Netcrook Logo
👤 TRUSTBREAKER
🗓️ 25 Feb 2026   🌍 North America

Convertir la defensa en ataque: cómo los hackers secuestran el Live Terminal de Cortex XDR para un control sigiloso

Una herramienta de seguridad confiable se convierte en el centro de mando encubierto de un atacante - te explicamos cómo, y por qué los defensores deberían preocuparse.

Cuando las herramientas de ciberseguridad se convierten en las mismas armas que se usan en nuestra contra, las consecuencias pueden ser escalofriantes. Investigaciones recientes han revelado cómo los atacantes están transformando el Live Terminal de Cortex XDR de Palo Alto Networks - una función diseñada para la respuesta remota a incidentes - en un canal de comando y control (C2) encubierto que resulta casi invisible para las defensas tradicionales. En un giro digno de un thriller cibernético, funciones pensadas para ayudar a los defensores ahora permiten a los atacantes “vivir de lo que hay” dentro de organizaciones protegidas.

El Live Terminal de Cortex XDR se promociona como un shell remoto seguro para administradores de seguridad, permitiéndoles investigar y remediar amenazas directamente en los endpoints. Su diseño parte de la confianza: las comunicaciones están cifradas, el agente está firmado y el tráfico suele estar excluido de inspecciones profundas para mantener la privacidad y la fiabilidad. Pero estas mismas garantías se han convertido en su talón de Aquiles.

Los investigadores descubrieron que los atacantes con acceso de administrador pueden explotar el helper de Live Terminal - un ejecutable que permite la ejecución de comandos, scripting y operaciones de archivos - redirigiendo su tráfico hacia infraestructura controlada por el atacante. Dado que el helper está firmado y se comunica por TLS estándar saliente (puerto 443) hacia la nube de Palo Alto, la actividad maliciosa se disfraza como operaciones legítimas de seguridad, evadiendo las reglas de detección y prevención.

El punto técnico clave radica en la débil aplicación de certificados y la ausencia de firma criptográfica de comandos. Al modificar el almacén interno de certificados del agente, los atacantes pueden insertar su propia autoridad certificadora (CA) de confianza, interceptar el tráfico de Live Terminal e incluso levantar su propio servidor WebSocket malicioso. El protocolo es simple y no está firmado, lo que significa que un atacante puede enviar comandos arbitrarios para su ejecución - sin necesidad de malware ni implantes personalizados.

Se han demostrado dos rutas de ataque: secuestros entre inquilinos (donde la sesión de un inquilino malicioso se usa para controlar el agente de una víctima) y la reimplementación total del protocolo, que elimina la necesidad de un inquilino legítimo. En ambos casos, los defensores quedan a oscuras, ya que las sesiones parecen legítimas dentro de la consola de gestión de Cortex XDR.

Aunque las reglas de seguridad predeterminadas intentan bloquear cadenas de procesos sospechosas, un atacante decidido con derechos de administrador puede eludir estas salvaguardas. Cabe destacar que las correcciones implementadas por Palo Alto Networks podrían no abordar completamente las debilidades subyacentes, ya que los investigadores pudieron validar los métodos de ataque incluso bien entrado 2026.

La lección es clara: los defensores deben tratar las herramientas de seguridad confiables con la misma sospecha que cualquier posible superficie de ataque. El pinning estricto de certificados, la autenticación mutua y la firma de comandos no son opcionales - son esenciales. Hasta entonces, las organizaciones deberían monitorear la actividad anómala de los procesos de Cortex y examinar las conexiones de red para asegurarse de que sus herramientas de seguridad no estén siendo usadas en su contra.

WIKICROOK

  • EDR (Detección y Respuesta en el Endpoint): EDR es un software de seguridad que monitorea los dispositivos endpoint en busca de actividad sospechosa, detecta amenazas en tiempo real y ayuda a detener ciberataques rápidamente.
  • C2 (Comando y Control): C2 (Comando y Control) es la infraestructura que utilizan los atacantes para gestionar, controlar y comunicarse de forma remota con malware en dispositivos comprometidos.
  • Autoridad Certificadora (CA): Una Autoridad Certificadora (CA) es una entidad confiable que emite y verifica certificados digitales, garantizando comunicaciones en línea seguras y auténticas.
  • WebSocket: WebSocket es un protocolo que mantiene un canal abierto entre tu navegador y un servidor, permitiendo el intercambio de mensajes en tiempo real y en ambas direcciones.
  • Pinning de Certificados: El pinning de certificados es un método de seguridad en el que una aplicación solo confía en certificados específicos, dificultando mucho que los atacantes suplanten la identidad de un servidor.
Cortex XDR Cybersecurity Command-and-Control
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news