jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Windows Host Firewall

Windows Host Firewall

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Deshabilitar completamente el firewall, lo que elimina la protección de red.
  • Suprimir perfiles específicos (dominio, privado, público) para permitir tráfico en entornos no monitorizados.
  • Crear, borrar o modificar reglas de firewall para permitir o restringir el paso de paquetes, evitando la detección de actividades maliciosas.
  • Modificaciones no autorizadas a las configuraciones del firewall.
  • Aumento de tráfico en redes sin restricciones conocidas.

Windows Host Firewall

Descripción de la Tecnica

T1686.003 es una técnica relacionada con el MITRE ATT&CK que describe cómo los adversarios pueden desactivar o modificar el Windows Host Firewall para evitar controles que limiten el uso de redes. Esta acción permite a los atacantes bypassar mecanismos de seguridad que normalmente restringen la comunicación de red, permitiendo el paso de tráfico no autorizado.

Como Funciona

Los adversarios pueden realizar modificaciones al firewall de Windows mediante múltiples métodos, dependiendo del sistema operativo y el nivel de acceso. Algunas acciones incluyen:

  • Deshabilitar completamente el firewall, lo que elimina la protección de red.
  • Suprimir perfiles específicos (dominio, privado, público) para permitir tráfico en entornos no monitorizados.
  • Crear, borrar o modificar reglas de firewall para permitir o restringir el paso de paquetes, evitando la detección de actividades maliciosas.

Esta técnica es parte del marco MITRE ATT&CK, que documenta patrones de ataque y sus implicaciones en sistemas informáticos.

Actores que la Utilizan

No hay información pública sobre actores específicos conocidos que utilicen esta técnica. La técnica es general y puede ser empleada por diversos tipos de amenazas, incluyendo grupos cibernéticos o ataques maliciosos no atribuibles a una organización específica.

Detección

La detección de T1686.003 requiere monitoreo continuo del estado del firewall y análisis de cambios en reglas o perfiles. Las señales de alerta incluyen:

  • Modificaciones no autorizadas a las configuraciones del firewall.
  • Aumento de tráfico en redes sin restricciones conocidas.
  • Presencia de reglas de firewall que permiten comunicaciones con IPs o dominios sospechosos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo asociado a T1686.003, se recomienda:

  • Activar y mantener habilitado el Windows Host Firewall con las reglas por defecto.
  • Realizar auditorías periódicas de configuraciones de firewall para detectar cambios no autorizados.
  • Implementar controles de acceso a la configuración del firewall, limitando el nivel de privilegio de los usuarios o procesos.
  • Actualizar regularmente el sistema operativo y las firmas de detección para corregir vulnerabilidades relacionadas con el firewall.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin