User Account Management
ID de alerta: user_management
MITRE ATT&CK: T1136 – Create Account · T1098 – Account Manipulation
Severidad / Criticidad
Sección titulada «Severidad / Criticidad»| Nivel | Condición |
|---|---|
| Info | Creación o eliminación de usuarios estándar |
| Alta | Elevación o degradación de privilegios, o creación de un nuevo administrador |
¿Por qué se considera maliciosa?
Sección titulada «¿Por qué se considera maliciosa?»- Creación no autorizada de administradores: posible backdoor para acceso persistente.
- Elevación de privilegios: permite movimiento lateral o control total del sitio.
- Eliminación masiva de usuarios: posible intento de encubrimiento o sabotaje.
- Cambios de rol inusuales: indicio claro de compromiso.
!!! warning "" Los atacantes suelen crear usuarios aparentemente “legítimos” para mantener acceso encubierto al sistema.
¿Cuándo salta la alerta?
Sección titulada «¿Cuándo salta la alerta?»- Creación de usuario: cualquier alta de usuario nuevo (Info).
- Creación de administrador: nuevo usuario con rol
administrator(Alta). - Eliminación de usuario: cualquier cuenta eliminada.
- Cambio de rol: elevación o degradación de privilegios.
- Análisis de peso de roles:
| Rol | Peso |
|---|---|
| Administrator | 10 |
| Editor | 7 |
| Author | 5 |
| Contributor | 3 |
| Subscriber | 1 |
Indicadores Técnicos (IOCs)
Sección titulada «Indicadores Técnicos (IOCs)»| Tipo | Patrón | Descripción |
|---|---|---|
log_pattern | SELECT * FROM wp_users WHERE user_registered > DATE_SUB(NOW(), INTERVAL 1 DAY) | Detección de usuarios creados recientemente |
log_pattern | wp_capabilities LIKE '%administrator%' | Búsqueda de cuentas con privilegios administrativos |
behavior | admin2, wpupdate, wpengine, backup, support | Nombres de usuario sospechosos |
behavior | @temp-mail, @guerrillamail | Correos temporales o desechables |
Falsos positivos comunes
Sección titulada «Falsos positivos comunes»- Creación legítima por administradores autorizados.
- Plugins de membresía o e-commerce creando usuarios automáticamente.
- Importación masiva de usuarios desde herramientas externas.
!!! tip "" Verificar siempre el horario, IP de origen y contexto de negocio antes de descartar una alerta.
Pasos de investigación
Sección titulada «Pasos de investigación»-
Verificar legitimidad: comprobar si el creador del usuario está autorizado y si el evento ocurrió en horario normal.
-
Analizar el nuevo usuario:
Ventana de terminal wp user get [user_id] --fields=ID,user_login,user_email,roles -
Buscar actividad relacionada: creación de más usuarios, instalación de plugins o cambios en temas.
-
Revisar todos los administradores existentes:
Ventana de terminal wp user list --role=administrator
Mitigaciones recomendadas
Sección titulada «Mitigaciones recomendadas»=== “Inmediatas”
!!! danger "" - Suspender el usuario sospechoso de inmediato. - Auditar todas las cuentas con privilegios administrativos. - Revisar logs de actividad del nuevo usuario. - Confirmar con el equipo si la acción fue autorizada.=== “Preventivas”
!!! tip "" - Implementar **aprobación dual** para creación de administradores. - Mantener un **registro de auditoría detallado** (audit trail). - Activar **notificaciones por correo** ante cambios de rol. - Aplicar la **política de mínimo privilegio**. - Revisar periódicamente usuarios y permisos.Referencias
Sección titulada «Referencias»- MITRE ATT&CK T1136 – Create Account
- MITRE ATT&CK T1098 – Account Manipulation
- CIS Controls – Account Management