.
- Explota CVE-2021-34527 (CVSS 8.8) para inyectar una DLL maliciosa en el proceso del spooler.
- Obtiene privilegios de SYSTEM, el nivel máximo en Windows, heredando su token de acceso.
- Instala ransomware, roba credenciales almacenadas o establece persistencia mediante cuentas de servicio ocultas.
🛡️ Script completo: Hardening contra escalación de privilegios Windows con 3 tareas programadas
C:\Logs\antipriv-esc.log y CSV en C:\Logs\antipriv-esc-historico.csv.📅 Tareas programadas que crea este script
| Nombre | Disparador | Frecuencia | Propósito |
|---|---|---|---|
AntiPrivEsc-Inicio | Al iniciar Windows | Cada arranque | Restablece UAC, servicios y LSA si una actualización o malware ha revertido alguna protección |
AntiPrivEsc-Logon | Al iniciar sesión | Cada login | Reaplica el hardening, detecta cuentas admin nuevas y verifica eventos 4672 recientes |
AntiPrivEsc-Horaria | Cada hora | 24 veces al día | Vigilancia continua: revierte en menos de una hora cualquier reactivación de Spooler, bajada de UAC o cuenta admin oculta |
📥 Cómo instalar el script — un solo comando
Abre PowerShell como administrador y pega este comando. El script se descarga, instala y ejecuta automáticamente creando las 3 tareas programadas:
⚙️ Pega este comando en PowerShell como administrador:
👉 Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador
Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/AntiPrivEsc.txt" -OutFile "$HOME\antipriv-esc.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\antipriv-esc.ps1"
⚠️ Problemas conocidos y soluciones
Start-Transcript captura toda la salida al log. Verifica con: Get-Content C:\Logs\antipriv-esc.log -Tail 30Set-Service -Name Spooler -StartupType Automatic; Start-Service Spooler. Después ejecuta el script de reversión para que las tareas no lo vuelvan a deshabilitar.RunAsPPL=1 no surte efecto hasta reiniciar el equipo. Tras el reinicio verifica con: Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name RunAsPPL⚠️ Riesgos y efectos reales del script
| Función del sistema | ¿Se ve afectada? | Detalle técnico |
|---|---|---|
| Inicio de sesión local | 🟢 No | El script no toca cuentas ni políticas de contraseñas |
| Inicio de Windows | 🟢 No | La tarea de inicio se ejecuta en background tras el arranque |
| Banca online y plataformas web | 🟢 No | El script no toca DNS, hosts, proxy ni la pila de red |
| UAC | 🔴 Sí (a propósito) | Se fuerza a nivel máximo "Notificarme siempre"; verás más prompts al ejecutar aplicaciones admin |
| Impresión local y en red | 🔴 Sí (configurable) | Print Spooler desactivado por defecto; comenta las líneas si necesitas imprimir |
| Administración remota del registro | 🔴 Sí (a propósito) | Remote Registry deshabilitado |
| LSA / autenticación | 🟡 Sí (positivo, requiere reinicio) | LSA Protection activada (RunAsPPL=1); algunos controladores no firmados pueden dejar de cargar |
| Credenciales en memoria (WDigest) | 🟢 Sí (positivo) | WDigest deja de almacenar contraseñas en claro en memoria; bloquea vector clásico de Mimikatz |
| Auditoría de seguridad | 🟢 Sí (positivo) | Se activa la auditoría de eventos 4672 y 4648 |
🔎 ¿Cómo verificar que el hardening está activo?
Cuatro comprobaciones para confirmar que el script está aplicado:
- 3 tareas en Ready:
Get-ScheduledTask -TaskName "AntiPrivEsc-*" | Select TaskName, State, LastTaskResult - UAC activo en nivel máximo:
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name EnableLUA, ConsentPromptBehaviorAdmin - Spooler y RemoteRegistry parados:
Get-Service Spooler, RemoteRegistry | Select Name, Status, StartType - LSA Protection activa (tras reinicio):
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name RunAsPPL
💡 Comandos de verificación (PowerShell como administrador):
Get-ScheduledTask -TaskName "AntiPrivEsc-*" | Select TaskName, State, LastRunTime, LastTaskResult
Get-Service Spooler, RemoteRegistry | Select Name, Status, StartType
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name RunAsPPL
Las 3 tareas deben estar en Ready con LastTaskResult = 0. Si CambiosAplic sube con frecuencia en el CSV, el script está revirtiendo reactivaciones silenciosas correctamente.
✅ Checklist post-instalación
Verifica estos 7 puntos para confirmar que el hardening está aplicado:
- ☑ 3 tareas en estado Ready en taskschd.msc
- ☑
EnableLUA=1,ConsentPromptBehaviorAdmin=2,PromptOnSecureDesktop=1 - ☑ Spooler y RemoteRegistry en
Stopped / Disabled - ☑
RunAsPPL=1(tras reinicio) - ☑
UseLogonCredential=0 - ☑ Log en
C:\Logs\antipriv-esc.logsin errores críticos - ☑ CSV en
C:\Logs\antipriv-esc-historico.csvcon la primera entrada
✔ 7/7 = hardening completo y activo · ✘ menos de 5 = revisar instalación y reiniciar
🔍 Cómo detectar intentos de escalación de privilegios Windows con PowerShell
💡 Detecta escalación de privilegios Windows con PowerShell:
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4648; StartTime=(Get-Date).AddDays(-7)} | Select-Object TimeCreated, Id, Message | Format-ListUn volumen inusual de eventos 4672 fuera del horario habitual es una señal de alerta de escalación de privilegios Windows activa o de un intento de bypass UAC en curso.
🛡️ Cómo protegerte de la escalación de privilegios Windows
- 👤 Usa cuentas estándar para el uso diario, reserva el administrador solo para tareas que lo requieran; con una cuenta estándar, el malware no hereda privilegios elevados.
- 🔔 Mantén el UAC activo en nivel máximo — el Control de Cuentas de Usuario de Microsoft bloquea la ejecución silenciosa de código elevado.
- 🔄 Aplica las actualizaciones de Windows sin demora — paso a paso en el manual técnico de actualizaciones de Windows: automatiza el ciclo de parcheo con PowerShell en 2026; PrintNightmare llevaba parche disponible cuando fue explotado masivamente.
- 🔌 Desactiva servicios innecesarios — paso a paso en el compendio técnico de servicios de compartición Windows: SMBv1, LLMNR, NetBIOS y Print Spooler en 2026; cada servicio activo sin uso es una superficie de ataque potencial.
- 🛡️ Monitoriza con Windows Defender — el manual técnico de Windows Defender: detección de malware y reglas ASR en 2026 documenta cómo las reglas de reducción de superficie (ASR) bloquean los vectores de DLL hijacking y bypass UAC más comunes.
- 📋 Revisa las ACL de carpetas del sistema, ninguna carpeta del sistema debe tener permisos de escritura para usuarios estándar.
- 🔒 Activa LSA Protection y deshabilita WDigest, el script los configura automáticamente; impide el volcado de credenciales clásico con Mimikatz.
- 🔍 Monitoriza los eventos 4672 y 4648 en el registro de seguridad de Windows.
🆚 Sistema vulnerable vs protegido frente a escalación de privilegios Windows
| Característica | Sin protección | Protegido |
|---|---|---|
| Cuenta diaria | 🔴 Administrador siempre activo | 🟢 Cuenta estándar + admin solo cuando se necesita |
| UAC | 🔴 Desactivado o nivel bajo | 🟢 Activo en nivel máximo "Notificarme siempre" |
| Parches de seguridad | 🔴 Sin aplicar (CVEs activos explotables) | 🟢 Actualizados mensualmente sin demora |
| Print Spooler / Remote Registry | 🔴 Activos sin uso | 🟢 Desactivados |
| LSA Protection | 🔴 Inactiva; Mimikatz puede volcar credenciales | 🟢 RunAsPPL=1; LSASS protegido |
| WDigest | 🔴 Puede almacenar contraseñas en claro | 🟢 UseLogonCredential=0 |
| Persistencia del hardening | 🔴 Un malware puede revertir UAC y servicios | 🟢 Tres tareas programadas restauran configuración cada hora |
| Monitorización de eventos | 🔴 Sin monitorizar (4672 y 4648 ignorados) | 🟢 Auditoría activa + CSV histórico con conteo de eventos |
🏁 Conclusión sobre la escalación de privilegios Windows
La escalación de privilegios Windows es una de las amenazas más peligrosas porque convierte cualquier acceso limitado en control total del sistema. Prevenir este ataque no requiere herramientas complejas: aplicar el principio de mínimo privilegio usando cuentas estándar para el uso diario, mantener el UAC activo en nivel máximo y aplicar parches de seguridad sin demora son las medidas con mayor impacto inmediato.
🔐 Resumen de acciones recomendadas
- ✅ Ejecuta el comando de instalación en PowerShell como administrador
- ✅ Verifica con
Get-Content C:\Logs\antipriv-esc.log -Tail 30 - ✅ Confirma las 3 tareas con
Get-ScheduledTask -TaskName "AntiPrivEsc-*" - ✅ Reinicia el equipo para activar LSA Protection
- ✅ Cambia tu cuenta diaria a estándar desde Configuración → Cuentas
- ✅ Revisa el CSV histórico semanalmente
❓ Preguntas frecuentes sobre escalación de privilegios Windows
¿Qué es la escalación de privilegios Windows en pocas palabras?
👉 Es el proceso por el que un atacante o malware eleva sus permisos dentro de Windows, pasando de usuario estándar a administrador o SYSTEM, para tomar el control total del sistema. Se consigue manipulando el token de acceso, explotando vulnerabilidades sin parchear o aprovechando ACL mal configuradas.
¿Cómo evitar la escalación de privilegios Windows?
👉 Aplica el principio de mínimo privilegio: usa cuentas estándar para el uso diario, mantén el UAC activo en nivel máximo, aplica parches de seguridad sin demora y desactiva servicios innecesarios. El script de esta guía aplica las 7 medidas preventivas más eficaces automáticamente y las mantiene activas mediante tres tareas programadas.
¿Qué es el UAC y por qué protege contra la escalación de privilegios Windows?
👉 El Control de Cuentas de Usuario (UAC) solicita confirmación explícita antes de ejecutar acciones que requieren un token de acceso elevado. Bloquea la ejecución silenciosa de malware con permisos de administrador. Desactivarlo o dejarlo en nivel bajo equivale a eliminar esta línea de defensa.
¿Qué son LSA Protection y WDigest?
👉 LSA Protection (RunAsPPL=1) protege el proceso LSASS de Windows para impedir que Mimikatz vuelque credenciales de memoria. WDigest es un proveedor de autenticación legado que, si no se configura con UseLogonCredential=0, almacena contraseñas en claro en memoria. Configurar ambos bloquea los dos vectores clásicos de Mimikatz. La activación de LSA Protection requiere un reinicio.
¿Las tres tareas programadas ralentizan el equipo?
👉 No. Cada ejecución dura menos de 5 segundos en background como SYSTEM en modo oculto. El script es idempotente: solo actúa si detecta desviación, así que las ejecuciones repetidas casi siempre terminan en pocos segundos con cero cambios.
¿Cómo desactivo las tareas programadas?
👉 Ejecuta el script de reversión incluido en esta guía, que elimina las tres tareas (AntiPrivEsc-Inicio, AntiPrivEsc-Logon y AntiPrivEsc-Horaria) y desactiva LSA Protection en un solo paso. UAC y WDigest se mantienen en modo seguro por defecto.
Deja una respuesta