El concepto de Living Off The Land (LOTL) ha sido un pilar de las tácticas de evasión de los adversarios avanzados durante años. En lugar de desplegar malware fácilmente detectable, los atacantes utilizan herramientas legitimas del OS para realizar sus acciones maliciosas.

La efectividad de esta táctica radica en su sigilo: el uso de software nativo y aprobado no levanta sospechas, permitiendo al adversario moverse lateralmente, escalar privilegios y exfiltrar datos sin ser detectados por firmas antivirus o listas negras.
Ahora este paradigma ha evolucionado. Con la proliferación de la Inteligencia Artificial ejecutándose localmente en las estaciones de trabajo de los desarrolladores, investigadores y cada vez más, de usuarios de negocio, los atacantes tienen un nuevo y poderoso arsenal de herramientas nativas para abusar. Esta breve publicación describe como un adversario puede comprometer un sistema y utilizar el propio entorno del LLM local como su plataforma de ataque, comando y control, exfiltración, volviendo la detección tradicional casi imposible.

La nueva superficie de ataque: paradigma LOTL aplicado a LLMs
El núcleo del ataque es que el propio LLM se convierte en el cerebro de la operación maliciosa, interpretando comandos (prompts) y ejecutando lógica, todo mientras se esconde detrás de la fachada de una herramienta de productividad legitima. El mecanismo es el siguiente:

1. El atacante compromete un sistema e instala o utiliza un LLM local ya presente
2. A través de prompts aparentemente inofensivas, ordena al LLM generar y ejecutar comandos, scripts o código malicioso
3. El LLM interpreta la petición y la traduce en acciones concretas dentro del OS, todo ocurriendo dentro de su propio entorno, que puede ser percibido como una herramienta legitima de productividad o desarrollo.

Para entender la amenaza, primero debemos mapear los componentes del ecosistema LLM local a sus análogos en un ataque LOTL. En este caso hablamos de:
-     Herramienta Legitima vs Runtime del LLM
-    Payload Malicioso vs Prompt Malicioso/Modelo Envenenado
-    Canal C2 vs API Local del LLM
-    Evasión AV/EDR vs Procesos Legítimos y Confiables
-    Exfiltración de Datos vs Salida del LLM + Canal LOTL Secundario
Técnicas de Detección a Tiempo:
Detectar esta amenaza requiere un enfoque proactivo y basado en el comportamiento, más que en firmas estáticas.
1. Monitoreo de Procesos de LLM
Acción: Implementa reglas en el EDR/XDR para monitorizar la ejecución de procesos relacionados con LLMs locales (ollama, lm-studio, etc.)
Alerta: Genera una alerta si estos procesos se ejecutan en estaciones de trabajo donde no deberían estar presentes o si se inician por usuarios sin una justificación.
2. Análisis del Comportamiento de Procesos Hijos
Acción: Observa que procesos hijos son generados por el runtime del LLM
Alerta: Un LLM que invoca a powershell con comandos codificados, cmd para realizar descubrimiento de red o curl para conectarse a IPs desconocidas es una señal de alerta crítica. El comportamiento anómalo es la clave.
3. Análisis de Tráfico de Red
Acción: Aunque el LLM sea local, las acciones que realizan generan tráfico de red.
Alerta: Investiga conexiones salientes desde equipos que ejecutan LLMs hacia dominios sospechosos, IPs desconocidas o puertos no estándar, especialmente si implican transferencia de grandes volúmenes de datos. 
4. Correlación de Logs de Aplicaciones y OS
Acción: Centraliza y correlaciona los logs del OS con los de las aplicaciones de LLM (si están disponibles)
Alerta: Busca patrones que correlacionen una petición a la API del LLM con la creación de un archivo sospechoso o la modificación de una clave del registro momentos después. 

Protección y Mitigación
La propuesta es integral, combinando tecnología, políticas y concienciación:
- Control de Aplicaciones: es necesario definir una política clara sobre que herramientas LLM están permitidas en la organización y en que sistemas. Implementa listas blancas de aplicaciones para bloquear la instalación y ejecución de runtimes de LLM no autorizados.
- PoLP: hay que asegurarse de que los usuarios y por extensión los procesos que ellos ejecutan (incluyendo LLMs), solo tengan los permisos estrictamente necesarios para realizar su trabajo. Incluso si un atacante compromete u usuario y utiliza un LLM, el daño que puede causar estará limitado por los bajos privilegios de la cuenta.
- Segmentación de la red: aisla las redes que contienen datos críticos o sistemas sensibles. Es necesario impedir que una estación de trabajo de un usuario general (potencialmente comprometida con un LLM) pueda comunicarse directamente con servidores de bases de datos o controladores de dominio.
- Prevención de Pérdida de Datos: configura soluciones DLP para monitorizar y bloquear intentos de exfiltración de datos sensibles.
- Concienciación del Usuario Final: resulta vital educar a los empleados sobre los riesgos de descargar e instalar herramientas de IA no aprobadas. Una herramienta aparentemente inofensiva puede ser empleada para fines maliciosos.
Conclusiones: 
Los equipos de seguridad deben adaptarse rápidamente, pasando de una defensa estática a una dinámica basada en el comportamiento y el contexto. Al implementar dichos controles integrales, la organización puede estar un paso por delante, preparada para detectar y neutralizar esta nueva arma silenciosa antes de que cause un daño irreparable.