Estimados amigos de Inseguros !!! Hoy vamos a hablar sobre kerberoasting en Active Directory y cómo puede afectar la seguridad de las empresas.
Kerberoasting es uno de esos ataques que parecen muy técnicos cuando se leen por primera vez, pero que en realidad se apoyan en algo bastante cotidiano: cuentas de servicio que llevan años funcionando, contraseñas que nadie cambia, permisos que nadie revisa y aplicaciones que nadie se atreve a tocar porque “si funciona, mejor no moverlo”.
Y sabes que es nuevo… llevamos años y años auditando empresas y conseguiendo resultados por este fallo.
Y ahí está el problema. En muchas empresas se cuida el usuario administrador, se revisa el acceso VPN, se habla de MFA y de EDR, pero luego existe una cuenta de servicio creada hace diez años, con un SPN publicado, una contraseña humana y permisos que no necesita. Para un atacante, eso no es un detalle. Es una puerta.
El ataque, explicado sin hacer una receta ofensiva, consiste en pedir tickets Kerberos de servicio para cuentas que tienen SPN. Active Directory permite que un usuario autenticado solicite esos tickets. La parte interesante para el atacante es que una zona del ticket queda protegida con material criptográfico derivado de la contraseña de la cuenta de servicio. Si esa contraseña es débil, antigua o predecible, se puede intentar romper fuera del entorno, sin provocar bloqueos de cuenta y sin hacer ruido de autenticación constante.
Por eso Kerberoasting no se arregla con “tener un firewall” ni con comprar una herramienta más. Se arregla con higiene real de Active Directory. Saber qué cuentas tienen SPN. Saber si esas cuentas son realmente de servicio. Saber si tienen privilegios excesivos. Saber si usan RC4. Saber cuándo se rotaron por última vez. Y, sobre todo, saber si alguien en la empresa tiene un procedimiento para revisar todo eso.
Una primera revisión razonable debería mirar todas las cuentas con Service Principal Name, separar cuentas humanas de cuentas de servicio, revisar pertenencia a grupos privilegiados y eliminar permisos que sobran. Si una cuenta de SQL, backup, monitorización o aplicación web aparece en Domain Admins, no estamos ante una rareza: estamos ante un fallo de gobierno.
La defensa moderna pasa por usar gMSA cuando sea posible, contraseñas largas y aleatorias cuando no lo sea, limitar los permisos de las cuentas de servicio, deshabilitar configuraciones criptográficas débiles y monitorizar patrones anómalos de peticiones Kerberos. No basta con “tener logs”. Hay que saber qué eventos importan, qué volumen es normal y qué comportamiento no tiene sentido en tu entorno.
Esto es justo lo que intento transmitir cuando hablo de cursos de ciberseguridad orientados a empresa. No se trata de aprender comandos sueltos ni de repetir laboratorios de CTF. Se trata de entender cómo una mala decisión de administración se transforma en un camino de ataque real. En un entorno Microsoft, eso significa aprender Active Directory, Kerberos, cuentas de servicio, permisos, delegación, hardening y monitorización.
En el Curso de Ciberseguridad Microsoft para Empresas trabajamos precisamente esa visión: ataque, defensa y procedimientos aplicables en entornos reales. Porque si administras Windows Server o Active Directory y nunca has revisado tus cuentas con SPN, no tienes un problema teórico. Tienes una deuda técnica que puede convertirse en incidente.
Para empresas en España, este tipo de formación también puede plantearse como cursos de ciberseguridad para empresas con FUNDAE. Y tiene todo el sentido: no hablamos de formación decorativa, sino de capacidades que ayudan a proteger identidad, servidores, usuarios, aplicaciones y continuidad del negocio.
Kerberoasting nos recuerda una cosa sencilla: Active Directory no cae siempre por una vulnerabilidad espectacular. A veces cae por una cuenta vieja, una contraseña cómoda y un permiso que nadie se atrevió a quitar.
Más información sobre la formación relacionada: Curso de Ciberseguridad Microsoft para Empresas
Gracias por leerme !!!
