Las amenazas de ciberseguridad que enfrentan las empresas no paran de crecer, y de hecho, según el último informe del Instituto Nacional de Ciberseguridad (INCIBE), publicado en febrero, durante 2025 se gestionaron 122.223 incidentes, lo que supone un incremento del 26% respecto al periodo anterior. Estos ataques además son más sofisticados gracias al empleo de tecnologías como la IA, y están dirigidos a activos críticos dentro de las infraestructuras tecnológicas de las organizaciones, como el Directorio Activo (Active Directory o AD, por sus siglas en inglés), cuya función de orquestador de permisos e identidades lo ha convertido en un objetivo estratégico para los ciberdelincuentes.
El Directorio Activo es un servicio de directorio jerárquico desarrollado por Microsoft para redes de dominios Windows. Su función principal es permitir a los administradores gestionar los permisos y el acceso a los recursos de la red de manera centralizada. Por ello, en su núcleo, el AD almacena información clave como usuarios, sistemas, aplicaciones o servicios, y facilita la interacción entre estos componentes mediante protocolos de autenticación y autorización. La protección de esta pieza clave en la gestión organizativa de las empresas es completamente fundamental ya que, si el AD no es seguro, la organización al completo está comprometida. nettaro, consultora española especializada en ciberseguridad y observabilidad, ya trabaja con organizaciones públicas y privadas de todos los sectores en la implementación de soluciones como Sailpoint o Semperis, personalizadas a cada caso para la seguridad y monitorización que asegure la fiabilidad del Directorio Activo.
De hecho, la importancia de proteger el Directorio Activo es vital, ya que, según datos de Semperis, uno de los partners de nettaro, actualmente nueve de cada diez ataques tienen como objetivo aprovechar vulnerabilidades del AD. Su atractivo radica en que si sus componentes son comprometidos, pueden otorgar un control casi total de la empresa para el atacante. Entre estos, algunos de los más relevantes son los Controladores de Dominio (DC), encargados de procesar las solicitudes de autenticación y verificar las credenciales de los usuarios. Su compromiso implica que un intruso podría controlar todo el entorno de TI. Por otro lado está el protocolo Kerberos, que es el estándar de autenticación de AD. Su función es proteger las credenciales mediante tickets cifrados en lugar de transmitir contraseñas por la red. Sin embargo, ya hay ataques avanzados que permiten manipular estos tickets.
Además, en las arquitecturas modernas, donde las organizaciones operan con un modelo híbrido en el que el Directorio Activo tradicional tiene que sincronizarse en conjunto con soluciones basadas en la nube, como Microsoft Entra ID, se crea una superficie de ataque más amplia, donde las identidades digitales no se limitan al centro de datos corporativo. No obstante, pese a ello, datos del informe “Horizontes de la Seguridad de Identidad 2025” del partner de nettaro, Sailpoint, revelan que el 63 % de las organizaciones se encuentra todavía en las etapas más tempranas de madurez de identidad, dependiendo de procesos manuales de aprovisionamiento, herramientas fragmentadas y controles estáticos. El equipo de expertos de nettaro proporciona a las empresas soluciones de seguridad adaptadas a su infraestructura para una operación híbrida sin fisuras que comprometan el Directorio Activo.
Uno de los principales puntos de entrada al compromiso del Directorio Activo proviene del ransomware. De hecho, el Informe de Riesgo de Ransomware 2025 de Semperis revela que el 83 % de los ataques de ransomware exitosos comprometieron la infraestructura de identidad. Pese a ello, muchas organizaciones carecen de un plan probado de recuperación y de capacidades de respaldo específicas para AD. Esto es crítico ya que la recuperación de Active Directory es compleja y en ocasiones, lenta. El 76 % de las víctimas de ransomware necesitaron mucho más de un día, y en el caso del 18% hasta un mes para regresar a la normalidad total de operaciones.
Frente a este escenario, es clave que las organizaciones trabajen con empresas como nettaro, que ayudan en la implementación de un plan de seguridad para minimizar o recuperar el Active Directory ante un ataque, con pasos concretos que permiten restaurar el control reducir la interrupción de operaciones. Por un lado, la dirección y contención vía la identificación de accesos sospechosos para poder aislarlos lo antes posible. Si se ha llegado a producir una intrusión, realizar un análisis de daños para comprobar que cuentas o servicios se han podido comprometer y eliminar dichos accesos no autorizados. A su vez, hay que restaurar el sistema, pero, en el contexto de ciberataques actuales, las copias de seguridad tradicionales a menudo contienen el mismo malware que ha provocado el incidente. Para ello, nettaro emplea tecnologías innovadoras como la «recuperación de bosque de AD ciber-prioritaria» (AD Forest Recovery – ADFR) de Semperis, que automatiza la restauración de todo el entorno de identidad a un estado limpio y conocido.
De esta forma, en un contexto donde el trabajo híbrido, la nube y la digitalización son el estándar y han modificado la red corporativa, la identidad se posiciona como perímetro de seguridad clave. Por ello, la protección del Directorio Activo, punto de control de toda la empresa, es fundamental para garantizar la resiliencia de las organizaciones.
