Por Nuno Antunes Ferreira, director para España y Portugal de Semperis
La mayoría de las empresas actuales dependen de Microsoft Active Directory (AD) para mantener sus operaciones en funcionamiento. El Directorio Activo es, en esencia, la puerta de enlace que conecta a los empleados con sus recursos en la red de la empresa (como el correo electrónico o los archivos compartidos en red). Los administradores lo utilizan para gestionar los permisos de cada usuario, autenticarlos cuando se conectan y determinar a qué recursos pueden acceder. Es fácil de usar, lleva muchos años funcionando y es extremadamente fiable.
Pero no ha cambiado mucho desde su lanzamiento en el año 2000 y, sin embargo, ahora es más importante que nunca, ya que actúa como base de la mayoría de los sistemas de identidad en la nube que utilizan las empresas en todo el mundo. Como resultado, esta tecnología - de más de 20 años de antigüedad - también se ha convertido en un problema de seguridad.
Por qué AD es un problema hoy en día
En primer lugar, al tratarse de una tecnología lanzada en una época anterior al ransomware, a los sofisticados grupos de cibercriminales y a la adopción generalizada de la computación en la nube, no fue diseñada en absoluto para hacer frente a las complejas amenazas de seguridad a las que nos enfrentamos hoy en día.
En segundo lugar, AD fue diseñado para ser abierto y facilitar su uso. Confía en los usuarios que se conectan a una red para dar prioridad a una experiencia de usuario fluida. Sin embargo, esta apertura dificulta hoy en día la defensa contra los infiltrados.
En tercer lugar, en muchos casos ha albergado más de 20 años de malas prácticas de seguridad que se han acumulado para crear un objetivo jugoso que incluso los atacantes aficionados no pueden pasar por alto.
Por lo tanto, aproximadamente el 90% de todas las empresas están expuestas a violaciones de seguridad como resultado de las vulnerabilidades del Active Directory, y nueve de cada 10 ciberataques implican al AD de alguna manera. La simplicidad de los métodos de ataque utilizados para atacar al AD puede resumirse en 5 pasos:
- Un atacante compromete un PC a través de phishing utilizando un mensaje o correo electrónico fraudulento diseñado para engañar a su blanco para que revele información sensible, como sus credenciales de inicio de sesión para AD.
- A continuación, trabajan para obtener privilegios en esa máquina local de diversas maneras, explotando las vulnerabilidades del propio dispositivo.
- Una vez logrado eso, utilizan el AD para encontrar otros dispositivos y mapear todas los equipos conectados y utilizados dentro de esa red.
- Luego rastrean más dispositivos, moviéndose por la red realizando un reconocimiento inadvertido y difícil de detectar, atacando varios equipos en la red hasta encontrar uno que tenga derechos de administrador del AD.
- Y, por último, aseguran el acceso a las credenciales de una cuenta privilegiada o de administrador. Una vez que tienen eso, tienen el control total de AD y todo lo que depende de él.
Perfilando la amenaza
El AD no sólo es fácil de atacar. También puede ofrecer importantes recompensas a los atacantes. AD tiene esencialmente las llaves del reino de una empresa - el eje central de acceso a sus sistemas críticos - sus ordenadores, aplicaciones de software y otros recursos. En 2021, una empresa tuvo que pagar un rescate de hasta 40 millones de dólares para recuperar el acceso a su red, por lo que atacar al AD es tan sencillo como lucrativo.
Al mismo tiempo, las barreras de entrada para los atacantes se están reduciendo. Gracias al auge del mercado del ransomware como servicio (RaaS), ya no necesitan tener conocimientos técnicos. En su lugar, simplemente compran herramientas y servicios a los que sí lo son.
¿Cómo pueden responder las empresas?
Para minimizar sus vulnerabilidades, primero tiene que saber dónde es vulnerable. Para ello, hay soluciones y soporte disponibles para ayudar a aquellos con poco o ningún conocimiento de ciberseguridad, como Purple Knight - una herramienta gratuita de evaluación de la seguridad de Active Directory construida y gestionada por un grupo líder de expertos en identidad de Microsoft, que puede ayudarle a detectar los puntos débiles de su AD antes de que lo hagan los atacantes, destacando las vulnerabilidades comunes que deben ser abordadas. En el último informe de Purple Knight se enumeran numerosas vulnerabilidades potenciales. Algunos ejemplos comunes son
- Deriva de la configuración: el resultado de años de malas prácticas de AD en las que se otorgan demasiados derechos administrativos a una nueva aplicación en AD con el fin de poner la herramienta en funcionamiento lo antes posible. Las cuentas de administrador comienzan a acumularse en el AD y basta con que una de ellas sea atacada para que se produzcan consecuencias catastróficas.
- Cuentas de administrador heredadas: esqueletos en el armario que pueden volver a crear grandes problemas para una empresa si un atacante consigue acceder a estas cuentas privilegiadas.
- Contraseñas débiles o comunes que permiten a los atacantes acceder a múltiples cuentas a través de una técnica conocida como "password spraying" (literalmente rociado de contraseñas) que va probar entrar utilizando una serie de contraseñas de uso común.
Los ataques a Active Directory ya no son una cuestión de "si" sino de "cuándo". Para obtener apoyo u orientación en el desarrollo de una defensa sólida en todos los ámbitos, vale la pena consultar a profesionales especializados en seguridad de AD para comprender los cambios fundamentales que debe realizar.
