← Volver al inicio

Active Directory: El Trono de Hierro

Objetivo del Módulo

Desmitificar el sistema que controla al 95% de las empresas Fortune 500 del mundo. Si tu objetivo es ser un Penetration Tester (Red Team) o un analista de SOC corporativo (Blue Team), tu mundo entero girará en torno a Active Directory (AD). Entender cómo atacar o defender AD es la diferencia entre jugar a ser hacker y cobrar un sueldo de 6 cifras.

1. El Problema de las 5,000 Laptops

Imagina que eres el Director de TI de un Banco con 5,000 empleados. Acabas de contratar a un nuevo diseñador llamado Juan. Juan necesita iniciar sesión en una computadora, necesita entrar a la carpeta compartida de "Diseños" y necesita imprimir.

Si el Banco usara computadoras autónomas (Workgroups), tendrías que enviar a un técnico al escritorio de Juan para crearle la cuenta a mano. Y si Juan es despedido, tendrías que correr a su escritorio a borrar la cuenta. Ahora imagina hacer eso con 5,000 empleados que entran, renuncian o cambian de departamento todos los días. Sería imposible.

La solución es Active Directory.

2. El Directorio y El Controlador de Dominio

Active Directory (AD) es una gigantesca y sagrada base de datos. Es "El Libro de Empleados". Contiene la lista absoluta de cada humano, computadora e impresora que existe en el edificio, junto con sus contraseñas.

El servidor físico que tiene guardado este Libro de Empleados se llama Controlador de Dominio (Domain Controller o DC).

El DC es el "Trono de Hierro" de la empresa.

  • Cuando Juan enciende su laptop nueva y pone su usuario, la laptop se congela por un segundo. Se comunica por el cable de red con el Controlador de Dominio y le pregunta: "Oye Rey, alguien llamado Juan puso esta contraseña. ¿Existe en el libro?".
  • Si el DC dice "Sí, déjalo entrar", la laptop se desbloquea.

Importante: ¡El Controlador de Dominio es el objetivo final de todos los atacantes! Si un hacker logra acceder como Administrador al DC (Domain Admin), el atacante puede literalmente agregar su propio nombre al Libro de Empleados, darse acceso a la cuenta bancaria del CEO, y ser invisible. Quien controla el DC, controla a toda la empresa.

3. Kerberos (El Gafete Universal)

Antiguamente, cada vez que Juan quería abrir una carpeta de red, el servidor le volvía a pedir su contraseña. Los empleados odiaban escribir su contraseña 20 veces al día.

Para solucionar esto, Microsoft implementó Kerberos, el protocolo de autenticación.

La Analogía del Parque de Diversiones:

  1. Juan llega al parque en la mañana. En la puerta principal (El Controlador de Dominio) presenta su identificación y paga su entrada (Su contraseña).
  2. El guardia valida que todo está bien y no lo deja pasar con las manos vacías. Le pone una pulsera mágica inviolable (Un Ticket de Kerberos) en la muñeca.
  3. Cuando Juan quiere subirse a la Montaña Rusa (Servidor de Archivos), el operador del juego NO le pide su identificación; simplemente le mira la pulsera. Si Juan tiene la pulsera, pasa directo sin hacer preguntas.

El Ángulo Hacker (Pass-The-Ticket): Los hackers de Red Team rara vez intentan "adivinar" tu contraseña compleja. Lo que hacen es infectar tu laptop, robar la pulsera mágica que tienes en la muñeca (el ticket que está flotando en tu memoria RAM), ponérsela a ellos mismos, y caminar hacia los servidores de la empresa. Para la red, el atacante es Juan, porque tiene la pulsera. Esta técnica avanzada se llama Pass-the-Ticket.

4. GPO (Group Policy Objects): Las Leyes del Imperio

¿Cómo logras que a 5,000 computadoras se les cambie el fondo de pantalla corporativo al mismo tiempo? ¿Cómo bloqueas los puertos USB de todos los empleados del edificio en 10 segundos para evitar robo de datos?

Usando las famosas Políticas de Grupo (GPO). Las GPOs son reglas absolutas e incuestionables creadas por el Controlador de Dominio. Cuando una laptop se enciende, lo primero que hace es llamar al DC y preguntar: "¿Hay nuevas leyes hoy?". El DC responde: "Sí. Nueva ley: Nadie puede abrir el Panel de Control". La laptop obedece ciegamente.

El peligro en ciberseguridad: Si un atacante captura el Controlador de Dominio, no necesita ir laptop por laptop hackeándolas. Simplemente crea una nueva Ley (GPO) que diga: "Mañana a las 10:00 AM, todas las computadoras del edificio desactivarán su antivirus y descargarán mi Ransomware". Toda la red obedecerá su propia destrucción.

5. Criterio de Dominio (Autoevaluación)

Revisa si tu mente ya opera en Modo Dominio:

  1. ¿Por qué, arquitectónicamente, un ataque de Ransomware que afecta a 50 computadoras de la red es cien veces menos grave que un ataque que vulnere exitosamente tu único Servidor Controlador de Dominio?
  2. Usando la analogía del parque de diversiones (Kerberos), explica por qué un atacante moderno prefiere robar un Ticket de la memoria RAM en lugar de interceptar el teclado (keylogger) para robar tu contraseña de texto.
  3. El gerente de TI de tu oficina lanza un mandato de emergencia: "Deshabiliten los puertos USB de todas las laptops del área de finanzas en menos de 5 minutos, y no me importa si el empleado está trabajando o en el baño". ¿Qué tecnología del Directorio Activo vas a usar para lograrlo sin pararte de tu silla?
  4. Si un empleado no está conectado físicamente al edificio de la empresa (o por VPN) e intenta iniciar sesión en su laptop por primera vez en su vida, ¿la laptop lo dejará entrar? ¿Por qué?
← Anterior

PowerShell y Eventos: Las Cámaras y el Misil

Siguiente →

Python para Seguridad: La Navaja Suiza

En esta página