Endurecer Active Directory: 5 medidas inmediatas contra ataques de identidad
⏱ 9 min de lectura
Un Active Directory comprometido significa, en la mayoría de los casos: daño total. Los atacantes se mueven lateralmente por la red, escalan privilegios y cifran toda la infraestructura en cuestión de horas. Aun así, en muchas empresas el AD sigue funcionando con configuraciones de la época de Windows Server 2008. La razón: nadie se atreve a tocar servicios de directorio productivos. Pero precisamente esta indecisión hace que las organizaciones sean vulnerables.
Según el Microsoft Digital Defense Report 2024, la autenticación multifactor (MFA) bloquea el 99,9 por ciento de todos los ataques automatizados contra identidades. La mitad de todos los incidentes de ransomware comienzan con una identidad de AD comprometida. Cinco medidas concretas reducen inmediatamente la superficie de ataque y pueden implementarse sin proyectos de meses de duración.
En resumen
🔒 Kerberoasting y ataques con Golden Ticket afectan al 90 por ciento de los entornos AD con configuraciones predeterminadas
🛡 La administración por niveles (Tiered Administration) separa cuentas administrativas según su criticidad y detiene el movimiento lateral
⚙ La rotación de la contraseña de KRBTGT y la imposición de AES eliminan dos de las clases de ataque más peligrosas
📊 Las estaciones de acceso privilegiado (PAW) cuestan menos que un solo incidente de ransomware
🎯 Datos de Semperis: el 68 por ciento de las empresas no dispone de copias de seguridad específicas para AD
Por qué Active Directory sigue siendo el objetivo principal de ataque
Active Directory gestiona identidades, derechos de acceso y directivas de grupo en más del 90 por ciento de todos los entornos empresariales a nivel mundial. Quien controle el AD, controla la red. Esto lo saben bien grupos atacantes como BlackCat, LockBit y Cl0p, que explotan deliberadamente vulnerabilidades en la autenticación Kerberos, configuraciones LDAP y cuentas con privilegios.
El problema: muchas instalaciones de AD provienen de una época en la que la seguridad quedaba por detrás de la funcionalidad. Las cuentas de servicio funcionan con derechos de administrador de dominio, la contraseña de KRBTGT no se ha cambiado desde la instalación inicial y el monitoreo se limita a comprobaciones ocasionales de los registros de eventos. Esta deuda técnica convierte a cada uno de estos entornos en una invitación abierta para los operadores de ransomware.
Medida 1: Implementar la administración por niveles (Tiered Administration)
El modelo de administración por niveles (Tiered Administration) de Microsoft divide el entorno AD en tres zonas de seguridad: Nivel 0 (controladores de dominio e infraestructura AD), Nivel 1 (servidores y aplicaciones) y Nivel 2 (dispositivos finales y usuarios). Una cuenta de administrador del Nivel 2 nunca debe poder iniciar sesión en un sistema del Nivel 0. Suena sencillo, pero en la práctica rara vez se aplica.
La implementación comienza con un inventario: ¿qué cuentas tienen derechos de administrador de dominio y los necesitan realmente? En la mayoría de los entornos, el número de cuentas con privilegios es de tres a cinco veces superior al mínimo necesario. Cada cuenta privilegiada innecesaria es un punto de entrada potencial.
Inmediatamente aplicable: Cree cuentas de administrador dedicadas por nivel. Bloquee los inicios de sesión entre niveles mediante directiva de grupo (User Rights Assignment). Desactive la cuenta de administrador integrada (Built-in Administrator) y sustitúyala por cuentas nombradas con una trazabilidad de auditoría clara.
Medida 2: Detener Kerberoasting mediante la imposición de AES
Kerberoasting es una de las técnicas de ataque más efectivas contra Active Directory. Los atacantes solicitan con una cuenta de usuario normal tickets de servicio para nombres principales de servicio (SPNs) y descifran los tickets cifrados con RC4 fuera de línea mediante fuerza bruta. Como este ataque no genera ni un solo evento sospechoso en el registro de seguridad, en la mayoría de los entornos pasa desapercibido.
La contramedida es clara: imponga el cifrado AES-256 para todos los tickets Kerberos y desactive RC4. Los tickets cifrados con AES no pueden descifrarse en un tiempo razonable con el hardware actual. Al mismo tiempo, todas las cuentas de servicio deben tener contraseñas de al menos 25 caracteres. Aún mejor: cuentas de servicio administradas por grupo (gMSA), que rotan automáticamente contraseñas de 120 caracteres.
„Active Directory es la columna vertebral de la TI empresarial. Si cae, todo cae. Nueve de cada diez ataques de ransomware comprometen Active Directory como vector de ataque central.“
Semperis Identity Security Research, 2024
Contrapunto: algunos equipos de TI evitan imponer AES por temor a problemas de compatibilidad con aplicaciones antiguas. Esta preocupación es legítima, pero resoluble. Pruebe primero el cambio en modo auditoría: active el registro de Kerberos (ID de evento 4769) e identifique los sistemas que aún solicitan RC4. Por lo general, son menos de los esperados.
Medida 3: Rotar la contraseña de KRBTGT
La cuenta KRBTGT firma cada ticket Kerberos en todo el dominio. Quien conozca la contraseña de KRBTGT puede crear Golden Tickets y autenticarse ilimitadamente como cualquier usuario. Este ataque sobrevive a los restablecimientos de contraseña de cuentas individuales e incluso a reinstalaciones de servidores. Solo una doble rotación de la contraseña de KRBTGT cierra esta puerta trasera.
Microsoft recomienda una rotación periódica, pero en la práctica muchas empresas nunca cambian la contraseña de KRBTGT. La doble rotación es necesaria porque Active Directory almacena dos versiones de la contraseña: la actual y la anterior. Solo cuando ambas versiones se han reemplazado por nuevas, los hashes robados pierden validez.
Inmediatamente aplicable: Cambie la contraseña de KRBTGT dos veces con al menos 12 horas de diferencia (duración máxima del ticket). Planifique esta rotación trimestralmente. En cada baja de un empleado con acceso al Nivel 0: rotación inmediata y extraordinaria.
„Si no sabe cuándo se cambió por última vez su contraseña de KRBTGT, asuma que un atacante la conoce.“
Microsoft Compromise Recovery Security Practice (CRSP)
Medida 4: Configurar estaciones de acceso privilegiado (PAW)
Las estaciones de acceso privilegiado (PAW) son dispositivos dedicados que se utilizan exclusivamente para tareas administrativas en sistemas del Nivel 0 y Nivel 1. Sin cliente de correo, sin navegador, sin suite de Office. La idea es que, si un administrador realiza su trabajo diario y sus tareas privilegiadas en el mismo equipo, un solo clic en un enlace de phishing basta para que se roben sus credenciales de administrador de dominio.
El costo de una PAW oscila entre 1.500 y 3.000 euros por puesto, según la configuración. Suena mucho, pero se relativiza rápidamente: según un estudio de Sophos de 2024, el costo medio de recuperación de un incidente de ransomware es de 2,73 millones de dólares estadounidenses. Un puñado de estaciones endurecidas es, en comparación, una diferencia insignificante.
Inmediatamente aplicable: Comience con una única PAW para el administrador de dominio más importante. Configúrela como una máquina con Windows 11 con Credential Guard, Device Guard y AppLocker. Permita solo conexiones RDP a los controladores de dominio. Sin conectividad a Internet, sin acceso USB.
Medida 5: Establecer copias de seguridad y recuperación específicas para AD
Una copia de seguridad regular de servidor salva archivos y bases de datos, pero no un Active Directory funcional. La base de datos de AD (NTDS.dit), SYSVOL, el registro del sistema y la configuración de arranque deben guardarse de forma coherente y conjunta. Una NTDS.dit sin el estado SYSVOL correspondiente es inútil para una restauración.
Semperis, un especialista en seguridad de AD, informa en su Identity Security Study que el 68 por ciento de las empresas encuestadas no tiene un plan de recuperación específico para AD. Estas organizaciones necesitarían días o semanas para restaurar su infraestructura de identidad tras una caída total del AD. Durante ese tiempo, toda la empresa estaría paralizada.
Inmediatamente aplicable: Implemente Windows Server Backup con estado del sistema en al menos dos controladores de dominio. Almacene las copias de seguridad fuera de línea y fuera del dominio. Pruebe la restauración trimestralmente en un entorno de prueba aislado. Documente el proceso de recuperación de forma que incluso un proveedor externo pueda ejecutarlo.
Monitorización: La sexta medida que lo une todo
El endurecimiento sin monitorización es como una cerradura sin alarma. Incluso con las cinco medidas implementadas, las empresas deben supervisar continuamente las actividades sospechosas en AD. Tres ID de evento merecen especial atención: 4769 (solicitudes de ticket de servicio Kerberos, indicador de Kerberoasting), 4672 (asignación de privilegios especiales, detecta el uso de Golden Ticket) y 4728/4756 (cambios en grupos con privilegios).
Herramientas como BloodHound visualizan rutas de ataque en AD y descubren cadenas de permisos inesperadas. Un análisis semanal con BloodHound muestra si han surgido nuevas rutas de riesgo. Complementado con un SIEM que tenga reglas de detección específicas para AD, se crea un sistema de alerta temprana que detecta ataques antes de que causen una paralización total.
Lista de verificación: Endurecimiento de AD en 30 días
✅ Semana 1: Inventario de cuentas con privilegios, retirar derechos innecesarios de administrador de dominio
✅ Semana 2: Activar imposición de AES, rotar doblemente la contraseña de KRBTGT
✅ Semana 3: Configurar la primera PAW, aplicar administración por niveles mediante GPO
✅ Semana 4: Configurar copia de seguridad de AD con estado del sistema, probar la recuperación, activar reglas de monitorización
Conclusión: El endurecimiento no es un proyecto, sino un estado operativo
Endurecer Active Directory no es un proyecto único con informe final y visto bueno. Es un estado operativo continuo que requiere rotaciones regulares de KRBTGT, monitorización constante y limpieza permanente de cuentas con privilegios. Las cinco medidas inmediatas de este artículo reducen drásticamente la superficie de ataque en 30 días. La seguridad perfecta no existe, pero cada medida implementada aumenta exponencialmente el costo para los atacantes.
Quien empiece ahora con la protección del Nivel 0 lleva una ventaja decisiva a la mayoría de las empresas. El mejor momento fue hace cinco años. El segundo mejor es hoy.
Preguntas frecuentes
Nuestro AD lleva 10 años funcionando estable. ¿Por qué deberíamos endurecerlo ahora?
Porque estabilidad no equivale a seguridad. El 78 por ciento de todos los ataques de ransomware utilizan Active Directory como punto de entrada. Muchos entornos AD han acumulado a lo largo de los años configuraciones que en 2015 eran aceptables, pero en 2026 representan una puerta abierta: cifrado RC4, contraseñas de KRBTGT sin rotar, falta de separación por niveles.
¿Podemos endurecer AD sin tiempos de inactividad?
Sí, si procedemos paso a paso. La administración por niveles y las PAW pueden implementarse durante la operación normal. La imposición de AES y la rotación de KRBTGT requieren planificación, pero pueden realizarse durante el horario laboral. Solo la prueba de copia de seguridad de AD es crítica, ya que requiere un failover controlado. Planifique una ventana de mantenimiento para ello.
¿Basta Microsoft Defender for Identity como monitorización de AD?
Como base, sí, pero tiene puntos ciegos en variantes de Kerberoasting y Pass-the-Hash. Para empresas con más de 500 objetos AD, los expertos recomiendan una combinación: Defender for Identity como base, más una herramienta especializada de monitorización de AD como Semperis Directory Services Protector o CrowdStrike Falcon Identity Protection.
¿Cuánto cuesta el endurecimiento de AD para una empresa con 1.000 usuarios?
Los costos puros de herramientas son manejables: las herramientas internas de Microsoft cubren el 60 por ciento. Espere entre 2 y 4 semanas de trabajo de un especialista en AD (interno o externo, entre 8.000 y 15.000 euros). Además, se necesitan entre 2 y 4 horas semanales de forma continua para monitorización y mantenimiento. La alternativa: un incidente medio de ransomware cuesta, según IBM, 4,9 millones de dólares estadounidenses.
¿Debemos implementar las 5 medidas simultáneamente?
No. Priorice según el riesgo: primero la rotación de KRBTGT y la imposición de AES (1-2 días de trabajo, mayor efecto inmediato). Segundo, la administración por niveles (1-2 semanas). Tercero, PAW y recuperación de copias de seguridad de AD (2-4 semanas). La lista de verificación de 30 días del artículo proporciona el plan concreto.
Artículos relacionados
- Seguridad de API en la empresa: en 5 pasos hacia una estrategia de interfaces robusta (SecurityToday)
- DORA y NIS2 simultáneamente: gestionar la doble carga de cumplimiento (SecurityToday)
- Disaster Recovery as a Service: evaluación práctica para equipos de TI (cloudmagazin)
- Presupuesto de ciberseguridad 2026: lo que el CFO debe escuchar del CISO (Digital Chiefs)
Fuente imagen: Pexels / Brett Sayles
