Curso de ACTIVE DIRECTORY para HACKING ÉTICO

¿Por qué aprender Active Directory es clave para un hacker ético?

Si quieres especializarte en ciberseguridad ofensiva, tarde o temprano vas a encontrarte con un entorno empresarial basado en Active Directory. De hecho, más del 90 % de las grandes compañías lo utilizan para gestionar sus redes internas.

En este curso gratuito vas a sentar las bases para comprender cómo funciona Active Directory (AD), por qué es uno de los objetivos principales en auditorías internas, y cómo puedes empezar a interactuar con él de forma segura, estructurada y con mentalidad ofensiva.

¿Qué vas a conseguir al finalizar este curso?

• Identificar los elementos clave de un entorno Active Directory
• Comprender cómo funciona la autenticación con Kerberos
• Lanzar tus primeras fases de enumeración y ataque en un laboratorio controlado
• Acceder a un cuaderno de trabajo gratuito que resume todo lo aprendido

Este curso es la capa base para cualquier profesional que quiera avanzar hacia técnicas más avanzadas en pentesting o Red Team.

¿Qué es Active Directory y para qué sirve?

Active Directory es una tecnología desarrollada por Microsoft que permite a las empresas gestionar usuarios, dispositivos y permisos dentro de su red interna de forma centralizada.

Funciona sobre Windows Server y su componente principal es AD DS (Active Directory Domain Services), que actúa como el cerebro del dominio: autentica identidades, autoriza accesos y organiza todos los objetos conectados (usuarios, equipos, impresoras…).

Ejemplo simple:

Cuando inicias sesión en tu portátil del trabajo con tu usuario y contraseña, ese acceso está siendo gestionado por Active Directory.

Beneficios de usar Active Directory en entornos corporativos

Antes de AD, cada servidor era una isla. Gracias a su implementación:

• ✅ Se asignan permisos una sola vez a grupos u OUs.
• ✅ Con las GPO (Group Policy Objects) aplicas configuraciones masivas en un clic.
• ✅ Todo lo que ocurre queda auditado: quién accede, cuándo y con qué permisos.
• ✅ Puedes delegar accesos de forma precisa y granular.
• ✅ Es escalable: funciona igual de bien con 10 que con 10.000 usuarios.
• ✅ Y unifica todas las políticas de seguridad de forma coherente.

¿Cómo funciona Active Directory? (Resumen simplificado)

Cada acción dentro de una red gestionada por AD pasa por dos fases:

1. Autenticación – ¿Quién eres?

• El usuario introduce sus credenciales.
• El DC (Controlador de Dominio) las verifica y emite un TGT (Ticket Granting Ticket).
• Este ticket permite autenticarse sin reenviar contraseñas en cada solicitud.

2. Autorización – ¿Qué puedes hacer?

• El usuario solicita acceso a un recurso.
• Usa el TGT para obtener un TGS (Service Ticket).
• El DC verifica los permisos y concede o niega el acceso.

Este sistema se basa en Kerberos, un protocolo seguro que usa tickets temporales y cifrados para validar cada acceso sin comprometer las credenciales del usuario.

Principales componentes de Active Directory

Componentes físicos

• Domain Controller (DC): servidor que gestiona autenticaciones y replicación.
• NTDS.dit: archivo que almacena toda la base de datos del dominio.

Componentes lógicos

• Schema: define qué tipo de objetos pueden existir (usuarios, grupos, etc.).
• Dominios: agrupan usuarios y recursos bajo un mismo nombre.
• Árboles y Bosques: estructura jerárquica para múltiples dominios.
• OU (Unidades organizativas): contenedores para organizar objetos.
• Grupos de seguridad: definen permisos de acceso a recursos.
• Trusts: relaciones de confianza entre dominios o bosques.
• ACLs: controlan quién tiene acceso a cada objeto.
• GPOs: políticas que definen el comportamiento de usuarios y equipos.

Casos reales de ataques a Active Directory

Norsk Hydro (LockerGoga, 2019)

Un ataque de ransomware escaló privilegios hasta el nivel de Domain Admin y utilizó políticas GPO para propagar el malware por toda la red.

Maersk (NotPetya, 2017)

Este pseudo-ransomware destruyó todos los controladores de dominio de la empresa, salvo uno que estaba apagado por casualidad. Desde ese único backup, se pudo restaurar toda la red.

Estos casos muestran algo claro: una mala configuración en AD puede costar millones.

Cómo funciona kerberos

¿Qué es Kerberos?

Kerberos es un protocolo de autenticación, pero no de autorización. Esto quiere decir que el protocolo se encarga de identificar a cada usuario, a través de una contraseña solo conocida por este, pero no determina a qué recursos o servicios puede acceder el usuario.

Cómo funciona Kerberos

En un entorno Active Directory, cada vez que un usuario se autentica o accede a un recurso, lo hace a través de un sistema de tickets temporales que reemplazan a las contraseñas. Esto significa que en ningún momento la contraseña real viaja por la red, ni siquiera cifrada. En su lugar, el sistema genera y distribuye tokens cifrados que permiten validar y controlar el acceso del usuario a distintos servicios.

Los tickets en Kerberos funcionan como “pasaportes digitales” y se dividen principalmente en dos categorías:

1. Ticket Granting Ticket (TGT)

   Este ticket actúa como prueba de que el usuario ha sido autenticado correctamente.

   • Se obtiene durante el proceso de inicio de sesión.
   • Está cifrado con una clave secreta conocida por el controlador de dominio (krbtgt).
   • Tiene una validez temporal (por defecto, 10 horas) y se guarda en la memoria del sistema.
2. Ticket Granting Service (TGS)

   Este ticket se genera a partir del TGT y se utiliza para acceder a un servicio específico dentro del dominio.

   • Por ejemplo: al acceder a un servidor de archivos o a una base de datos SQL.
   • Está cifrado con la clave del servicio de destino (Service Principal Name, SPN).
   • Cada servicio requiere un TGS distinto, lo que permite una autorización granular.

Tanto el TGT como los TGS se almacenan en la memoria del sistema operativo, concretamente en el proceso de seguridad lsass.exe. Esto es funcional y eficiente para permitir sesiones sin fricción, pero también representa un riesgo si un atacante compromete la máquina:

• Herramientas como Mimikatz pueden extraer estos tickets directamente desde la memoria.
• Un TGS robado permite al atacante acceder a un servicio como si fuera el usuario legítimo (Pass-the-Ticket).
• Un TGT comprometido puede ser reutilizado o incluso modificado para crear ataques persistentes (Golden Ticket).