BRIEFING DE SEGURIDAD · 11.07.2026 DEENFRES

Práctica e Implementación

Endurecer Active Directory antes de que lo haga el atacante

Por Alec Chizhik · 6 de julio de 2026 · 7 min de lectura

El Active Directory es el corazón de la TI en la mayoría de las empresas. Quien lo controla, controla todo: cada servidor, cada acceso, cada recurso compartido. Por eso es el primer objetivo después de una intrusión exitosa. La buena noticia es que las vías hacia él son conocidas. Quien conoce las rutas de ataque típicas puede cerrarlas de forma selectiva antes de que un atacante las recorra.

Lo más importante en resumen

  • El objetivo: Tras la intrusión, los atacantes quieren el control del Active Directory porque es la llave maestra de toda la red.
  • Las palancas: Separar y proteger las cuentas privilegiadas, desactivar protocolos obsoletos y cerrar las rutas de ataque siempre idénticas.
  • El enfoque: El endurecimiento no es un proyecto con fecha de finalización, sino un proceso continuo de separación, desactivación y supervisión.

Por qué el Active Directory es el primer objetivo

Un atacante que toma el control de una sola estación de trabajo ha logrado poco. El valor está en la propagación. El Active Directory administra identidades, derechos y el acceso a casi todos los recursos de un entorno Windows. Quien obtiene el control de un Administrador de dominio puede iniciar sesión en cualquier lugar sin ser detectado, extraer datos y, en el peor de los casos, cifrar todo el entorno.

Por eso, casi todos los ataques importantes siguen el mismo patrón. Tras el primer acceso, el atacante busca formas de elevar sus privilegios y moverse lateralmente por la red. El objetivo siempre es el mismo: pasar de una cuenta normal a una cuenta privilegiada y desde allí al control total del dominio. Quien dificulta este movimiento le quita fuerza al ataque.

Las rutas de ataque típicas

Las vías hacia el control del dominio están bien documentadas. En el Kerberoasting, un atacante solicita tickets para cuentas de servicio y descifra sus contraseñas, a menudo débiles, sin conexión. En la delegación sin restricciones, un servidor comprometido puede asumir las identidades de otros usuarios. Los derechos de acceso mal configurados en el directorio permiten obtener privilegios más altos paso a paso.

Además está el robo de credenciales directamente de la memoria de un sistema. Si un administrador inicia sesión en un equipo ya comprometido, el atacante puede capturar sus credenciales y reutilizarlas. Estas rutas no son trucos exóticos, sino estándar en casi todos los ataques. Lo que tienen en común es que se pueden dificultar significativamente con medidas específicas.

El modelo de Tiering como base

La medida individual más efectiva es la separación de privilegios en niveles, el llamado Tiering. La idea es sencilla: las cuentas con altos privilegios solo pueden iniciar sesión en sistemas que estén igualmente protegidos. Un Administrador de dominio nunca inicia sesión en una estación de trabajo normal, porque allí podrían capturarse sus credenciales.

Definición · Modelo de Tiering

Separación de cuentas privilegiadas en niveles: controladores de dominio con los privilegios más altos, debajo los servidores y aplicaciones, y debajo los puestos de trabajo. Las cuentas privilegiadas no deben mezclarse entre los niveles.

En la práctica, esto significa tres niveles. El superior comprende los controladores de dominio y los privilegios más altos. El intermedio comprende servidores y aplicaciones. El inferior comprende los puestos de trabajo de los usuarios. Entre estos niveles no deben mezclarse las cuentas privilegiadas. Esto incluye cuentas administrativas propias por nivel y equipos de administración especialmente endurecidos y dedicados para las tareas más altas.

Medidas concretas de endurecimiento

Sobre la base del Tiering se construyen pasos concretos. Los protocolos obsoletos e inseguros deben desactivarse, sobre todo los antiguos métodos de autenticación que se pueden interceptar fácilmente. Las contraseñas de administrador local de los equipos deben ser únicas y gestionadas de forma centralizada, para que una contraseña descifrada no abra inmediatamente muchos sistemas.

Las cuentas de servicio necesitan contraseñas largas y aleatorias o, mejor aún, cuentas gestionadas cuyos contraseñas rote el propio sistema. Esto le quita la base al Kerberoasting. El número de cuentas altamente privilegiadas debe reducirse a lo estrictamente necesario. Cada delegación sin restricciones debe revisarse y, en la medida de lo posible, eliminarse. Cada una de estas medidas cierra una de las rutas de ataque conocidas.

Detección y control continuo

El endurecimiento solo no basta, porque las configuraciones se deterioran en el día a día. Una nueva cuenta de servicio, un permiso asignado rápidamente, un acceso de prueba olvidado: ya hay una ruta abierta de nuevo. Por eso, el endurecimiento incluye la supervisión continua. Las solicitudes sospechosas de tickets, los inicios de sesión inusuales de cuentas privilegiadas o los cambios en grupos críticos deben activar alarmas.

Igualmente importante es revisar regularmente el propio directorio con los ojos de un atacante. Las herramientas que hacen visibles las rutas de ataque muestran exactamente las cadenas a través de las cuales una cuenta podría llegar al control del dominio. Quien conoce estas rutas puede cerrarlas de forma prioritaria, en lugar de trabajar ciegamente en muchos lugares al mismo tiempo.

Qué hacer primero

El punto de partida es un inventario honesto. ¿Cuántas cuentas altamente privilegiadas hay realmente, dónde inician sesión, qué protocolos obsoletos siguen activos? A partir de esta visión general, el orden surge casi por sí solo: primero reducir el número de cuentas privilegiadas, luego limitar su inicio de sesión a sistemas protegidos y luego cerrar las brechas conocidas de protocolos y delegaciones.

Primeros pasos de endurecimiento

  • Reducir el número de cuentas altamente privilegiadas a lo estrictamente necesario
  • Limitar el inicio de sesión de las cuentas privilegiadas a sistemas protegidos
  • Desactivar protocolos obsoletos e inseguros
  • Gestionar de forma única y centralizada las contraseñas de administrador local
  • Revisar y eliminar la delegación sin restricciones

El error sería esperar el concepto global perfecto. Cada ruta cerrada reduce el riesgo de inmediato. El endurecimiento del Active Directory no es un proyecto único, sino una disciplina que se establece una vez y luego se mantiene de forma permanente. El primer paso cuenta más que el plan perfecto.

Preguntas frecuentes

Cada pregunta está cerrada. Al tocarla se desbloquea la respuesta.

¿Por qué es el Active Directory un objetivo tan popular?

Porque administra identidades y derechos de acceso para casi todo el entorno Windows. Quien obtiene el control del dominio puede iniciar sesión en cualquier lugar, extraer datos y, en el peor de los casos, cifrarlo todo.

¿Qué es el Tiering y por qué es tan importante?

El Tiering separa las cuentas privilegiadas en niveles. Un Administrador de dominio solo inicia sesión en sistemas igualmente protegidos, nunca en una estación de trabajo normal. De este modo, sus credenciales no pueden ser capturadas en un equipo comprometido.

¿Qué es el Kerberoasting?

Un atacante solicita tickets para cuentas de servicio e intenta descifrar sin conexión sus contraseñas, a menudo débiles. Las contraseñas largas, aleatorias o rotadas automáticamente para las cuentas de servicio le quitan la base al ataque.

¿Basta con endurecer el Active Directory una sola vez?

No. Las configuraciones se deterioran en el día a día por nuevas cuentas, permisos rápidos o accesos olvidados. El endurecimiento requiere supervisión continua y revisión periódica de las rutas de ataque.

¿Con qué se debe empezar?

Con un inventario de las cuentas altamente privilegiadas y de los protocolos obsoletos activos. Después, reducir el número de cuentas privilegiadas, limitar su inicio de sesión a sistemas protegidos y cerrar las brechas conocidas.

Selección de la redacción

RecomendadoMFA adaptativo: La presión del NIS2 como palanca de Zero Trust en la PYMERecomendadoCuando una llamada paraliza la producción automotriz

Más de la red MBF Media

Digital ChiefsLa inteligencia artificial escribe el código. ¿Quién responde por ello?

Lectura adicional

Una revista de Evernine Media GmbH