Por Ray Mills es Director de Ventas en España para Semperis, proveedor multinacional de soluciones de ciber-resiliencia y mitigación de amenazas basadas en la identidad para entornos híbridos y entre múltiples servicios de nube.

Según los resultados de una nueva encuesta realizada entre responsables de TI y de seguridad, muchas organizaciones de todos los tamaños y sectores todavía no han subsanado correctamente todas las brechas de seguridad de Microsoft Active Directory (AD), lo que puede hacer que sean vulnerables a los ciberataques basados en la identidad.

La encuesta la realizamos a más de 150 organizaciones de todo el mundo y usuarios de Purple Knight, nuestra herramienta gratuita de evaluación de la seguridad de AD. Las organizaciones encuestadas obtuvieron una puntuación media de 72 sobre 100 en sus informes de evaluación iniciales — lo que equivale a un aprobado bajo y destaca que aún quedan vulnerabilidades de seguridad en una cuarta parte de sus infraestructuras de identidad.

Active Directory se lanzó por primera vez con el sistema operativo para servidores Windows 2000 y sigue siendo el servicio de identidad utilizado por más del 90 % de las organizaciones. Los ataques basados en la identidad van en aumento y los ciberdelincuentes suelen aprovecharse de AD para extender sus ataques desde una cuenta de usuario vulnerada a toda la infraestructura de TI de la víctima.

Un intruso puede, por ejemplo, usar cualquier cuenta de AD sin privilegios para leer casi todos los atributos y objetos de AD, incluidos los permisos del usuario. Esta información le permite encontrar y apoderarse de las cuentas de equipo que están configuradas con una delegación no restringida. Las consecuencias de un ataque de este tipo pueden ser desastrosas: cuando Active Directory cae, toda la organización se detiene y la restauración de AD puede tardar semanas.

Hay numerosos ejemplos de ello, como el ataque a Kaseya, que paralizó nada menos que 1500 organizaciones o el ataque a Colonial Pipeline, el mayor oleoducto de los Estados Unidos, que provocó desabastecimiento en toda la Costa Este de dicho país. Y el ataque a los sistemas de SolarWinds que afectó a unos 18.000 clientes. AD estuvo involucrado en todos estos ataques —tal como ocurre en aproximadamente el 90 % de los incidentes de seguridad, según Mandiant.

A pesar de que cada vez hay mayor concienciación sobre los riesgos de seguridad relacionados con AD, el informe de nuestro estudio de Purple Knight indica que las organizaciones siguen teniendo dificultades para identificar y resolver las vulnerabilidades que hacen que sus entornos de identidad estén expuestos a los ciberataques. Los resultados también corroboran las conclusiones de Microsoft: según su Informe de Protección Digital de 2022, el 88 % de los clientes de Microsoft afectados por ciberincidentes tenían una «configuración de AD insegura«.

Conclusión principal: las organizaciones deben esforzarse más

Uno de los retos a los que se enfrentan las empresas que tratan de proteger AD es que los puntos débiles del servicio de identidad no son visibles. Las infraestructuras de identidad heredadas o tradicionales pueden generar complicaciones y los permisos de usuario obsoletos y las cuentas de usuario inactivas aún dificultan más las cosas. La mayoría de las infraestructuras de AD se implementaron hace años e incluso décadas y, a lo largo del tiempo, han sido gestionadas por diferentes administradores, lo que ha ido generando un grave problema con la acumulación de las configuraciones erróneas.

Debido a ello, la puntuación más baja de las siete categorías de AD evaluadas por la herramienta de Purple Knight se refiere a la seguridad de cuentas. Las organizaciones han obtenido una puntuación de 61 sobre 100 y más de la mitad (55 %) de los encuestados han informado de cinco o más indicadores de riesgo en la categoría de seguridad de las cuentas. Entre las vulnerabilidades más habituales que han quedado al descubierto están los usuarios con privilegios que usan contraseñas poco seguras, las cuentas con derechos de administración no protegidas y las cuentas de administrador con contraseñas antiguas.

Las configuraciones erróneas de AD heredadas son especialmente problemáticas en las organizaciones más grandes, que suelen acumular infraestructuras de AD diferentes debido a las frecuentes fusiones y adquisiciones. Esta es una de las razones por las empresas con más de 10.000 empleados obtienen la puntuación media de seguridad global más baja, con tan solo un 63 — casi 10 puntos por debajo de la media entre empresas de todos los tamaños.

Las infraestructuras híbridas incrementan aún más las vulnerabilidades

Con el auge de las aplicaciones en la nube y el teletrabajo, cada vez son más las organizaciones que adoptan infraestructuras híbridas que combinan un AD local y la solución basada en la nube Entra ID —anteriormente conocida como Azure AD— u otro servicio de identidad alojado en la nube. La identidad híbrida permite que los empleados usen un inicio de sesión para autenticarse en todos los servicios de la nube y del entorno local, pero esto incrementa aún más los riesgos.

Las vulnerabilidades típicas incluyen las cuentas de invitado inactivas, que dejan una puerta abierta al inquilino de Entra ID, y errores en la configuración de las políticas de acceso condicional. En el informe, el 13% de las organizaciones han informado de cinco o más indicadores de riesgo en la categoría de Azure AD, que también hace un seguimiento de los usuarios de Entra ID que pueden ser elegidos para un rol con privilegios —con el consiguiente riesgo de una escalada de dichos privilegios— y de los ajustes de autenticación multifactor (MFA) de riesgo.

En general, en las categorías evaluadas de seguridad de cuentas, infraestructura de AD, delegación de AD y Directiva de Grupo, las que salieron peor paradas fueron las compañías de seguros, seguidas por las empresas de retail, de transporte y de las infraestructuras públicas. Las organizaciones tienen mucho trabajo por hacer para cerrar las brechas de seguridad relacionadas con la identidad, que suelen ser el objetivo de grupos dedicados al ransomware como Vice Society, LockBit, BlackCat y Clop.

Vale la pena cerrar las brechas de seguridad

La buena noticia es que, cuando las organizaciones identifican las vulnerabilidades clave de su entorno de Active Directory, tienen una solución a su alcance. Los usuarios han informado de un promedio de mejora del 40% e incluso de hasta el 64%, después de usar los consejos de los expertos de Purple Knight para abordar de manera sistemática los riesgos detectados por su evaluación inicial de AD.

Sin embargo, como AD es una tecnología que ya tiene casi un cuarto de siglo de antigüedad, muchas organizaciones simplemente carecen de los conocimientos o la experiencia necesarios para encontrar y solucionar las brechas de seguridad importantes. Además, la mejora de AD suele pasarse por alto en muchas organizaciones, ya que los administradores de la TI y los profesionales de la seguridad normalmente trabajan en equipos distintos.

La colaboración —tanto en el seno de la organización como con expertos en seguridad externos— y las auditorías de seguridad de AD periódicas son fundamentales para limpiar los entornos de identidad peligrosos y reducir la superficie expuesta a los ataques basados en la identidad.

Debido a la desaparición del perímetro de red, la identidad se ha convertido en la última línea de defensa frente a los ciberataques y no hay duda de que Active Directory y Entra ID seguirán siendo los servicios de identidad críticos para las empresas más utilizados. Por ello, su protección debería ser una prioridad.