Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > Por qué Active Directory sigue siendo el objetivo número uno de los ciberataques

Por qué Active Directory sigue siendo el objetivo número uno de los ciberataques

Publicado el 5 de enero de 2026
Compartir esta página :

Más de 9 de cada 10 ataques tienen como objetivo Active Directory (AD). Este sistema, que es el verdadero centro neurálgico del sistema de información de la empresa, centraliza la gestión de identidades y accesos. Pero esta concentración de poder también lo convierte en el «Santo Grial» para los ciberdelincuentes. Descubra las vulnerabilidades más frecuentes y cómo evitar que un AD mal protegido comprometa todo su sistema de información.

Imagen Artículo Ciberseguridad Active Directory

Cada año se confirma la misma tendencia: cuando un ciberataque tiene éxito, Active Directory casi siempre acaba apareciendo en la cadena de compromiso. Independientemente del punto de entrada inicial, el objetivo sigue siendo el mismo: Tomar el control de la identidad es tomar el control del sistema de información.

El papel central de Active Directory

En primer lugar, es necesario comprender bien qué es Active Directory (AD): es el servicio de directorio que centraliza la gestión de identidades y accesos en entornos Windows.

AD no solo sirve para crear cuentas de usuario. Define quién puede conectarse, a qué, con qué derechos y en qué condiciones. Orquesta la autenticación, la delegación de privilegios, el acceso a las aplicaciones y la confianza entre máquinas.

En otras palabras, AD representa la base de confianza del SI. Cuando un atacante abusa de él, ya no elude los controles de seguridad: actúa como un actor legítimo.

Por qué AD se ha convertido en el objetivo preferido de los piratas informáticos

Ante todo, la propia arquitectura de AD la convierte en un objetivo estratégico. Las identidades ya no son un simple elemento del SI: son definen quién puede hacer qué, qué recursos y en qué momento. En lugar de atacar servicios aislados, hoy en día un atacante se centra en la identidad para obtener un pivote, un punto de apoyo para desplazarse en el SI.

A continuación, la Complejidad histórica de AD plantea un problema. La mayoría de los bosques AD (conjunto lógico que agrupa uno o varios dominios) tienen más de diez años de antigüedad. Con el paso del tiempo, los equipos han añadido cuentas de servicio, acumulado GPO (Objetos de política de grupo: reglas implementadas en estaciones de trabajo/servidores), concedió derechos «temporales» que nunca fueron retirados.

A diferencia de una aplicación moderna que se puede reescribir, AD vive con su pasado. Esta acumulación permite al atacante encontrar fácilmente grupos privilegiados, derechos excesivos o cuentas olvidadas. Tantos resortes para escalar en la escala de privilegios.

Por otra parte, aunque Microsoft ofrece ahora mecanismos de protección avanzados, pocas organizaciones los activan o configuran correctamente..

En realidad, muchas organizaciones dudan en tocar AD. Temen los impactos en la producción. Sin embargo, esta comprensible prudencia da lugar a una deuda técnica identitaria, que los atacantes explotan metódicamente.

Por ejemplo, el grupo «Usuarios protegidos» introducido en Windows Server limita considerablemente el uso de identificadores robados. Impide el uso de NTLM (antiguo protocolo de autenticación de Windows), impone comportamientos más estrictos en torno a Kerberos (autenticación moderna mediante tickets) y desactiva ciertas delegaciones arriesgadas para cuentas sensibles.

Sin embargo, esta funcionalidad requiere versiones recientes de los controladores de dominio y los puestos, así como una renovación reciente de las contraseñas.

Cómo los ataques aprovechan AD

En el campo, el delantero no suele romper la defensa como una barrera. Aprovecha sus mecanismos legítimos en su beneficio. Un escenario frecuente comienza con un phishing dirigido o compromiso de una estación de usuario.

A partir de ahí, el atacante recopila información (cuentas, grupos, máquinas). Enumera los grupos, identifica las cuentas con privilegios y localiza las cuentas de servicio. Esta fase es discreta y, a menudo, pasa desapercibida sin una supervisión específica.

A continuación, continúa con técnicas bien conocidas:

  • Kerberoasting : solicita tickets Kerberos para cuentas de servicio y rompe los hash sin conexión.
  • Pass-the-Hash (PtH) : reutiliza un hash NTLM recuperado para autenticarse en otros recursos sin conocer la contraseña.
  • Abuso de delegaciones o GPO : escala privilegios mediante derechos mal controlados.
  • DCSync : simula un controlador de dominio para sincronizar los secretos del directorio como un DC legítimo. En este punto, el dominio cae.

Cada uno de estos pasos se basa en los protocolos estándar de AD, pero permite al atacante avanzar sin activar ninguna alarma si no hay supervisión.

Sin embargo, las vulnerabilidades suelen seguir siendo básicas.

Contrariamente a lo que se cree, los ataques AD no se basan en vulnerabilidades sofisticadas o 0-day, sino en malas prácticas persistentes. Entre los riesgos más frecuentes se encuentran:

  • En grupos con privilegios excesivos (Administradores de dominio, administradores de empresa).
  • En cuentas de servicio no segmentadas y contraseñas estáticas.
  • En contraseñas que nunca se renuevan, lo que facilita la explotación durante un Kerberoasting.
  • Laausencia de MFA en cuentas sensibles, lo cual es recomendado por NIS 2 y las buenas prácticas modernas.
  • El Visibilidad reducida sobre los comportamientos de autenticación., lo que dificulta la identificación de acciones anormales.

En la práctica, los derechos heredados, las cuentas inactivas y las configuraciones aproximadas son suficientes para acelerar una escalada.

Entonces, ¿cómo se puede reforzar realmente Active Directory?

¿Cuáles son las medidas concretas para reducir esta superficie de ataque?

En primer lugar, recuperar el control de los privilegios

Comience por aplicar el principio del mínimo privilegio. (otorgar solo los derechos necesarios). Segmente los derechos creando roles específicos y evitando utilizar grupos con privilegios elevados para la administración diaria. Esto limita el impacto de las cuentas comprometidas.

Como recordatorio, AD contiene grupos integrados críticos como Administradores de dominio, Empresa y Esquema, cuya vulnerabilidad permite controlar todo el bosque.

A continuación, active las cuentas protegidas.

Microsoft proporciona un mecanismo nativo que a menudo se infrautiliza: el grupo. Usuarios protegidos (Usuarios protegidos) para las cuentas administrativas. Este enfoque impide ciertas formas de robo de credenciales y obliga a utilizar la autenticación Kerberos con cifrado moderno, lo que reduce el riesgo de reutilización de tickets o cachés NTLM.

Implementar políticas de autenticación y silos.

Esto permite restringir aún más las condiciones en las que determinadas cuentas pueden autenticarse u obtener tickets.

Estas políticas, combinadas con auditorías periódicas de miembros de grupos sensibles, proporcionan una mejor postura defensiva.

Reforzar el acceso mediante MFA

Debería ser un reflejo: aplique la autenticación multifactor (MFA) no solo para los accesos externos, sino también para las cuentas de alto valor, de acuerdo con las recomendaciones de NIS 2. La autenticación multifactor reduce drásticamente la probabilidad de compromiso, incluso en caso de fuga de contraseñas.

Por último, supervisar y corregir

Incluso con controles técnicos sólidos, es necesario vigilar activamente Comportamientos de identidad. Esto incluye el análisis de solicitudes Kerberos no válidas, cambios de grupos sensibles y autenticaciones inusuales.

Muchos herramientas modernas de IA aplicadas a la seguridad (Microsoft Defender for Identity, CrowdStrike Identity Protection, Exabeam o Securonix) permiten identificar señales débiles indicadoras de ataque, picos de tickets, secuencias de acceso incoherentes, movimientos laterales atípicos. Hoy en día, la IA en ciberseguridad se basa principalmente en el UEBA: el análisis de comportamientos.

Además, integrar AD con soluciones de seguridad de red, como cortafuegos. que utilizan directamente los objetos y grupos de AD en sus políticas permite reducir aún más los vectores de acceso no autorizados y disponer de una política de acceso más precisa.

Active Directory no es un problema porque esté obsoleto. Es un problema porque sigue siendo demasiado potente y está insuficientemente supervisado. Al situar la identidad en el centro de la estrategia de ciberseguridad, reforzar los ajustes esenciales y aprovechar las capacidades de detección modernas, las organizaciones reducen drásticamente su exposición.

Por último, proteger AD no significa reconstruirlo todo. Significa comprender, simplificar y recuperar el control.

Estos artículos También te puede interesar:

Ilustración del artículo Las principales certificaciones en ciberseguridadLas principales certificaciones de ciberseguridad que todo experto debe conocer  Artículo de ilustración de imágenes Securing APIsCómo proteger las API: buenas prácticas Artículo de ilustración Proteger la identidad y el accesoProteger las identidades y el acceso: los secretos de una IAM moderna

ARTÍCULO ANTERIOR

Proyecto informático: cómo redactar un buen pliego de condiciones

ARTÍCULO SIGUIENTE

Redes sociales en 2026: buenas prácticas que deben priorizar las empresas

Nuestro experto

Consejo editorial de ORSYS

Formado por periodistas especializados en informática, gestión y desarrollo personal, el equipo editorial de ORSYS Le mag [...].

ámbito de formación

Ciberseguridad

formación asociada

Compromiso y seguridad del Active Directory

Seguridad ofensiva de Active Directory, nivel 1

Seguridad ofensiva de Active Directory, nivel 2