Acceso remoto. Scripts en masa. Automatización a escala.

En las manos equivocadas, un RMM no es una herramienta de soporte. Es un arma. El término tiene nombre: LOLRMM (Living Off the Land RMM). Un atacante instala un agente legítimo, lo usa para ejecutar scripts, moverse por la red y mantener persistencia — sin malware propio, sin firmas que detectar, sin que nadie levante la mano.

Lunixar está diseñado para que eso no pase. Ni desde afuera ni desde adentro.

Lo que un RMM puede hacer si no lo controlas

Un agente RMM en un endpoint tiene acceso real: ejecutar comandos, descargar archivos, abrir sesiones remotas, crear usuarios locales. Si alguien lo usa con malas intenciones, el daño está hecho antes de que salte una alerta.

Los vectores más usados en ataques LOLRMM:

  • Descargar y ejecutar payloads desde internet: curl, wget, iwr, irm | iex
  • Crear persistencia: servicios de Windows, tareas programadas, claves Run/RunOnce del registro, usuarios locales con admin
  • Túneles inversos para mantener acceso aunque se bloquee el puerto del RMM
  • Instalar otros agentes como AnyDesk, ScreenConnect, MeshAgent o TacticalRMM de forma silenciosa

El escenario más peligroso no es un hacker externo. Es un tenant que se registra con datos falsos y empieza a operar como si fuera legítimo.

Tip práctico: si tu RMM no tiene control sobre qué puede ejecutar un tenant, cualquier cuenta comprometida es una puerta abierta a toda la flota.

Política de contenido: lo que Lunixar bloquea por defecto

Los tenants sin confianza verificada tienen restricciones automáticas sobre la ejecución remota. Lunixar bloquea combinaciones de descarga y ejecución en scripts, terminal y schedules:

  • Invoke-WebRequest / iwr, Invoke-RestMethod / irm
  • curl, wget, Start-BitsTransfer, bitsadmin, certutil
  • Start-Process, msiexec, cmd /c
  • Invoke-Expression / iex, wscript, cscript, rundll32, regsvr32
  • Cualquier indicador HTTP/HTTPS en scripts combinado con ejecución

El patrón irm https://... | iex — favorito de instaladores maliciosos en PowerShell — se bloquea de forma específica. Los scripts que combinan descarga remota y ejecución se guardan con IsMalicious = true. Las ejecuciones bloqueadas quedan en el log con WasBlockedBySecurityPolicy y el motivo exacto.

Las reglas de destinos bloqueados se gestionan desde el panel de administración de plataforma y se aplican en registro de cuentas, terminal interactiva, scripts guardados, schedules y ejecución por WebSocket.

Tip práctico: los tenants de confianza verificada pueden habilitarse con un máximo de 30 días, motivo de aprobación registrado y auditoría completa. El acceso vence y no se renueva automáticamente.

Niveles de confianza: cada tenant empieza restringido

Lunixar no confía en ningún tenant por defecto. Hay cinco estados:

| Estado | Lo que significa |

|---|---|

| trial | Instancia de prueba. Un instalador activo por plataforma, máximo 5 usos, 3 días de validez. |

| unverified | Cuenta activa, identidad no verificada. Sin terminal libre, sin scripts personalizados, sin ejecución programada masiva. |

| verified | Identidad verificada. Operación normal con auditoría activa. |

| trusted | Confianza extendida para ejecución remota completa, concedida por admin de plataforma, TTL máximo 30 días. |

| restricted | Sancionado. Terminal, scripts, schedules y sesiones de visor bloqueados. El aislamiento y los datos del tenant se preservan. |

| blocked | Bloqueado completamente. Login y dispatch detenidos. |

Los enroll tokens tienen expiración y límite de usos. Los tokens comprometidos se revocan sin afectar el resto del tenant.

Tip práctico: cuando un tenant pasa a restricted, la operación de soporte básica sigue activa. Solo se corta la ejecución remota sensible.

Detección y auditoría: todo deja rastro

Si un tenant empieza a comportarse como vector de ataque, Lunixar lo detecta y escala:

  • Scripts y comandos bloqueados por política se auditan en script_logs con razón y timestamp
  • La puntuación de abuso del tenant se calcula con señales: muchos instaladores generados, muchos endpoints enrollados rápido, comandos bloqueados frecuentes, geografías o ASNs sospechosos, redes residenciales
  • Los casos que superan el umbral llegan automáticamente a la cola de operaciones de abuso interna
  • El kill switch de plataforma cubre todo el ciclo: bloquear el tenant → revocar instaladores y tokens activos → cortar sesiones SignalR activas → detener el dispatch pendiente → marcar agentes para cuarentena

Los cambios en nivel de confianza llevan timestamp, usuario que los realizó y motivo opcional. Los tenants sospechosos pueden pasar a modo de auditoría de alta retención: más evidencia de scripts, terminal, instaladores, enrolls y sesiones de visor, guardada por más tiempo.

Tip práctico: el historial de bloqueos por política es una de las señales más limpias de abuso intencional. Muchos bloqueos en poco tiempo, mismo tenant, mismo tipo de script — eso ya es un patrón.

Catálogo de herramientas y detección de persistencia

Lunixar mantiene un catálogo de herramientas RMM conocidas: AnyDesk, ScreenConnect, MeshAgent, Atera, TeamViewer, TacticalRMM, UltraVNC, NetSupport, y más. Si un script o proceso intenta instalar o activar alguna de ellas, se clasifica y bloquea según el nivel de confianza del tenant.

La detección de persistencia cubre los patrones más usados en ataques LOLRMM:

  • Servicios de Windows y tareas programadas
  • Claves de registro Run y RunOnce
  • Usuarios locales con privilegios de administrador
  • Excepciones de firewall no autorizadas
  • Túneles inversos
  • Unidades systemd y cron jobs en Linux

Para tenants no verificados, cualquier script que intente crear persistencia se bloquea antes de llegar al agente. El modo de allowlist por tenant permite declarar los dominios y binarios legítimos de tu organización — el resto se bloquea por defecto.

Tip práctico: si usas herramientas de acceso remoto adicionales en tus clientes, declara sus dominios en el allowlist del tenant. Sin eso, cualquier instalador de terceros puede quedar bloqueado.

---

LOLRMM no es un riesgo teórico. Los atacantes ya están usando plataformas RMM legítimas como vector de ataque — y las plataformas que no tienen controles internos son las primeras en usarse. Lunixar está construido desde el principio para no ser ese vector: con política de contenido, niveles de confianza, auditoría completa y detección activa de persistencia.

Conoce Lunixar RMM →