La Corte Suprema escuchará argumentos orales el lunes en un caso que podría limitar la capacidad del gobierno para obtener datos digitales masivos de usuarios de dispositivos con una sola orden judicial, en un raro caso en el que los principales jueces del país asumen derechos digitales.

Chatrie contra los Estados Unidos Es el primer caso importante de la Cuarta Enmienda que el tribunal ha asumido desde 2018, a pesar de la proliferación de tecnología que afecta la privacidad desde entonces. En el centro de lo que abordarán los jueces se encuentran las llamadas órdenes de geovalla, que obligan a las empresas a revelar datos de los usuarios de un momento y lugar determinados.

«Es una pregunta realmente interesante sobre una herramienta de aplicación de la ley que habría sido inimaginable hace unas décadas, donde básicamente se puede observar potencialmente cada teléfono, por ejemplo, que pasó por un área particular en una ventana particular», dijo John Villasenor, profesor de derecho en UCLA y miembro principal no residente de la Brookings Institution.

Tanto los defensores de las libertades civiles, tanto conservadores como liberales, se han alineado a favor del peticionario, dejando al gobierno de Estados Unidos con menos escritos de amigos de la corte de su lado. Okello Chatrie fue condenado por un robo a un banco en 2019 después de que la policía utilizó una orden de geovalla para obtener información de Google sobre los usuarios durante un período de una hora y un área de 17,5 acres, y luego refinó la búsqueda.

En el Congreso, los demócratas han planteó preocupaciones sobre las órdenes de geovalla en lo que podrían referirse al derecho al aborto, mientras que los republicanos han planteó preocupaciones sobre su uso para rastrear a sospechosos vinculados a la insurrección del 6 de enero de 2021 en el Capitolio.

Los tribunales han estado divididos sobre la legalidad de la orden de geovalla en el caso de Chatrie. Google desde entonces dejó de almacenar datos de ubicación en la nube y movió registros directamente a los dispositivos de los usuarios, pero quienes están del lado de Chatrie dicen que podría tener implicaciones más amplias para los registros financieros, los registros del historial de búsqueda, los registros de los bots de chat y más.

«Creemos que es importante que los tribunales lo hagan bien y que, entre otras cosas, los tribunales reconozcan que tenemos un interés de propiedad en muchos de nuestros registros digitales», dijo Brent Skorup, miembro legal del Cato Institute, que presentó un escrito amicus curiae en nombre del peticionario. «Si el gobierno puede obtener esos registros digitales sin una orden judicial, eso deja a la Cuarta Enmienda bastante vacía y no estamos seguros de nuestra privacidad y de nuestros derechos tradicionales a tener control de nuestros documentos y efectos privados».

Estados Unidos señaló que Chatrie optó por que Google almacenara su historial de ubicaciones y que la recopilación de información no es sustancialmente diferente de la identificación de otros marcadores de la presencia de alguien, como huellas de neumáticos o huellas de botas.

«Los individuos generalmente no tienen expectativas razonables de privacidad en la información revelada a un tercero y luego transmitida por el tercero al gobierno», escribió. Un grupo de 32 fiscales generales se han puesto del lado del gobierno de Estados Unidos, así como algunos profesores de derecho.

En el caso de 2018, Carpenter contra los Estados Unidosla Corte Suprema limitó la aplicabilidad de esa “doctrina de terceros” (que se hizo eco del argumento del gobierno de Estados Unidos en el caso Chatrie) a la búsqueda e incautación de 127 días de información de ubicación del sitio celular de alguien, dictaminando que constituía una búsqueda bajo la Cuarta Enmienda y por lo tanto requería una orden judicial.

El tipo de orden judicial está en cuestión en Chatrie contra Estados Unidos. En última instancia, un tribunal de Virginia determinó que la orden de geovalla era inconstitucional porque no era lo suficientemente específica y no estaba respaldada por una causa probable para cada usuario cuyos datos se recopilaron. Sin embargo, el tribunal dictaminó que las pruebas eran admisibles porque las autoridades actuaron de “buena fe” en la creencia de que eran constitucionales.

Villaseñor dijo que el tribunal podría aclarar muchas cosas si abordara la cuestión excepción de buena fealgo que los tribunales inferiores han utilizado para eludir fallos constitucionales sustanciales, según un estudio. Pero tanto Villaseñor como Skorup dicen que es posible que la Corte Suprema tampoco llegue a un fallo concluyente sobre las cuestiones en juego en Chatrie.

Si bien algunos defensores de las libertades civiles son optimistas sobre el resultado del fallo del tribunal en el caso Carpenter, desde entonces tres jueces de ese caso han sido reemplazados por otros.

La rareza de que estos casos de privacidad digital lleguen al nivel de la Corte Suprema podría ser simplemente una función de una agenda judicial abarrotada, pero no es la única posibilidad.

“En parte, esto podría deberse a que el tribunal aún no ha desarrollado una opinión consensuada sobre cómo abordarlos”, dijo Skorup. «Es una especulación de mi parte, pero probablemente tengan cierta ambivalencia a la hora de abordar casos en los que saben que no van a hablar con una sola voz, o saben que podrían hablar con voces fracturadas».

La propia Google presentó un escrito en el caso, pero no se puso del lado de ninguna de las partes, diciendo que no tomó ninguna posición sobre la orden en el caso específico de Chatrie.

«Pero insta al Tribunal a considerar que el Historial de Ubicaciones de Google y otros documentos digitales similares almacenados de forma remota merecen la protección de la Cuarta Enmienda», escribió. «Una regla contraria dejaría los detalles íntimos de la vida diaria de millones de estadounidenses (datos que existirán en muchas formas a medida que la tecnología se desarrolle rápidamente) expuestos a una vigilancia sin orden judicial».

Los equipos de seguridad suelen presentar el MTTR como un KPI interno. Los líderes lo ven de otra manera: cada hora que una amenaza permanece dentro del entorno es una hora de posible filtración de datos, interrupción del servicio, exposición regulatoria y daño a la marca.

La causa fundamental del lento MTTR casi nunca es «falta de analistas». Casi siempre se trata del mismo problema estructural: inteligencia sobre amenazas que existe fuera del flujo de trabajo. Feeds que requieren búsqueda manual. Informes que viven en una unidad compartida. Enriquecimiento que ocurre en una pestaña separada. Cada transferencia cuesta minutos; en el transcurso de una jornada laboral, esos minutos se convierten en horas.

Los SOC maduros han colapsado esas transferencias. Su inteligencia está integrada en el propio flujo de trabajo en el momento exacto en que se debe tomar una decisión. A continuación se muestran los cinco lugares donde la separación es más importante.

1. Detección: detectar amenazas antes de que se conviertan en incidentes

En muchos SOC, la detección comienza solo cuando se activa una alerta. En ese punto, es posible que el atacante ya tenga un punto de apoyo, perseverancia o algo peor.

Los SOC maduros cambian esta dinámica al ampliar su visibilidad más allá de las señales internas. Con ANY.RUN Fuentes de inteligencia sobre amenazasingieren continuamente nuevos indicadores de ataques del mundo real y los comparan con su propia telemetría. Esto significa que la infraestructura sospechosa puede detectarse incluso antes de que active las alertas tradicionales.

El efecto es sutil pero poderoso. La detección avanza hacia arriba. En lugar de reaccionar ante incidentes confirmados, los equipos comienzan a detectar la actividad en sus primeras etapas, cuando la contención es más rápida y mucho menos costosa.

TI Feeds: fuentes de datos y beneficios

Desde una perspectiva empresarialaquí es donde el riesgo se reduce silenciosamente. Cuanto antes se identifique una amenaza, menos oportunidades tendrá de convertirse en una infracción costosa.

2. Triaje: convertir la incertidumbre en claridad instantánea

Si la detección se trata de ver, la clasificación se trata de decidir. Y aquí es donde muchos SOC pierden impulso.

En entornos menos maduros, la clasificación a menudo se convierte en una miniinvestigación. Los analistas alternan entre herramientas, buscan contexto y escalan alertas «por si acaso». El proceso se vuelve cauteloso, lento y costoso en términos de esfuerzo humano.

Los SOC maduros comprimen este paso drásticamente. Usando ANY.RUN Búsqueda de inteligencia de amenazasenriquecen los indicadores al instante, extrayendo el contexto de comportamiento de ejecuciones de malware reales. En lugar de adivinar si algo es malicioso, los analistas comprenden inmediatamente qué hace y qué tan grave es. Las decisiones se vuelven más rápidas, las escalaciones más precisas y los analistas de nivel 1 manejan mucho más por sí solos. Por ejemplo, simplemente busque un dominio sospechoso detectado en su perímetro y descubra instantáneamente que pertenece a la infraestructura de robo de MacSync:

Búsqueda de dominios con un veredicto rápido «malicioso» y IOC

Lo que acelera aún más este proceso es la búsqueda impulsada por IA dentro de TI Lookup. En lugar de depender de una sintaxis precisa, filtros complejos o una profunda familiaridad con los parámetros de consulta, los analistas pueden describir lo que buscan y traducirlo en consultas estructuradas, eliminando una capa de fricción que tradicionalmente ralentiza las investigaciones.

Esto no sólo hace que los expertos sean más rápidos; hace que los analistas menos experimentados sean mucho más eficaces. La barrera para las capacidades de búsqueda avanzada cae y el tiempo dedicado a descubrir cómo buscar se reemplaza por centrarse en lo que significan los resultados. Las decisiones se vuelven más rápidas, las escalaciones más precisas y los analistas de nivel 1 manejan mucho más por sí solos.

para el negocioesto se traduce en eficiencia que no requiere contrataciones adicionales. El SOC simplemente se vuelve más capaz con los mismos recursos.

3. Investigación: de pistas fragmentadas a una historia coherente

La investigación es donde el tiempo puede alargarse más. En muchos SOC, es un proceso de unir fragmentos: registros de un sistema, verificaciones de reputación de otro, conjeturas de comportamiento basadas en datos limitados.

Esta fragmentación es costosa. No sólo en minutos, sino en carga cognitiva.

Los SOC maduros reducen esa complejidad al anclar las investigaciones en inteligencia rica en contexto. Con ANY.RUN ecosistema de inteligencia de amenazas: los indicadores no son sólo etiquetas. Están conectados a datos de ejecución reales, cadenas de ataques y comportamientos observables.

En lugar de reconstruir lo que pudo haber sucedido, los analistas pueden ver lo que realmente sucedió. La investigación se centra menos en la búsqueda y más en la comprensión.

Este cambio acorta el tiempo de análisis y eleva la calidad general de las decisiones. También permite a los analistas menos experimentados operar con mayor confianza, lo que a menudo es una ventaja que se pasa por alto.

Desde un punto de vista empresarialinvestigaciones más rápidas y claras significan un tiempo de permanencia reducido, lo que limita directamente la escala del daño potencial.

Basada en datos en tiempo real de más de 15 000 organizaciones y 600 000 analistas que detonan malware en vivo y muestras de phishing todos los días, esta inteligencia de comportamiento conecta IOC sin procesar con la ejecución de ataques reales, TTP y artefactos. ¿El resultado? El MTTR cae drásticamente porque el contexto es instantáneo, la automatización es precisa y las decisiones son seguras.

4. Respuesta: actuar a la velocidad de la confianza

Incluso cuando se identifica una amenaza, la respuesta puede demorarse. Los pasos manuales, los manuales inconsistentes y los retrasos entre la decisión y la acción estiran el MTTR.

Los SOC maduros tratan la respuesta como algo que debería ocurrir casi automáticamente una vez que se confirma una amenaza. Al integrar ANY.RUN Threat Intelligence Feeds en las plataformas SIEM y SOAR, lo que garantiza que los indicadores maliciosos conocidos desencadenen acciones inmediatas como el bloqueo o el aislamiento.

Integraciones y conectores de TI Feeds

Hay cierta elegancia en esto. El sistema no reacciona con vacilación, sino con certeza. El tiempo entre “sabemos que esto es malo” y “está contenido” se reduce a segundos.

para el negocioaquí es donde se minimiza el impacto operativo. Una contención más rápida reduce el tiempo de inactividad, protege los activos críticos y evita que las interrupciones se produzcan en cascada entre los sistemas.

5. Búsqueda y prevención de amenazas: aprender antes de que vuelva a doler

La diferencia final entre SOC maduros y menos maduros radica en lo que sucede entre incidentes.

Los equipos reactivos pasan de una alerta a otra y a menudo encuentran variaciones del mismo ataque sin darse cuenta. Hay poco tiempo o estructura para el trabajo proactivo.

Los SOC maduros crean deliberadamente ese espacio. Con ANY.RUN Informes de amenazas y fuentes de inteligencia continuamente actualizadas, rastrean las campañas emergentes, comprenden las técnicas de los atacantes y adaptan sus defensas con anticipación.

Con el tiempo, esto crea un efecto compuesto. El SOC no sólo responde más rápido. Para empezar, encuentra menos incidentes.

Desde una perspectiva empresarialaquí es donde la ciberseguridad comienza a parecer menos una extinción de incendios y más una gestión de riesgos. Menos sorpresas, menos interrupciones y una postura de seguridad general más sólida.

A dónde va realmente el tiempo

Lo que queda claro en las cinco áreas es que los retrasos rara vez se deben a un solo fracaso dramático. Provienen de pequeñas y repetidas ineficiencias. Una parte faltante de contexto aquí, una búsqueda adicional allá, una decisión retrasada en algún punto intermedio.

Individualmente, estos momentos parecen menores. Juntos, extienden el MTTR mucho más allá de lo que debería ser.

Los SOC maduros resuelven esto no acelerando a las personas, sino rediseñando la forma en que fluye la información. Cuando la inteligencia sobre amenazas de ANY.RUN, que incorpora TI Feeds, TI Lookup y Threat Reports, se integra en los flujos de trabajo diarios; la necesidad de buscar, verificar y cotejar se reduce drásticamente. La obra cambia de naturaleza. Los analistas dedican menos tiempo a buscar datos y más a tomar decisiones.

Para el liderazgo, las implicaciones son sencillas pero significativas.

Mejorar el MTTR no es sólo un objetivo técnico. Es una palanca empresarial. Una detección y respuesta más rápidas reducen la probabilidad de incidentes importantes, limitan las interrupciones operativas y mejoran el retorno de las inversiones en seguridad existentes.

ANY.RUN Threat Intelligence respalda esto en cada etapa de las operaciones del SOC:

• Aporta visibilidad más temprana de las amenazas;
• Acelera la toma de decisiones durante el triaje;
• Simplifica las investigaciones con un contexto conductual real;
• Permite una respuesta más rápida y automatizada;
• Fortalece la defensa proactiva a través de un conocimiento continuo.

El resultado no es sólo un SOC más rápido, sino una organización más resiliente.

Después de décadas de desarrollo, la computación cuántica está cada vez más disponible para uso científico y comercial avanzado. Las maravillas potenciales van desde acelerar el descubrimiento de fármacos y la ciencia de materiales hasta optimizar la logística compleja y los modelos financieros.

Pero hay una paradoja en esta tendencia: la computación cuántica también representa una amenaza creciente para la seguridad de los datos.

El riesgo es que los algoritmos y protocolos que se utilizan actualmente para proteger dispositivos, aplicaciones y sistemas informáticos puedan eventualmente ser violados por actores maliciosos que utilicen la computación cuántica, comprometiendo incluso las medidas de seguridad más estrictas. Según algunas estimaciones, los estándares de cifrado ampliamente utilizados, como RSA y ECC, podrían ser descifrados por computadoras cuánticas ya en 2029, un día apocalíptico conocido como “Q-Day”, cuando los estándares de seguridad actuales quedarían ineficaces debido a la destreza de cálculo numérico de la computación cuántica.

La posibilidad de que la computación cuántica pueda romper los protocolos de protección de datos actuales está llevando a los directores de seguridad y de tecnología a intensificar las contramedidas. Lo están haciendo con la criptografía poscuántica (PQC), un área de nicho de la ciberseguridad cuya prioridad está aumentando en todo el mundo empresarial. La falta de preparación podría resultar costosa, con un informe situando el costo económico potencial de un ataque cuántico en Estados Unidos en más de 3 billones de dólares. Incluso antes de esa posible calamidad, el costo promedio actual de una violación de datos es superior a $10 millonesy ese número sólo aumentará proporcionalmente a la escala de una brecha inducida por cuántica.

Por eso la amenaza cuántica no debería ser tratada como una preocupación exclusiva de los ejecutivos con visión de futuro. Debe convertirse en una cuestión a nivel de las juntas directivas de todas las empresas. Las organizaciones deberían lanzar una iniciativa integral de PQC que genere conciencia en toda la empresa y actualice los sistemas digitales y los activos de datos para que sean resistentes a los ataques cuánticos.

Esperar hasta el Día Q sería un error porque la gente no sabrá cuándo ocurrirá. Probablemente no llegará con comunicados de prensa ni anuncios de productos. En cambio, esto puede desarrollarse silenciosamente a medida que los atacantes intentan maximizar lo que pueden robar antes de que alguien se dé cuenta. La realidad es que los datos confidenciales ya corren el riesgo de ser robados y almacenados para poder decodificarlos (un ataque denominado “cosechar ahora, descifrar después”) cuando el Q-Day sea una realidad. Los profesionales de la seguridad deben prestar atención inmediata a esta cuestión, incluso si la amenaza definitiva parece estar dentro de unos años.

Datos de prueba cuántica a escala

Los equipos de seguridad suelen centrarse en las amenazas inmediatas, pero todavía tienen una ventana de oportunidad para prepararse para el Q-Day, siempre que empiecen ahora.

Una medida provisional en marcha es la transición a versiones más robustas de los certificados y claves digitales que ya son omnipresentes en los negocios y la vida cotidiana. Estos certificados, que actúan como credenciales de identidad, se utilizan para autenticar miles de millones de usuarios, dispositivos, documentos y otras formas de comunicaciones y puntos finales. Los certificados contienen claves criptográficas. Los equipos de seguridad están introduciendo gradualmente “claves de 47 días”, que están diseñadas para caducar y ser reemplazadas en 47 días, con mucha más frecuencia que la generación actual. Es un paso en la dirección correcta, pero no suficiente.

Establecer una defensa PQC reforzada requiere mucho más que un parche de software estándar o una actualización de la infraestructura de clave pública (PKI) utilizada en la mayoría de los lugares para administrar certificados digitales y cifrar datos. Se debe adoptar e implementar a escala una estrategia de PQC para toda la empresa.

Consideremos el rápido aumento de la IA agente, donde las organizaciones pueden necesitar asignar identidades digitales a miles o incluso millones de agentes de IA. Eso requerirá un nivel de autenticación que vaya mucho más allá de la infraestructura existente.

Estos proyectos serán dirigidos por el CISO, pero la planificación y ejecución deben incluir a otros líderes empresariales porque la seguridad poscuántica debe llegar a todas las partes del entorno digital de la organización. Las juntas directivas también deben participar, dados los riesgos de gobernanza y la importante inversión de capital requerida.

Desarrollar una estrategia plurianual y multifacética

Las organizaciones de industrias reguladas (banca, atención médica y gobierno, por ejemplo) generalmente están un paso adelante en la preparación para la amenaza poscuántica. Sin embargo, independientemente de la industria, pocos están completamente preparados porque la preparación requiere una imagen detallada del panorama de seguridad y datos de extremo a extremo de una organización.

En mi experiencia, esa visión holística es una rareza. Para los CISO y sus colegas de línea de negocio, un buen punto de partida es crear un inventario completo de sistemas y datos en toda la empresa y luego priorizar lo que se debe proteger.

Otro paso importante es comenzar a probar y adoptar los últimos algoritmos y protocolos resistentes a los cuánticos que han sido estandarizados por el NIST. Una gama cada vez mayor de productos y plataformas PKI admiten esas especificaciones. Esto es esencial porque la única forma en que las empresas podrán orquestar, monitorear y gestionar el alcance de la implementación es a través de la automatización.

Estas actualizaciones son vitales, pero no se trata simplemente de reemplazar las especificaciones precuánticas por otras más nuevas. Debido a que PQC será una tarea de varios años, las organizaciones deben cerrar la brecha entre lo antiguo y lo nuevo. La mejor estrategia para algunos será un enfoque híbrido que combine la criptografía clásica y los algoritmos de próxima generación, aunque la estandarización sigue siendo un trabajo en progreso. Otras organizaciones están avanzando hacia un modelo poscuántico “puro” o no combinado.

En cuanto a esos ataques de recolección, la mejor defensa es sencilla: cifrar sus datos más confidenciales y de larga duración con algoritmos resistentes a los cuánticos lo antes posible.

PQC es una responsabilidad compartida

Desafortunadamente, no hay una línea de meta en la carrera hacia la seguridad de la era cuántica. E incluso si una organización bloquea sus sistemas contra amenazas emergentes, no hay garantía de que los clientes y socios comerciales hagan lo mismo.

Aún persistirán muchas vulnerabilidades, razón por la cual el argumento comercial para PQC incluye proteger los datos de los clientes y salvaguardar la reputación y la confianza en la marca a medida que las amenazas digitales evolucionan rápidamente. Incluso hoy en día, una infracción importante puede costar millones y causar daños duraderos a una marca corporativa.

La computación cuántica promete aportar muchas capacidades nuevas a las empresas y la sociedad, desde transformar la optimización de la cadena de suministro y el análisis de riesgos hasta permitir descubrimientos revolucionarios en medicina y ciencia climática. Pero los riesgos potenciales son igualmente sustanciales. Después de años de observar y esperar la tecnología cuántica, los líderes empresariales no tienen más remedio que tomar medidas.

Chris Hickman es el director de seguridad de Keyfactor, un proveedor líder de soluciones de seguridad cuánticas.

Las organizaciones suelen implementar la autenticación multifactor (MFA) y suponen que las contraseñas robadas ya no son suficientes para acceder a los sistemas. En entornos Windows, esa suposición suele ser errónea. Los atacantes siguen comprometiendo las redes todos los días utilizando credenciales válidas. La cuestión no es la ayuda macrofinanciera en sí, sino la cobertura.

Se aplica a través de un proveedor de identidad (IdP) como Microsoft Entra ID, Okta o Google Workspace. MFA funciona bien para aplicaciones en la nube e inicios de sesión federados. Pero muchos inicios de sesión de Windows dependen únicamente de rutas de autenticación de Active Directory (AD) que nunca activan mensajes de MFA. Para reducir el riesgo basado en credenciales, los equipos de seguridad deben comprender dónde ocurre la autenticación de Windows fuera de su pila de identidades.

Siete rutas de autenticación de Windows en las que confían los atacantes

1. Inicio de sesión interactivo de Windows (local o unido a un dominio)

Cuando un usuario inicia sesión directamente en una estación de trabajo o servidor de Windows, la autenticación normalmente la maneja AD (a través de Kerberos o NTLM), no mediante un IdP en la nube.

En entornos híbridosincluso si Entra ID aplica MFA para aplicaciones en la nube, los controladores de dominio locales validan los inicios de sesión tradicionales de Windows en sistemas unidos a un dominio. A menos que se implemente Windows Hello for Business, tarjetas inteligentes u otro mecanismo MFA integrado, no hay ningún factor adicional en ese flujo.

Si un atacante obtiene la contraseña de un usuario (o hash NTLM), puede autenticarse en una máquina unida a un dominio sin activar las políticas MFA que protegen las aplicaciones de software como servicio o el inicio de sesión único federado. Desde la perspectiva del controlador de dominio, esta es una solicitud de autenticación estándar.

Herramientas como Acceso seguro a Specops son clave para limitar el riesgo de abuso de credenciales en estos escenarios. Al aplicar MFA para el inicio de sesión de Windows, así como para las conexiones VPN y de Protocolo de escritorio remoto (RDP), esta herramienta dificulta que los atacantes obtengan acceso no autorizado a su red. Esto se extiende incluso a los inicios de sesión fuera de línea, que están protegidos con autenticación con contraseña de un solo uso.

Acceso seguro a Specops

2. Acceso RDP directo que evita el acceso condicional

RDP es uno de los métodos de acceso más específicos en entornos Windows. Incluso cuando RDP no está expuesto a Internet, los atacantes suelen llegar a través de movimiento lateral después del compromiso inicial. Una sesión RDP directa a un servidor no pasa automáticamente por los controles MFA basados ​​en la nube, lo que significa que el inicio de sesión puede depender únicamente de la credencial AD subyacente.

3. Autenticación NTLM

NTLM es un protocolo de autenticación heredado que, a pesar de estar en desuso a favor del protocolo Kerberos, más seguro, todavía existe por razones de compatibilidad. También es un vector de ataque común porque admite técnicas como pass-the-hash.

En los ataques pass-the-hash, el atacante no necesita la contraseña en texto plano; en su lugar, utilizan el hash NTLM para autenticarse. Ministerio de Asuntos Exteriores no ayuda si el sistema acepta el hash como prueba de identidad.

NTLM también puede aparecer en flujos de autenticación internos que las organizaciones tal vez no monitoreen activamente; sólo un incidente o una auditoría lo revelará a los equipos de seguridad.

4. Abuso de tickets de Kerberos

Kerberos es el protocolo de autenticación principal para AD. En lugar de robar contraseñas directamente, Los atacantes roban tickets de Kerberos. desde la memoria o generar tickets falsificados después de comprometer cuentas privilegiadas. Esto permite técnicas como:

• Pase el boleto
• Boleto Dorado
• Boleto de Plata

Estos ataques permiten el acceso a largo plazo y el movimiento lateral y también reducen la necesidad de inicios de sesión repetidos, lo que reduce las posibilidades de detección. Estos ataques pueden persistir incluso después de restablecer la contraseña si el compromiso subyacente no se aborda por completo.

5. Cuentas de administrador local y reutilización de credenciales

Las organizaciones todavía dependen de cuentas de administrador local para tareas de soporte y recuperación del sistema. Si las contraseñas de administrador local se reutilizan en todos los puntos finales, los atacantes pueden escalar un compromiso hacia un acceso amplio.

Las cuentas de administrador local generalmente se autentican directamente en el punto final, evitando por completo los controles de MFA. No se aplican las políticas de acceso condicional de Entra ID. Ésta es una de las razones por las que el volcado de credenciales sigue siendo tan eficaz en entornos Windows.

6. Autenticación y movimiento lateral del Bloque de mensajes del servidor (SMB)

SMB se utiliza para compartir archivos y acceder remotamente a recursos de Windows. También es una de las rutas de movimiento lateral más confiables una vez que un atacante tiene credenciales válidas. Los atacantes suelen utilizar SMB para acceder a recursos compartidos administrativos como C$ o para interactuar con sistemas de forma remota utilizando credenciales válidas.

Si la autenticación SMB se trata como tráfico interno, rara vez se aplica MFA en esta capa. Si el atacante tiene credenciales válidas, puede usar SMB para moverse rápidamente entre sistemas.

7. Cuentas de servicio que nunca activan MFA

cuentas de servicio existen para ejecutar tareas programadas, aplicaciones, integraciones y servicios del sistema. Suelen tener credenciales estables, amplios permisos y una larga vida útil.

En muchas organizaciones, las contraseñas de las cuentas de servicio no caducan y rara vez se controlan. También son difíciles de proteger con MFA porque la autenticación está automatizada. Con frecuencia, estas cuentas se utilizan en aplicaciones heredadas que no pueden admitir controles de autenticación modernos.

Esta es una de las razones por las que los atacantes apuntan credenciales de soporte técnico y acceso de administrador de endpoints en las primeras etapas de una intrusión.

Cómo cerrar las brechas de autenticación de Windows

Los equipos de seguridad deben tratar la autenticación de Windows como su propia superficie de seguridad. Hay varias medidas prácticas que los equipos de seguridad pueden tomar para reducir la exposición:

1. Aplicar políticas de contraseñas más seguras en AD

Se debe aplicar una política de contraseñas segura frases de contraseña más largas de 15 o más caracteres. Las frases de contraseña son más fáciles de recordar para los usuarios y más difíciles de descifrar para los atacantes. Las políticas sólidas también deberían impedir la reutilización de contraseñas y bloquear patrones débiles que los atacantes puedan adivinar.

2. Bloquear continuamente las contraseñas comprometidas

El robo de credenciales no siempre es el resultado de ataques de fuerza bruta. Miles de millones de contraseñas ya están disponibles en conjuntos de datos violados para que los atacantes las reutilicen. ataques de credenciales. El bloqueo de contraseñas comprometidas en el momento de su creación reduce la posibilidad de que los usuarios establezcan credenciales que los atacantes ya tienen.

3. Reducir la exposición a protocolos de autenticación heredados

Siempre que sea posible, las organizaciones deben restringir o eliminar la autenticación NTLM. Los equipos de seguridad deben fijarse el objetivo de comprender dónde existe NTLM, reducirlo cuando sea posible y reforzar los controles cuando no se pueda eliminar.

4. Audite las cuentas de servicio y reduzca la pérdida de privilegios

Trate las cuentas de servicio como identidades de alto riesgo. Las organizaciones deben inventariarlos, reducir privilegios innecesariosrotar credenciales y eliminar cuentas que ya no sean necesarias. Si una cuenta de servicio tiene permisos a nivel de dominio, la organización debe asumir que será el objetivo.

Cómo puede ayudar Specops

Las políticas de contraseñas sólidas y las comprobaciones proactivas de credenciales comprometidas conocidas son dos de las formas más efectivas de reducir el riesgo de ataques basados ​​en credenciales. Política de contraseñas de Specops ayuda aplicando controles de contraseña flexibles que van más allá de lo que está disponible de forma nativa en Microsoft.

Política de contraseñas de Specops

Es Protección de contraseña violada La función verifica continuamente las contraseñas de Active Directory con una base de datos de más de 5,4 mil millones de credenciales expuestas, avisándole rápidamente si se descubre que la contraseña de un usuario está en riesgo. Si está interesado en ver cómo Specops puede ayudar a su organización, hable con un experto o reservar una demostración para ver nuestras soluciones en acción.