¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Contención de ransomware
Maritza Marie Dubec
Gerente Senior de Marketing de Contenidos
Illumio Editorial
11de diciembre de 2025
23 min. leer

Más allá de la puerta: Confianza cero y la defensa de Active Directory

Cuando Marks & Spencer cerró el pasado mes de abril, no se trató de un corte más. El minorista británico cerró sus servicios en línea para contener un ataque de ransomware dirigido a su columna vertebral de identidad.

Los investigadores ahora vinculan el incidente con Scattered Spider, un grupo poco unido de atacantes con base en el Reino Unido y los Estados Unidos, algunos de ellos de tan solo 16 años. El grupo empleó DragonForce, un servicio convertido en miembro a ransomware que hace que los ciberataques sean tan fáciles como alquilar malware y herramientas de extorsión.

Para colmo de males, DragonForce incluso envió un email directamente al director ejecutivo de M&S, Stuart Machin, alardeando de la violación y exigiendo el pago.

Lo que hizo que este incidente se destacara no fue el motivo sino la precisión. En lugar de detener en los sistemas de los usuarios finales, los atacantes avanzaron a través de la red hacia el controlador de dominio, el sistema que gobierna la identidad y la confianza en toda la compañía.

Esto refleja una tendencia más amplia: los grupos de ransomware apuntan cada vez más a la infraestructura de identidad para acelerar sus ataques. Comprender cómo se produjo ese cambio y cómo se puede detener muestra por qué la identidad se convirtió en el centro de gravedad de la defensa moderna contra el ransomware.

Número de ataques de DragonForce por país según Analistas del GRUPO-IB. DragonForce es un programa de afiliados de ransomware como servicio que a menudo personaliza los ataques.

Cuando el corazón de la identidad no está cerciorado

Los investigadores confirmaron que los atacantes de M&S exfiltraron el archivoNTDS.dit , la joya de la corona de Microsoft Active Directory.  

Active Directory se ejecuta en controladores de dominio : los servidores que almacenan y aplican todo el sistema de identidad. En términos simples, robaron la base de datos del controlador de dominio, el sistema que decide en quién se puede confiar dentro de una compañía, a qué se le permite acceder y cómo todos los demás sistemas verifican la identidad.  

El robo fue el equivalente digital de salir de un banco, no sólo con el contenido de la bóveda, sino con las llaves, los planos y la autoridad para imprimir dinero nuevo a voluntad.  

El ataque expuso una realidad que las organizaciones tal vez no quieran admitir públicamente: los atacantes saben que comprometer un controlador de dominio es la ruta más rápida y confiable para vulnerar una compañía entera.

El ataque a M&S también muestra cómo suelen pensar los actores de amenazas modernos. Una vez que ingresan a una red, no permanecen en las máquinas de los usuarios finales ni buscan servidores perdidos para cifrar. A menudo se centran en encontrar una ruta hacia el controlador de dominio.

Esto se debe a que Active Directory es el sistema que mantiene todo junto: cuentas de usuario, cuentas de servicio, licencias, tiquetes de autenticación y las relaciones de confianza que unen grandes entornos corporativos. Es un camino que un enfoque de Confianza Cero cerró.

"Si controlas el controlador de dominio, controlas la infraestructura de identidad de la organización", afirmó Michael Adjei, director de ingeniería de sistemas de Illumio. “Puedes darte lo que se llama licencias divinas “para controlar todos los sistemas que confían en él .

Esta idea refleja las advertencias de la CISA.

“Si un atacante llega al controlador de dominio, no solo obtiene acceso. “Heredan toda la identidad de la organización”, dijo Adjei. “Cuentas, licencias, tokens, credenciales de servicio: todo fluye desde Active Directory”.  

Panel de control del Administrador de servidor de Windows Server 2012 que muestra tres roles: servidor de directorio de AD, DNS y servicios de archivos.

La brecha en Change Healthcare: un punto de apoyo que nadie detuvo

Algo similar ocurrió en una violación de datos de Change Healthcare revelada en febrero de 2024, uno de los incidentes cibernéticos de atención médica más grandes en la historia de Estados Unidos.

Los atacantes, que se cree que son convertidos en miembro de ALPHV Blackcat , obtuvieron un punto de apoyo inicial a través de un servidor remoto que carecía de autenticación multifactor. Luego se movieron lateralmente a través del entorno, escalaron privilegios y finalmente llegaron a los sistemas vinculados a la infraestructura de identidad central de la compañía.

Los resultados fueron catastróficos: semanas de interrupciones, miles de millones en pérdidas, interrupción del funcionamiento de las farmacias en todo el país y exposición de datos que afectó a casi 200 millones de personas.

El director ejecutivo de UnitedHealth Group, Andrew Witty, pagó el rescate, supuestamente unos 22 millones de dólares en Bitcoin.  

Pero el pago no devolvió los datos. Witty confirmó que Change Healthcare no recuperó nada, un resultado común en los casos de ransomware y una de las razones principales por las que los expertos advierten contra cualquier pago.  

El Departamento de Estado de EE.UU. está ofreciendo 15 millones de dólares por información que ayude a identificar o rastrear a los líderes detrás de ALPHV/BlackCat.

Cómo se acelera la brecha: camino hacia el controlador de dominio

La brecha muestra el costo real de una falla en la capa de identidad combinada con una falta de controles de Confianza Cero: una brecha, un ataque lateral rápido y una interrupción a nivel nacional que ningún rescate puede revertir.

Una vez dentro, los actores de amenazas no necesitan atacar todos los sistemas: solo necesitan un camino de este a oeste de menor resistencia sin controles.  

Sin nada que contenga la violación, se mueven lateralmente hacia el controlador de dominio, toman el control de los sistemas de identidad centrales de la víctima y convierten un único punto de apoyo en un compromiso total.

Adjei explicó que la mayoría de las violaciones de los controladores de dominio comienzan con algo pequeño, como un sistema sin parches, un control de identidad mal configurado o una cuenta de servicio antigua con demasiados privilegios. Esos huecos ofrecen a los atacantes un punto de apoyo silencioso y una oportunidad de mapear el entorno desde dentro.

A partir de allí, el reconocimiento parece normal: búsquedas de grupos, comprobaciones de confianza de dominios, consultas Kerberos y enumeración de servicios. Ninguno de ellos puede hacer saltar las alarmas por sí solo. Pero juntos, estos pasos revelan el objetivo más importante de la red: el controlador de dominio y las identidades que pueden alcanzarlo.

“El peligro es que muchas organizaciones asumen que su controlador de dominio es seguro porque se encuentra detrás de un monitoreo o aislamiento físico”, dijo Adjei. “Pero los atacantes rara vez lo atacan directamente. Siguen cualquier camino interno que esté abierto: una credencial débil, un sistema accesible o una red plana de este a oeste que nunca bloquea su movimiento”.  

El patrón en las violaciones de seguridad de M&S y Change Healthcare deja en claro este punto: cuando los atacantes pueden llegar a Active Directory, la escalada es inevitable.

“Necesita visibilidad basada en gráficos, no solo registros”, dijo Adjei. “Debe comprender las relaciones entre las entidades: cómo la cuenta A se comunica con el sistema B, que se autentica a través del controlador de dominio. Ahí es donde el mapeo de dependencias se vuelve fundamental”.

Cerciorar el núcleo de la identidad mediante la segmentación

Los controladores de dominio no pueden estar en una red abierta. Cuando todo puede alcanzarlos, los atacantes también pueden.  

La segmentación crea límites de confianza cero simples y estables alrededor de estos sistemas. Bloquea el tráfico innecesario de este a oeste y elimina las rutas fáciles que emplean los atacantes para avanzar más profundamente.

El primer paso es ver cómo se conecta todo. Mapee qué sistemas se comunican con Active Directory y qué cuentas dependen de él. Con esa vista, puede limitar el acceso, de modo que solo los sistemas que realmente necesitan el controlador de dominio puedan acceder a él.

Un enfoque de Confianza Cero para la segmentación también debería funcionar en todos los entornos: nube, centro de datos y puntos finales. Sin ella, los atacantes podrían posiblemente atravesarlos.  

Un núcleo de identidad segmentado evita que una pequeña violación se convierta en una vulneración total.

Mejora de la detección y respuesta al movimiento lateral

La mayoría de los ataques se vuelven graves sólo luego del primer punto de apoyo.  

Es por eso que la detección debe mirar más allá de la infracción inicial. Una seguridad estable comienza con un contexto claro: debe ver cómo se relacionan entre sí las cargas de trabajo, las cuentas y el controlador de dominio.

A continuación, concentrar en las señales de movimiento lateral. Estos incluyen conexiones extrañas entre sistemas, patrones de tráfico inusuales o una identidad que llega a algo que nunca toca. Cuando la detección resalta solo los eventos importantes, los equipos pueden actuar más rápido con menos ruido.

El último paso es la contención rápida. La detección y la segmentación deben trabajar juntas para aislar un sistema en el momento en que se comporta de manera riesgosa. Esto impide que un atacante se mueva hacia el núcleo de identidad y reduce el radio de explosión de cualquier brecha.

Pruebe Illumio Insights gratis hoy mismo para aprender a ver y detener los ataques a controladores de dominio antes de que se propaguen.

Temas relacionados

Contención de ransomware

Artículos relacionados

3 pasos para evitar que el ransomware se propague
Contención de ransomware

3 pasos para evitar que el ransomware se propague

Descubra los pasos para evitar que el ransomware se propague limitando las conexiones, ampliando la visibilidad y mejorando el tiempo de respuesta.

Lee más
AWS e Illumio: Ayudando a la atención médica a modernizar su respuesta al ransomware
Contención de ransomware

AWS e Illumio: Ayudando a la atención médica a modernizar su respuesta al ransomware

Unir a Illumio el 21 de septiembre a las 9 a. m. PST para un seminario sitio web gratis con Amazon Sitio web Services (AWS).

Lee más
Estudio sobre el costo global del ransomware: lo que nos dicen las cifras
Contención de ransomware

Estudio sobre el costo global del ransomware: lo que nos dicen las cifras

Descubra cómo los atacantes están cambiando a la interrupción operativa, por qué la prevención no es suficiente y cómo Zero Trust y la microsegmentación contienen el impacto del ransomware.

Lee más
El problema de la llave maestra: dentro de la brecha de Salesloft y la amenaza continua
Contención de ransomware

El problema de la llave maestra: dentro de la brecha de Salesloft y la amenaza continua

Descubra lo que la violación de Salesloft revela sobre el abuso de tokens OAuth, los riesgos de confianza ocultos y cómo contener las amenazas antes de que se propaguen.

Lee más
Caballo de Troya moderno: cómo los atacantes viven de la tierra y cómo detenerlos
Contención de ransomware

Caballo de Troya moderno: cómo los atacantes viven de la tierra y cómo detenerlos

Descubra cómo los atacantes "viven de la tierra" empleando herramientas confiables como PowerShell y SSH y cómo detener las amenazas LOTL con visibilidad y contención.

Lee más
Here Be Dragons: Las crecientes amenazas cibernéticas a la infraestructura crítica
Resiliencia cibernética

Here Be Dragons: Las crecientes amenazas cibernéticas a la infraestructura crítica

Descubra cómo aumentan los ciberataques a infraestructuras críticas en 2025 a medida que aumentan las tensiones globales y los grupos respaldados por el Estado se dirigen a los servicios públicos, la atención médica y más.

Lee más

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más