El 90% de los ataques contra empresas busca explotar vulnerabilidades del Directorio Activo
- Seguridad
La creciente sofisticación de los ciberataques ha situado al Directorio Activo en el centro del riesgo para empresas de todos los sectores. Las organizaciones afrontan un escenario en el que la identidad se ha convertido en el nuevo perímetro de seguridad y cualquier brecha puede paralizar la operativa durante días o semanas.
Las amenazas de ciberseguridad no dejan de crecer. Según el último informe del Instituto Nacional de Ciberseguridad (INCIBE), durante 2025 se gestionaron 122.223 incidentes, un 26% más que el año anterior. Este incremento viene acompañado de una mayor sofisticación de los ataques, impulsados por el uso de tecnologías como la inteligencia artificial y dirigidos a activos críticos dentro de las infraestructuras tecnológicas.
Entre ellos destaca el Directorio Activo (AD), desarrollado por Microsoft, pieza central en la gestión de identidades, permisos y accesos en las organizaciones, cuyo papel como orquestador de usuarios, sistemas, aplicaciones y servicios lo convierte en un objetivo estratégico para los atacantes.
El Directorio Activo, permite gestionar de forma centralizada los permisos y accesos a los recursos de red. En su núcleo almacena información clave y facilita la autenticación y autorización mediante protocolos como Kerberos. Si esta infraestructura es comprometida, la organización entera queda expuesta.
Los datos de Semperis son contundentes: el 90% de los ataques busca vulnerabilidades del AD, y su compromiso puede otorgar al atacante un control casi total del entorno TI. Elementos como los Controladores de Dominio, responsables de procesar autenticaciones, o el propio protocolo Kerberos, son objetivos habituales de ataques avanzados capaces de manipular tickets cifrados.
Identidades híbridas, más superficie de ataque y baja madurez
La transición hacia modelos híbridos —donde el AD tradicional convive con soluciones cloud como Microsoft Entra ID— ha ampliado la superficie de ataque. Las identidades ya no residen únicamente en el centro de datos corporativo, sino también en la nube, multiplicando los vectores de riesgo.
A pesar de ello, el informe Horizontes de la Seguridad de Identidad 2025 de Sailpoint revela que el 63% de las organizaciones sigue en fases tempranas de madurez de identidad, con procesos manuales, herramientas fragmentadas y controles insuficientes. Para nettaro, esta falta de madurez incrementa la exposición y dificulta la respuesta ante incidentes.
El ransomware continúa siendo uno de los ataques más devastadores. Según el Informe de Riesgo de Ransomware 2025 de Semperis, el 83% de los ataques exitosos comprometieron la infraestructura de identidad. La recuperación del AD tras un incidente es compleja y lenta. De hecho, el 76% de las víctimas tardó más de un día en recuperarse, y el 18% necesitó hasta un mes para volver a la normalidad operativa.
La falta de planes de recuperación específicos para AD agrava el impacto, ya que las copias de seguridad tradicionales suelen contener el mismo malware que provocó el incidente.
En un entorno donde la nube, el trabajo híbrido y la digitalización han redefinido la red corporativa, la identidad se ha convertido en el nuevo perímetro de seguridad. Proteger el Directorio Activo es hoy una prioridad estratégica para garantizar la continuidad del negocio y la resiliencia de las organizaciones frente a un panorama de amenazas cada vez más complejo.
