Miguel Ángel de Castro, Sales Engineer en CrowdStrike 

Uno de los servicios más importantes en cualquier organización hoy en día es el Directorio Activo, en el que se almacena la información sobre los usuarios y sus privilegios o incluso los nombres de cada máquina y de cada servicio. Por ello, se ha convertido en el objetivo primordial de los ciberdelicuentes, ya que acceder a las infraestructuras tecnológicas de una empresa desde el directorio activo como un usuario aparentemente legítimo les permite realizar recorridos laterales y no ser descubierto, en muchas ocasiones, hasta que consigue lo que busca.  

La mayoría de organizaciones modernas y equipos de TI emplean servicios de gestión de la identidad para habilitar el acceso a aplicaciones, sistemas, recursos y grupos de usuarios. El servicio más extendido actualmente en las compañías es concretamente el Active Directory (AD). 

La seguridad de Microsoft Active Directory es importante para las empresas porque representa ‘las llaves de entrada al reino’ y, por esta misma razón, también se han convertido en la prioridad número uno para los adversarios. Por eso, es importante que las empresas sean plenamente conscientes de las vulnerabilidades y del impacto que un problema de configuración en estos repositorios de identidad puede ocasionar para la organización en materia de ciberriesgo y posibles brechas de seguridad.  

Desde CrowdStrike, el equipo de Threat Hunting observa diariamente cómo los cibercriminales utilizan credenciales de cuentas válidas en las diferentes fases y tácticas de un ataque. Obtener credenciales permite a los atacantes suplantar al propietario de la cuenta, lo que supone que podrá realizar actividades aparentemente legítima, como un empleado, un contratista o incluso un proveedor. Como el atacante parece un usuario legítimo, y habitualmente es ausente de malware, este tipo de ataque es extremadamente difícil de detectar para los controles de seguridad tradicionales.  
 
El Directorio Activo es uno de los sistemas más críticos de una organización, ya que almacena información sensible como usuarios, grupos, ordenadores, aplicaciones, políticas, contactos y, por supuesto, las credenciales de inicio de sesión de los recursos y aplicaciones a los que se accede. Lanzado por primera vez en 1999, AD es sin duda una tecnología ‘legacy’; sin embargo, sigue siendo la infraestructura de identidad de facto en la mayoría de las empresas modernas. Más del 90% de las empresas del IBEX-35 utilizan AD, por lo que no es de extrañar que este servicio de directorio sea el objetivo de los adversarios y, por tanto, debe ser también la prioridad para la protección por parte de los equipos de seguridad. 

En los ataques a la cadena de suministro más recientes, y en los últimos ataques de ransomware, las credenciales comprometidas fueron el factor clave en el movimiento lateral y en la progresión del ataque. Según un informe de IBM y del Instituto Ponemon, en 2021, las credenciales de usuario robadas fueron la causa raíz más común de las brechas. Y lo que es más importante: el estudio también destaca que las brechas resultantes de las credenciales comprometidas tardaron más tiempo -una media de 250 días- en ser identificadas. 

Una vulnerabilidad o problema de configuración en AD expone la infraestructura de identidad y crea una superficie de ataque muy grande que puede derivar en ataques destructivos o en exfiltración de información. Los equipos de seguridad (SOC) y gestión de identidades y accesos (IAM) necesitan visibilidad completa del estado de configuración del AD para poder evitar, entre otros riesgos, la existencia de protocolos obsoletos, inseguros o la actividad no autorizada de protocolos de acceso remoto o conexiones a servidores críticos.    

Tradicionalmente, las organizaciones han invertido en controles de seguridad perimetral para proteger a la empresa del tráfico norte-sur. Para el tráfico este-oeste utilizan soluciones de microsegmentación, que se han hecho populares en los últimos dos años. Debido a la transformación digital, la explosión de usuarios y aplicaciones y las iniciativas de Zero Trust, el perímetro se está acercando a los recursos. Dado que la mayoría de los ataques modernos se basan en las credenciales, la identidad no solo es el elemento más importante en las estrategias Zero Trust: la identidad es el nuevo perímetro.  

Las organizaciones necesitan una nueva aproximación a la gestión del riesgo de identidades que les permita detectar, prevenir y responder contra ataques modernos de acceso inicial, escalado de privilegios o movimiento lateral abusando identidades legítimas.