Pathfinding Labs: el “parque de atracciones” en AWS Security
Hace tiempo que no encontraba un proyecto open source tan útil para practicar seguridad cloud de forma realista. Esta semana descubrí Pathfinding Labs, un framework creado por el equipo de seguridad de Datadog que despliega entornos AWS intencionadamente vulnerables para practicar ataques, validar detecciones y entender cómo se producen realmente los movimientos laterales y las escaladas de privilegios en la nube.
Y sinceramente, me parece una de las mejores ideas que han salido últimamente para cualquiera que trabaje en cloud security, red teaming, CSPM o hardening de AWS.
¿Qué es exactamente Pathfinding Labs?
El proyecto gira alrededor de más de 100 laboratorios desplegables en AWS que recrean configuraciones inseguras reales:
- Escaladas de privilegios IAM
- Roles excesivamente permisivos
- Lambdas públicas con privilegios administrativos
- Buckets S3 expuestos
- Chains multi-hop entre cuentas
- Toxic combinations de servicios AWS
La idea es sencilla pero potente:
- Despliegas un entorno vulnerable en una cuenta sandbox.
- Lo explotas manualmente o con scripts automatizados.
- Validas si tus herramientas CSPM/SIEM detectan el problema.
- Destruyes todo cuando terminas.
Todo automatizado.
Lo interesante: no es teoría, es práctica real
Lo que más me llamó la atención es que esto no es una colección de “ejemplos académicos”.
Cada laboratorio:
- despliega recursos reales en AWS,
- crea permisos IAM funcionales,
- incluye scripts de explotación,
- y valida que el ataque funciona de verdad.
Eso elimina muchísimo “falso positivo mental” que vemos a veces en artículos de seguridad cloud donde algo parece explotable… hasta que intentas hacerlo.
Aquí cada path está probado.
La filosofía detrás del proyecto me parece brillante
El proyecto nace de otro recurso muy interesante llamado pathfinding.cloud, un catálogo de técnicas de privilege escalation en AWS.
Pero los autores dieron un paso más:
“No queremos publicar paths teóricos. Queremos demostrar que funcionan.”
Así que empezaron creando laboratorios Terraform para validar cada técnica documentada.
Y acabaron construyendo un ecosistema completo de labs reutilizables.
El workflow es absurdamente cómodo
Han creado una CLI llamada plabs que abstrae Terraform completamente.
El flujo típico es algo así:
plabs init
plabs
Eso abre una TUI interactiva donde puedes activar laboratorios con el teclado.
Después:
plabs apply
Y automáticamente despliega los entornos vulnerables.
Cuando quieras probar el ataque:
plabs demo iam-002-iam-createaccesskey
Y el propio framework ejecuta la explotación paso a paso.
Finalmente:
plabs destroy
Y limpia todos los recursos.
Algunos escenarios son especialmente buenos
Hay laboratorios bastante realistas y muy útiles para equipos cloud security:
Escaladas IAM clásicas
Por ejemplo:
iam:CreateAccessKeyiam:PassRolelambda:UpdateFunctionCodessm:SendCommand
Escenarios que muchísima gente subestima en auditorías AWS.
Multi-hop attacks
Aquí es donde el proyecto se pone realmente interesante.
No se limitan a:
“usuario A puede asumir rol B”.
También modelan cadenas completas:
User → RoleA → RoleB → AdminRole
O movimientos laterales entre cuentas AWS distintas.
Eso se acerca muchísimo más a cómo funcionan los ataques cloud reales.
“Attackers think in graphs”
Hay una frase de John Lambert que mencionan y que define perfectamente el problema:
“Defenders think in lists. Attackers think in graphs.”
Y es totalmente cierto en cloud.
Muchos equipos siguen viendo permisos IAM de forma aislada:
- “este rol parece seguro”
- “esta Lambda no tiene admin”
- “este bucket no es público”
Pero cuando conectas relaciones:
- AssumeRole
- PassRole
- Lambda invoke
- STS chaining
- Resource policies
…aparecen caminos completos hacia privilegios críticos.
Ese enfoque “graph-based” es probablemente la parte más valiosa de todo el proyecto.
También sirve para validar herramientas CSPM
Esto me parece especialmente potente para empresas.
Puedes usar los labs para responder preguntas reales:
- ¿Mi CSPM detecta esta mala configuración?
- ¿Mi SIEM genera alertas?
- ¿Mi graph engine reconstruye el path completo?
- ¿Mi equipo detectaría esto en producción?
En otras palabras: no solo practicas explotación.
También puedes validar controles defensivos de manera reproducible.
Todo está hecho pensando en entornos aislados
Y aquí viene la advertencia importante.
Estos labs crean cosas deliberadamente peligrosas:
- usuarios admin,
- buckets públicos,
- Lambdas expuestas a Internet,
- security groups abiertos,
- roles excesivamente permisivos.
NO están pensados para cuentas reales.
De hecho, los propios autores insisten constantemente en:
- usar cuentas sandbox,
- preferiblemente organizaciones AWS separadas,
- activar billing alerts,
- y destruir recursos cuando termines.
Me parece una decisión acertada porque el proyecto intenta ser útil sin minimizar el riesgo.
Instalación rápida
La instalación es bastante sencilla.
Con Go:
go install -v github.com/DataDog/pathfinding-labs/cmd/plabs@latest
Con Homebrew:
brew tap DataDog/pathfinding-labs https://github.com/DataDog/pathfinding-labs
brew install DataDog/pathfinding-labs/plabs
Después:
plabs init
Y el asistente configura perfiles AWS y Terraform automáticamente.
Lo mejor: es open source
El repositorio está aquí: https://github.com/DataDog/pathfinding-labs
Y el catálogo web aquí: https://pathfinding.cloud/labs
Mi impresión
Sinceramente, creo que este proyecto puede convertirse en una referencia para entrenamiento práctico en seguridad cloud AWS.
Especialmente porque cubre un hueco que hasta ahora estaba muy fragmentado:
- teoría IAM,
- privilege escalation,
- CSPM validation,
- graph security,
- attack simulation.
Todo unido en un mismo framework.
Si trabajas en:
- cloud security,
- offensive security,
- detección,
- IAM hardening,
- o arquitectura AWS,
merece muchísimo la pena dedicarle unas horas.
Porque pocas cosas enseñan tanto como explotar tú mismo una mala configuración que podrías tener mañana en producción.
