Estimados amigos de Inseguros !!!
Hoy quiero hablaros de una realidad que muchos profesionales ya conocen, pero que durante demasiado tiempo se ha intentado maquillar con discursos bonitos, presentaciones de PowerPoint y promesas de futuro: Active Directory no ha muerto.
Y no solo no ha muerto.
Es que sigue siendo, en muchísimas organizaciones, una de las piezas más importantes de toda la infraestructura.
Durante años hemos escuchado el mismo mensaje. Que el futuro está en la nube. Que hay que llevarlo todo a Entra ID. Que el on-prem ya es cosa del pasado. Que Active Directory es una tecnología vieja. Que lo moderno, lo elegante y lo “correcto” es migrarlo todo cuanto antes.
Y claro, una cosa es que ese sea el deseo de Microsoft. Y otra muy distinta es la realidad de las empresas.
Porque una empresa no vive de seguir modas tecnológicas. Una empresa vive de que sus sistemas funcionen, de que su negocio no se pare, de que sus usuarios entren cada día, de que sus aplicaciones sigan respondiendo y de que sus fábricas, oficinas, servidores, accesos y procesos no revienten por una decisión tomada desde un despacho lejano. Ese es el punto clave.
Muchos fabricantes, y Microsoft entre ellos, llevan tiempo empujando a sus clientes hacia el cloud con una intensidad enorme. Y no es raro. Tiene lógica empresarial. El modelo cloud les interesa. Les da recurrencia, les da control, les da estandarización, les da más ingresos sostenidos en el tiempo y, además, les permite construir una narrativa donde todo lo anterior parece automáticamente obsoleto. Pero la vida real no funciona así.
El problema no es que el cloud sea malo. Ni mucho menos. El cloud tiene muchísimas ventajas. Y en muchos escenarios tiene sentido total. El problema es vender la historia de que todo el mundo puede cambiar a la misma velocidad, con el mismo presupuesto y con el mismo nivel de dependencia tecnológica. Eso es simplemente falso.
Cualquiera que haya pisado entornos corporativos de verdad ya intuía desde hace años: Microsoft está asumiendo por fin que la transición al cloud no va a ocurrir al ritmo que ellos querían. Y esto es importante. ¿Y por qué? Pues por muchas razones. Y todas bastante terrenales.
La primera es el dinero.
Mover cosas al cloud no siempre sale barato. A veces incluso sale bastante caro. Cambias inversiones puntuales por suscripciones mensuales. Cambias cierta estabilidad por una dependencia constante de licencias, servicios y modelos de consumo. Y, además, muchas veces no migras una sola cosa: migras identidades, integraciones, procesos, herramientas heredadas, automatizaciones, aplicaciones antiguas y una larga lista de “inventos” empresariales que alguien montó hace 12 años y que siguen siendo críticos.
La segunda razón es el legacy.
Hay empresas que tienen aplicaciones antiguas que no pueden tocar. Hay fábricas con sistemas integrados sobre plataformas viejas. Hay software desarrollado por terceros que ya ni existen. Hay entornos donde cambiar una pieza significa arriesgar millones. Y cuando eso ocurre, el discurso moderno de “simplemente migra” se cae por su propio peso.
La tercera razón es la soberanía y el control.
No todas las organizaciones están cómodas con que toda su identidad, sus accesos o parte de sus datos dependan completamente de servicios externos. Esto no solo pasa en gobiernos o en entornos especialmente regulados. También ocurre en empresas que, simplemente, quieren tener cierto control local sobre elementos críticos de su operación.
Y la cuarta razón, que me parece de las más importantes, es que el negocio no quiere aventuras.
Una empresa no se levanta por la mañana pensando: “qué ganas tengo de rehacer mi modelo de identidad”. Una empresa quiere facturar, producir, atender clientes, prestar servicios y seguir viva. Todo lo que implique tocar sistemas críticos se analiza con muchísimo más miedo que el que suelen reflejar los fabricantes en sus presentaciones.
Por eso el mundo real no es “cloud o muerte”. El mundo real es híbrido. Y parece que por fin hasta Microsoft lo está aceptando de forma más clara.
De hecho, en la conversación aparecen datos muy reveladores. Una buena parte de las organizaciones sigue teniendo la mayor parte de su carga en Active Directory on-prem. Muy pocas tienen ya la mayoría de su identidad en Entra ID. Y una parte nada pequeña reconoce que tardará muchos años en llegar a un escenario más equilibrado.
Eso desmonta bastante bien el relato de que Active Directory estaba a punto de desaparecer. No. No lo estaba. Y no lo está. Lo que pasa es que durante un tiempo se ha confundido “la dirección comercial del fabricante” con “la realidad técnica y operativa del mercado”. Y son dos cosas distintas.
Esto además tiene una consecuencia muy importante para los que trabajamos en ciberseguridad, administración de sistemas, auditoría o defensa de entornos Microsoft.
Si Active Directory sigue siendo una pieza crítica, dejar de prestarle atención es una irresponsabilidad.
Hay gente que, al escuchar durante años que “todo se va al cloud”, ha bajado el nivel de preocupación sobre AD. Como si fuera un sistema viejo que ya está amortizado y al que no merece la pena dedicarle demasiado esfuerzo. Y eso es un error muy serio.
Porque precisamente por seguir ahí, por seguir autenticando usuarios, sirviendo aplicaciones, integrándose con sistemas heredados y conectando con la nube, Active Directory sigue siendo uno de los grandes objetivos en cualquier ataque real.
No hace falta explicarlo mucho a quien haya hecho pentesting interno, haya analizado ransomware, haya investigado movimiento lateral o haya revisado compromisos de dominio. En muchísimas intrusiones, el dominio sigue siendo el premio gordo.
Y cuando una empresa vive en híbrido, ese premio gordo no desaparece. Se transforma. Se conecta con más cosas. Se vuelve incluso más delicado.
Aquí hay también una lección más amplia. En tecnología, muchas veces se venden finales que nunca llegan del todo. Se dijo que lo on-prem se acababa. Se dijo que todo iría a SaaS. Se dijo que ya nadie necesitaría servidores. Se dijo que todo sería simple. Se dijo que la nube resolvería por sí sola muchos problemas de seguridad.
Y la realidad, como casi siempre, ha sido bastante más compleja.
Lo que tenemos no es sustitución completa. Lo que tenemos es acumulación.
Seguimos teniendo AD.
Seguimos teniendo cloud.
Seguimos teniendo servidores.
Seguimos teniendo endpoints.
Seguimos teniendo aplicaciones viejas.
Seguimos teniendo identidades mezcladas.
Seguimos teniendo deuda técnica.
Y seguimos teniendo atacantes encantados con todo eso.
Por eso, cuando alguien repite la idea de que Active Directory ya no importa, yo desconfiaría bastante de su experiencia real en entornos empresariales.
Una cosa es vender visión de futuro.
Y otra haber administrado, auditado o defendido una infraestructura grande de verdad.
Además, esto encaja con algo que muchos llevamos años viendo: el conocimiento profundo de Active Directory sigue siendo extremadamente valioso. Puede que no sea lo más “sexy” para algunos perfiles junior que llegan fascinados por lo último en cloud, IA o nombres brillantes, pero en la práctica sigue siendo una de las bases sobre las que descansa la seguridad de muchísimas compañías.
Y no hablamos solo de saber crear usuarios o tocar cuatro GPO.
Hablamos de entender autenticación, Kerberos, LDAP, delegaciones, relaciones de confianza, controladores de dominio, hardening, cuentas privilegiadas, herencia de permisos, servicio de directorio, integración con aplicaciones, dependencia de sistemas heredados y, por supuesto, la superficie de ataque que todo esto genera cuando está mal mantenido.
Así que no, Active Directory no ha muerto. Lo que ha muerto, quizá, es la fantasía de que todas las organizaciones iban a poder abandonar su infraestructura tradicional en muy pocos años y sin dolor. Eso no ha ocurrido. Y probablemente no ocurra en mucho tiempo.
Lo razonable, lo profesional y lo que de verdad ayuda a las empresas no es repetir slogans del fabricante, sino asumir el escenario real: durante muchos años vamos a seguir viviendo en híbrido. Y eso obliga a seguir tomándose Active Directory muy en serio. Muy en serio a nivel técnico. Muy en serio a nivel defensivo. Y muy en serio a nivel de formación.
Porque si tu equipo no entiende bien cómo funciona un entorno híbrido, lo más probable es que tampoco entienda bien por dónde se rompe.
Si queréis aprender más sobre seguridad en entornos Microsoft, Active Directory, Azure, hardening, auditoría y defensa real de infraestructuras empresariales, ya sabéis que en SeguridadSi tenéis formación práctica y profesional orientada a lo que de verdad se usa en empresa.
Curso recomendado para quien quiera avanzar en este camino: formación en ciberseguridad Microsoft, Active Directory, Azure y defensa de entornos híbridos en SeguridadSi.
Gracias por leerme !!!
