Indicators of Exposure

Errores de configuración y uso de objetos dinámicos

Gravedad: Medium

Nombre

Errores de configuración y uso de objetos dinámicos

Descripción

Detecta objetos dinámicos y configuraciones no seguras relacionadas con ellos.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DYNAMIC-OBJECTS

Permisos de dMSA peligrosos de BadSuccessor

Gravedad: Critical

Nombre

Permisos de dMSA peligrosos de BadSuccessor

Descripción

BadSuccessor es un error de escalamiento de privilegios de Active Directory en Windows Server 2025 que explota las dMSA, lo que permite que los atacantes manipulen los vínculos de cuentas y, posiblemente, vulneren el dominio.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-BAD-SUCCESSOR

Grupo no esencial

Gravedad: Low

Nombre

Grupo no esencial

Descripción

Verifica que ningún grupo esté vacío o contenga un solo miembro.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-UNNECESSARY-GROUP

Permisos de Exchange confidenciales

Gravedad: Critical

Nombre

Permisos de Exchange confidenciales

Descripción

Identifique los permisos potencialmente inseguros que afecten a los recursos de Exchange o que estén asignados a grupos de Exchange.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-PERMISSIONS

Servidores de Exchange no admitidos u obsoletos

Gravedad: High

Nombre

Servidores de Exchange no admitidos u obsoletos

Descripción

Detecta servidores de Exchange obsoletos que Microsoft ya no admite, así como aquellos a los que les faltan las actualizaciones acumulativas más recientes.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-VERSION

Errores de configuración peligrosos de Exchange

Gravedad: High

Nombre

Errores de configuración peligrosos de Exchange

Descripción

Enumera los errores de configuración que afectan los recursos de Exchange o los objetos de esquema de Active Directory subyacentes correspondientes.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-MISCONFIG

Información de Entra ID híbrido

Gravedad: Low

Nombre

Información de Entra ID híbrido

Descripción

Recopila información, como los equipos y usuarios híbridos, del entorno local de Active Directory sobre los recursos que se sincronizan con Microsoft Entra ID.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-AAD-INFORMATIVE

Miembros de grupo de Exchange

Gravedad: High

Nombre

Miembros de grupo de Exchange

Descripción

Cuentas poco comunes en grupos confidenciales de Exchange

Leer más en https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-MEMBERS

Errores de configuración en cuentas de servicios

Gravedad: Medium

Nombre

Errores de configuración en cuentas de servicios

Descripción

Muestra errores de configuración potenciales de las cuentas de servicios de dominio.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-SERVICE-ACCOUNT

Entidades de seguridad en conflicto

Gravedad: Low

Nombre

Entidades de seguridad en conflicto

Descripción

Comprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto).

Leer más en https://www.tenable.com/indicators/ioe/ad/C-CONFLICTED-OBJECTS

Shadow Credentials

Gravedad: High

Nombre

Shadow Credentials

Descripción

Detecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-SHADOW-CREDENTIALS

Cuenta de invitado habilitada

Gravedad: Low

Nombre

Cuenta de invitado habilitada

Descripción

Comprueba que la cuenta de invitado integrada esté deshabilitada.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-GUEST-ACCOUNT

Errores de configuración peligrosos en cuentas de servicios administradas

Gravedad: High

Nombre

Errores de configuración peligrosos en cuentas de servicios administradas

Descripción

Se asegura de que las cuentas de servicios administradas (MSAs) se implementen y configuren correctamente.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-MSA-COMPLIANCE

Cuentas de usuario de AD privilegiadas sincronizadas con Microsoft Entra ID

Gravedad: High

Nombre

Cuentas de usuario de AD privilegiadas sincronizadas con Microsoft Entra ID

Descripción

Comprueba que las cuentas de usuario de Active Directory privilegiadas no se sincronicen con Microsoft Entra ID.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-AAD-PRIV-SYNC

Configuración de silos de autenticación con privilegios

Gravedad: High

Nombre

Configuración de silos de autenticación con privilegios

Descripción

Una guía detallada de la configuración de un silo de autenticación para cuentas con privilegios (nivel 0).

Leer más en https://www.tenable.com/indicators/ioe/ad/C-AUTH-SILO

Actualizaciones dinámicas sin protección permitidas de zonas DNS

Gravedad: High

Nombre

Actualizaciones dinámicas sin protección permitidas de zonas DNS

Descripción

Comprueba que la configuración de servidores DNS no permita las actualizaciones dinámicas sin protección de las zonas DNS.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DYNAMIC-UPDATES

Errores de configuración peligrosos de WSUS

Gravedad: Critical

Nombre

Errores de configuración peligrosos de WSUS

Descripción

Enumera los parámetros con errores de configuración relacionados con Windows Server Update Services (WSUS).

Leer más en https://www.tenable.com/indicators/ioe/ad/C-WSUS-HARDENING

Integridad de los conjuntos de propiedades

Gravedad: Medium

Nombre

Integridad de los conjuntos de propiedades

Descripción

Comprueba la integridad de los conjuntos de propiedades y valida los permisos.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PROP-SET-SANITY

Configuración peligrosa de replicación de SYSVOL

Gravedad: Medium

Nombre

Configuración peligrosa de replicación de SYSVOL

Descripción

Comprueba que el mecanismo “Replicación del sistema de archivos distribuido” (DFS-R) haya reemplazado al “Servicio de replicación de archivos” (FRS).

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DFS-MISCONFIG

Detección de debilidades en contraseñas

Gravedad: High

Nombre

Detección de debilidades en contraseñas

Descripción

Comprueba si hay debilidades en las contraseñas que pudieran aumentar la vulnerabilidad de las cuentas de Active Directory.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-HASHES-ANALYSIS

Endurecimiento insuficiente frente al ransomware

Gravedad: Medium

Nombre

Endurecimiento insuficiente frente al ransomware

Descripción

Se asegura de que el dominio haya implementado medidas de endurecimiento para protegerse frente al ransomware.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-RANSOMWARE-HARDENING

Errores de configuración peligrosos de AD CS

Gravedad: Critical

Nombre

Errores de configuración peligrosos de AD CS

Descripción

Enumere los permisos peligrosos y los parámetros con errores de configuración relacionados con la infraestructura de clave pública (PKI) de Servicios de certificados de Active Directory (AD CS).

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PKI-DANG-ACCESS

Sanidad de la ejecución de GPO

Gravedad: High

Nombre

Sanidad de la ejecución de GPO

Descripción

Comprueba que los objetos de política de grupo (GPO) que se aplican a los equipos de un dominio estén sanos.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-GPO-EXEC-SANITY

Restricciones de inicio de sesión para usuarios privilegiados

Gravedad: High

Nombre

Restricciones de inicio de sesión para usuarios privilegiados

Descripción

Comprueba los usuarios privilegiados que pueden conectarse a máquinas con privilegios más bajos, lo que genera un riesgo de robo de credenciales.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-ADMIN-RESTRICT-AUTH

Configuración sin protección del protocolo Netlogon

Gravedad: Critical

Nombre

Configuración sin protección del protocolo Netlogon

Descripción

CVE-2020-1472 (“Zerologon”) afecta al protocolo Netlogon y permite la elevación de privilegios.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-NETLOGON-SECURITY

Atributos vulnerables relacionados con Credential Roaming

Gravedad: Low

Nombre

Atributos vulnerables relacionados con Credential Roaming

Descripción

Los atributos de Credential roaming son vulnerables, lo que hace que un atacante pueda leer los secretos protegidos del usuario relacionado.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-CREDENTIAL-ROAMING

Contraseñas potencialmente con texto no cifrado

Gravedad: High

Nombre

Contraseñas potencialmente con texto no cifrado

Descripción

Comprueba los objetos que potencialmente contengan contraseñas de texto no cifrado en los atributos que los usuarios del dominio pueden leer.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-CLEARTEXT-PASSWORD

Privilegios sensibles peligrosos

Gravedad: High

Nombre

Privilegios sensibles peligrosos

Descripción

Identifica derechos de privilegios sensibles con errores de configuración que disminuyen la seguridad de una infraestructura de directorios.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-SENSITIVE-PRIVILEGES

Certificados asignados en cuentas

Gravedad: Critical

Nombre

Certificados asignados en cuentas

Descripción

Garantiza que no haya asignaciones de certificados débiles atribuidas a objetos.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-SENSITIVE-CERTIFICATES-ON-USER

Dominio sin GPO de endurecimiento de equipos

Gravedad: Medium

Nombre

Dominio sin GPO de endurecimiento de equipos

Descripción

Comprueba que los GPO de endurecimiento se hayan implementado en el dominio.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-GPO-HARDENING

Grupo Usuarios protegidos sin usar

Gravedad: High

Nombre

Grupo Usuarios protegidos sin usar

Descripción

Comprueba los usuarios privilegiados que no son miembros del grupo Usuarios protegidos.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PROTECTED-USERS-GROUP-UNUSED

Cuenta con posible contraseña vacía

Gravedad: High

Nombre

Cuenta con posible contraseña vacía

Descripción

Identifica las cuentas de usuario que permiten las contraseñas vacías.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-NOT-REQUIRED

Usuarios con permiso para unir equipos al dominio

Gravedad: Medium

Nombre

Usuarios con permiso para unir equipos al dominio

Descripción

Compruebe que los usuarios normales no puedan unir equipos externos al dominio.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-USERS-CAN-JOIN-COMPUTERS

Último cambio de la contraseña de la cuenta de Microsoft Entra Seamless SSO

Gravedad: High

Nombre

Último cambio de la contraseña de la cuenta de Microsoft Entra Seamless SSO

Descripción

Garantiza los cambios periódicos de la contraseña de la cuenta de Microsoft Entra Seamless SSO.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-AAD-SSO-PASSWORD

Derechos peligrosos en el esquema de AD

Gravedad: High

Nombre

Derechos peligrosos en el esquema de AD

Descripción

Enumera las entradas del esquema que se consideran anómalas y que podrían ofrecer un medio de persistencia.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-ABNORMAL-ENTRIES-IN-SCHEMA

Cuenta de usuario con contraseña antigua

Gravedad: Medium

Nombre

Cuenta de usuario con contraseña antigua

Descripción

Comprueba las actualizaciones periódicas de todas las contraseñas de cuentas activas en Active Directory para reducir el riesgo de robo de credenciales.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-USER-PASSWORD

Verificar los permisos relacionados con cuentas de Microsoft Entra Connect

Gravedad: Critical

Nombre

Verificar los permisos relacionados con cuentas de Microsoft Entra Connect

Descripción

Asegúrese de que los permisos definidos en las cuentas de Microsoft Entra Connect estén equilibrados.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-AAD-CONNECT

Controladores de dominio administrados por usuarios ilegítimos

Gravedad: Critical

Nombre

Controladores de dominio administrados por usuarios ilegítimos

Descripción

Algunos controladores de dominio pueden estar administrados por usuarios no administrativos debido a derechos de acceso peligrosos.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DC-ACCESS-CONSISTENCY

Aplicación de políticas de contraseñas débiles en los usuarios

Gravedad: Critical

Nombre

Aplicación de políticas de contraseñas débiles en los usuarios

Descripción

Algunas políticas de contraseñas que se aplican en cuentas de usuario específicas no son lo suficientemente seguras y pueden llevar al robo de credenciales.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-POLICY

Comprobar los permisos de objetos y archivos de GPO sensibles

Gravedad: Critical

Nombre

Comprobar los permisos de objetos y archivos de GPO sensibles

Descripción

Se asegura de que los permisos asignados a objetos y archivos de GPO vinculados a contenedores sensibles, como controladores de dominio o unidades organizativas, sean apropiados y seguros.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-GPO-SD-CONSISTENCY

Dominio con configuración insegura de compatibilidad con versiones anteriores

Gravedad: Low

Nombre

Dominio con configuración insegura de compatibilidad con versiones anteriores

Descripción

El atributo dsHeuristics puede modificar el comportamiento de AD, pero algunos campos son sensibles desde el punto de vista de la seguridad y presentan un riesgo.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DSHEURISTICS

Dominios con un nivel funcional obsoleto

Gravedad: Medium

Nombre

Dominios con un nivel funcional obsoleto

Descripción

Comprueba el nivel funcional correcto de un dominio o bosque, lo que determina la disponibilidad de características avanzadas y opciones de seguridad.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DOMAIN-FUNCTIONAL-LEVEL

Administración de cuentas administrativas locales

Gravedad: Medium

Nombre

Administración de cuentas administrativas locales

Descripción

Garantiza la administración segura y centralizada de las cuentas administrativas locales mediante LAPS.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-LAPS-UNSECURE-CONFIG

Configuración de Kerberos en una cuenta de usuario

Gravedad: Medium

Nombre

Configuración de Kerberos en una cuenta de usuario

Descripción

Detecta las cuentas que usan una configuración débil de Kerberos.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-KERBEROS-CONFIG-ACCOUNT

Permisos de objetos raíz que permiten ataques similares a DCSync

Gravedad: Critical

Nombre

Permisos de objetos raíz que permiten ataques similares a DCSync

Descripción

Comprueba los permisos inseguros en los objetos raíz, que pueden permitir que usuarios no autorizados roben credenciales de autenticación.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-ROOTOBJECTS-SD-CONSISTENCY

Cuentas que usan un control de acceso compatible con versiones anteriores a Windows 2000

Gravedad: High

Nombre

Cuentas que usan un control de acceso compatible con versiones anteriores a Windows 2000

Descripción

Comprueba los miembros de cuentas de un grupo de acceso compatible con versiones anteriores a Windows 2000 que puedan saltarse las medidas de seguridad.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PRE-WIN2000-ACCESS-MEMBERS

Cuentas deshabilitadas en grupos con privilegios

Gravedad: Low

Nombre

Cuentas deshabilitadas en grupos con privilegios

Descripción

Las cuentas que ya no se usan no deben permanecer en los grupos con privilegios.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DISABLED-ACCOUNTS-PRIV-GROUPS

Equipos que ejecutan un sistema operativo obsoleto

Gravedad: High

Nombre

Equipos que ejecutan un sistema operativo obsoleto

Descripción

Identifica los sistemas obsoletos a los que Microsoft ya no brinda soporte y que aumentan la vulnerabilidad de la infraestructura.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-OBSOLETE-SYSTEMS

Cuentas con un atributo SID History peligroso

Gravedad: High

Nombre

Cuentas con un atributo SID History peligroso

Descripción

Comprueba las cuentas de usuario o de equipo que usan un identificador de seguridad privilegiado en el atributo SID history.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-ACCOUNTS-DANG-SID-HISTORY

Uso de algoritmos criptográficos débiles en la PKI de Active Directory

Gravedad: Critical

Nombre

Uso de algoritmos criptográficos débiles en la PKI de Active Directory

Descripción

Identifica algoritmos criptográficos débiles que se usan en los certificados raíz implementados en una PKI interna de Active Directory.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PKI-WEAK-CRYPTO

Uso reciente de la cuenta Administrador predeterminada

Gravedad: Medium

Nombre

Uso reciente de la cuenta Administrador predeterminada

Descripción

Comprueba los usos recientes de la cuenta de administrador integrada.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-ADM-ACC-USAGE

Grupo principal de usuarios

Gravedad: Critical

Nombre

Grupo principal de usuarios

Descripción

Comprueba que el grupo principal de los usuarios no haya cambiado.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DANG-PRIMGROUPID

Delegación peligrosa de Kerberos

Gravedad: Critical

Nombre

Delegación peligrosa de Kerberos

Descripción

Comprueba la delegación no autorizada de Kerberos y garantiza la protección de los usuarios privilegiados frente a esta.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-UNCONST-DELEG

Contraseñas reversibles

Gravedad: Medium

Nombre

Contraseñas reversibles

Descripción

Comprueba que no pueda habilitarse la opción para almacenar contraseñas en un formato reversible.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-USERS-REVER-PWDS

Contraseñas reversibles en GPO

Gravedad: Medium

Nombre

Contraseñas reversibles en GPO

Descripción

Comprueba que las preferencias de los GPO no permitan contraseñas en un formato reversible.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-REVER-PWD-GPO

Asegurar la coherencia de SDProp

Gravedad: Critical

Nombre

Asegurar la coherencia de SDProp

Descripción

Controle que el objeto AdminSDHolder se encuentre en un estado limpio.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-SDPROP-CONSISTENCY

Último cambio de contraseña en la cuenta KRBTGT

Gravedad: High

Nombre

Último cambio de contraseña en la cuenta KRBTGT

Descripción

Comprueba las cuentas KRBTGT que no han cambiado de contraseña durante un intervalo superior al recomendado.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-KRBTGT-PASSWORD

Miembros de grupos administrativos nativos

Gravedad: Critical

Nombre

Miembros de grupos administrativos nativos

Descripción

Cuentas inusuales en los grupos administrativos nativos de Active Directory.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-NATIVE-ADM-GROUP-MEMBERS

Cuentas con privilegios que ejecutan servicios de Kerberos

Gravedad: Critical

Nombre

Cuentas con privilegios que ejecutan servicios de Kerberos

Descripción

Detecta cuentas con muchos privilegios con el atributo del nombre de entidad de servicio (SPN) que afecta a su seguridad.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PRIV-ACCOUNTS-SPN

Atributo AdminCount definido en usuarios estándar

Gravedad: Medium

Nombre

Atributo AdminCount definido en usuarios estándar

Descripción

Comprueba el atributo adminCount en cuentas dadas de baja, lo que lleva a problemas de permisos que son difíciles de administrar.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-ADMINCOUNT-ACCOUNT-PROPS

Cuentas inactivas

Gravedad: Medium

Nombre

Cuentas inactivas

Descripción

Detecta cuentas inactivas sin usar que pueden generar riesgos de seguridad.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-SLEEPING-ACCOUNTS

Relaciones de confianza peligrosas

Gravedad: High

Nombre

Relaciones de confianza peligrosas

Descripción

Identifica atributos de relación de confianza con errores de configuración que disminuyen la seguridad de una infraestructura de directorios.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-TRUST-RELATIONSHIP

Cuentas con contraseñas que no vencen nunca

Gravedad: Medium

Nombre

Cuentas con contraseñas que no vencen nunca

Descripción

Comprueba las cuentas que tienen la marca de propiedad DONT_EXPIRE_PASSWORD en el atributo userAccountControl, que permite el uso indefinido de la misma contraseña, lo que omite las políticas de renovación de contraseñas.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-DONT-EXPIRE

GPO desvinculado, deshabilitado o huérfano

Gravedad: Low

Nombre

GPO desvinculado, deshabilitado o huérfano

Descripción

Los GPO sin usar o deshabilitados disminuyen el rendimiento de un directorio y el cálculo de RSoP, y pueden llevar a confusión de la política de seguridad. Reactivarlos por error puede debilitar las políticas existentes.

Leer más en https://www.tenable.com/indicators/ioe/ad/C-GPOLICY-DISABLED-UNLINKED

Grupo dinámico con una regla explotable

Gravedad: Medium

Nombre

Grupo dinámico con una regla explotable

Descripción

Los atacantes pueden aprovecharse de los grupos dinámicos en Microsoft Entra ID mediante la manipulación de atributos automodificables, lo que les permite agregarse como miembros del grupo. Esta manipulación permite el escalamiento de privilegios y el acceso no autorizado a recursos confidenciales ligados a los grupos.

Leer más en https://www.tenable.com/indicators/ioe/entra/DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE

Grupo vacío

Gravedad: Low

Nombre

Grupo vacío

Descripción

Los grupos vacíos pueden generar confusión, poner en peligro la seguridad y generar la infrautilización de los recursos. En general, se aconseja definir un propósito claro para los grupos y garantizar que contengan miembros pertinentes.

Leer más en https://www.tenable.com/indicators/ioe/entra/EMPTY-GROUP-MEID

Lista de dominios federados

Gravedad: Low

Nombre

Lista de dominios federados

Descripción

La configuración de dominio federado malintencionada es una amenaza común, que los atacantes usan como puerta trasera de autenticación para el inquilino de Entra ID. Verificar los dominios federados existentes y recientemente agregados es fundamental para garantizar que las configuraciones sean confiables y legítimas. Este indicador de exposición ofrece una lista completa de dominios federados y sus atributos pertinentes para ayudarlo a tomar decisiones informadas sobre el estado de seguridad.

Leer más en https://www.tenable.com/indicators/ioe/entra/FEDERATED-DOMAINS-LIST

Puerta trasera conocida de dominios federados

Gravedad: Critical

Nombre

Puerta trasera conocida de dominios federados

Descripción

Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden explotar esta característica al agregar su dominio federado malintencionado, lo que lleva a la persistencia y al escalamiento de privilegios.

Leer más en https://www.tenable.com/indicators/ioe/entra/KNOWN-FEDERATED-DOMAIN-BACKDOOR

Vencimiento de contraseñas exigido

Gravedad: Low

Nombre

Vencimiento de contraseñas exigido

Descripción

Exigir el vencimiento de contraseñas en los dominios de Microsoft Entra ID puede reducir la seguridad al pedir a los usuarios que cambien de contraseña con frecuencia, lo que suele llevar a contraseñas débiles, predecibles o reutilizadas que reducen la protección general de las cuentas.

Leer más en https://www.tenable.com/indicators/ioe/entra/PASSWORD-EXPIRATION-ENFORCED

Convención de nomenclatura de cuentas privilegiadas

Gravedad: Low

Nombre

Convención de nomenclatura de cuentas privilegiadas

Descripción

Contar con una convención de nomenclatura para usuarios privilegiados en Entra ID es fundamental para la seguridad, la estandarización y el cumplimiento de auditorías, además de facilitar la administración.

Leer más en https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ACCOUNT-NAMING-CONVENTION

Cuenta de Entra con privilegios sincronizada con AD (híbrida)

Gravedad: High

Nombre

Cuenta de Entra con privilegios sincronizada con AD (híbrida)

Descripción

Las cuentas híbridas (es decir, las que se sincronizan desde Active Directory) que cuentan con roles con privilegios en Entra ID representan un riesgo de seguridad, ya que permiten que los atacantes que vulneren AD tengan también acceso a Entra ID. Las cuentas con privilegios de Entra ID deben ser cuentas solo en la nube.

Leer más en https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

Consentimiento de usuario sin restricciones para aplicaciones

Gravedad: Medium

Nombre

Consentimiento de usuario sin restricciones para aplicaciones

Descripción

Entra ID permite a los usuarios consentir de forma autónoma el acceso de aplicaciones externas a los datos de la organización, lo que los atacantes pueden aprovechar en ataques de “concesión de consentimiento ilícito”. Para evitar esto, restrinja el acceso a editores verificados o exija la aprobación de un administrador.

Leer más en https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

Dominio sin verificar

Gravedad: Low

Nombre

Dominio sin verificar

Descripción

Debe confirmar la titularidad de todos los dominios personalizados en Entra ID. Mantenga los dominios sin verificar solo temporalmente: debe verificarlos o quitarlos para mantener una lista de dominios prolija y permitir que las revisiones sean eficientes.

Leer más en https://www.tenable.com/indicators/ioe/entra/UNVERIFIED-DOMAIN

Permisos delegados peligrosos que afectan a los datos

Gravedad: Medium

Nombre

Permisos delegados peligrosos que afectan a los datos

Descripción

Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft en nombre de los usuarios (lo que se denomina “permisos delegados”). Algunos permisos pueden representar una amenaza para los datos de los usuarios que se almacenan en estos servicios.

Leer más en https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-DATA

Valores predeterminados de seguridad en Entra no habilitados

Gravedad: Medium

Nombre

Valores predeterminados de seguridad en Entra no habilitados

Descripción

Los valores predeterminados de seguridad en Entra ID ofrecen opciones recomendadas por Microsoft y preconfiguradas para mejorar la protección de los inquilinos.

Leer más en https://www.tenable.com/indicators/ioe/entra/ENTRA-SECURITY-DEFAULTS-NOT-ENABLED

Cuentas de invitado con acceso equivalente al de las cuentas normales

Gravedad: High

Nombre

Cuentas de invitado con acceso equivalente al de las cuentas normales

Descripción

No se aconseja configurar Entra ID para que considere los invitados como usuarios normales, ya que esto puede permitir que invitados malintencionados lleven a cabo un reconocimiento exhaustivo de los recursos del inquilino.

Leer más en https://www.tenable.com/indicators/ioe/entra/GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

Dispositivos administrados no necesarios para el registro en la MFA

Gravedad: Medium

Nombre

Dispositivos administrados no necesarios para el registro en la MFA

Descripción

Exigir dispositivos administrados para el registro en la MFA hace que sea más difícil que los atacantes registren la MFA fraudulenta, en caso de robo de credenciales, si tampoco tienen acceso a un dispositivo administrado.

Leer más en https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

MFA no obligatoria para inicios de sesión de riesgo

Gravedad: High

Nombre

MFA no obligatoria para inicios de sesión de riesgo

Descripción

La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Las prácticas recomendadas y los estándares de seguridad señalan que se exija la MFA para inicios de sesión de riesgo; por ejemplo, cuando la solicitud de autenticación pueda no provenir del propietario legítimo de la identidad.

Leer más en https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

MFA faltante para cuenta sin privilegios

Gravedad: Medium

Nombre

MFA faltante para cuenta sin privilegios

Descripción

La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, incluso para las cuentas sin privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta característica.

Leer más en https://www.tenable.com/indicators/ioe/entra/MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

Usuario privilegiado no utilizado nunca

Gravedad: Medium

Nombre

Usuario privilegiado no utilizado nunca

Descripción

Las cuentas de usuario privilegiado que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes.

Leer más en https://www.tenable.com/indicators/ioe/entra/NEVER-USED-PRIVILEGED-USER

Cuenta privilegiada de Entra con acceso a servicios de M365

Gravedad: Medium

Nombre

Cuenta privilegiada de Entra con acceso a servicios de M365

Descripción

Debe tener cuentas de Entra independientes para tareas administrativas: una cuenta estándar para uso diario y otra cuenta privilegiada limitada específicamente a actividades de administración. Este enfoque reduce la superficie de ataque de la cuenta privilegiada.

Leer más en https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

Usuarios de riesgo sin exigencia

Gravedad: Medium

Nombre

Usuarios de riesgo sin exigencia

Descripción

Bloquee a los usuarios de riesgo para evitar el acceso no autorizado y posibles vulneraciones. Según las prácticas recomendadas de seguridad, se deben usar directivas de acceso condicional para impedir que las cuentas vulnerables se autentiquen en Entra ID.

Leer más en https://www.tenable.com/indicators/ioe/entra/RISKY-USERS-WITHOUT-ENFORCEMENT

Cuentas de invitado sin restricciones

Gravedad: Medium

Nombre

Cuentas de invitado sin restricciones

Descripción

De forma predeterminada, si bien los usuarios invitados en Entra ID tienen acceso limitado para reducir su visibilidad dentro del inquilino, también es posible mejorar la seguridad y la privacidad al endurecer aún más estas restricciones.

Leer más en https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-GUEST-ACCOUNTS

Período de validez inusual de certificados de firma de federación

Gravedad: Medium

Nombre

Período de validez inusual de certificados de firma de federación

Descripción

Un período de validez inusualmente alto para un certificado de firma de federación es sospechoso, ya que podría indicar que un atacante obtuvo privilegios elevados en Entra ID y creó una puerta trasera a través del mecanismo de confianza de la federación.

Leer más en https://www.tenable.com/indicators/ioe/entra/UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

Protección con contraseña no habilitada para entornos locales

Gravedad: Medium

Nombre

Protección con contraseña no habilitada para entornos locales

Descripción

Protección con contraseña de Microsoft Entra es una funcionalidad de seguridad que evita que los usuarios establezcan contraseñas fáciles de adivinar con el fin de mejorar la seguridad general de las contraseñas en una organización.

Leer más en https://www.tenable.com/indicators/ioe/entra/PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

Grupo público de M365

Gravedad: Medium

Nombre

Grupo público de M365

Descripción

Los grupos de Microsoft 365 almacenados en Entra ID son públicos o privados. Los grupos públicos representan un riesgo de seguridad porque cualquier usuario dentro del inquilino puede unirse a ellos y acceder a sus datos (chats o archivos de Teams, correos electrónicos, etc.).

Leer más en https://www.tenable.com/indicators/ioe/entra/PUBLIC-M365-GROUP

Mostrar contexto adicional en las notificaciones de Microsoft Authenticator

Gravedad: Medium

Nombre

Mostrar contexto adicional en las notificaciones de Microsoft Authenticator

Descripción

Para mejorar la visibilidad, habilite las notificaciones de Microsoft Authenticator para mostrar el contexto adicional, como el nombre de la aplicación y la geolocalización. Esto ayuda a los usuarios a detectar y rechazar solicitudes de autenticación con MFA o sin contraseña potencialmente malintencionadas, lo que mitiga de manera eficaz el riesgo de ataques de fatiga de la MFA.

Leer más en https://www.tenable.com/indicators/ioe/entra/SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

Asignación sospechosa del rol Sincronización de AD

Gravedad: High

Nombre

Asignación sospechosa del rol Sincronización de AD

Descripción

Microsoft diseñó dos roles ocultos integrados de Entra ID para la sincronización en Active Directory, destinados exclusivamente a las cuentas de servicio de Entra Connect o Cloud Sync. Estos roles llevan implícitos permisos con privilegios que agentes malintencionados podrían explotar para lanzar ataques encubiertos.

Leer más en https://www.tenable.com/indicators/ioe/entra/SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Dispositivo inactivo

Gravedad: Low

Nombre

Dispositivo inactivo

Descripción

Los dispositivos inactivos plantean riesgos de seguridad, como configuraciones obsoletas y vulnerabilidades sin parches. Sin una supervisión y actualizaciones periódicas, estos dispositivos obsoletos se convierten en objetivos potenciales de explotación, lo que pone en peligro la integridad de los inquilinos y la confidencialidad de los datos.

Leer más en https://www.tenable.com/indicators/ioe/entra/DORMANT-DEVICE

Error de coincidencia de certificados de firma de federación

Gravedad: High

Nombre

Error de coincidencia de certificados de firma de federación

Descripción

Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden explotar esta funcionalidad al agregar un certificado malintencionado de firma de tokens, lo que lleva a la persistencia y al escalamiento de privilegios.

Leer más en https://www.tenable.com/indicators/ioe/entra/FEDERATION-SIGNING-CERTIFICATES-MISMATCH

Entidad de servicio propia con credenciales

Gravedad: High

Nombre

Entidad de servicio propia con credenciales

Descripción

Las entidades de servicio propias tienen permisos potentes, pero se pasan por alto por estar ocultas, pertenecer a Microsoft y ser numerosas. Los atacantes agregan credenciales a estas entidades para aprovechar sigilosamente sus privilegios con el fin de escalamiento de privilegios y persistencia.

Leer más en https://www.tenable.com/indicators/ioe/entra/FIRST-PARTY-SERVICE-PRINCIPAL-WITH-CREDENTIALS

Autenticación heredada no bloqueada

Gravedad: Medium

Nombre

Autenticación heredada no bloqueada

Descripción

Los métodos de autenticación heredados no admiten la autenticación multifactor (MFA), lo que permite a los atacantes seguir realizando ataques de fuerza bruta, relleno de credenciales y difusión de contraseñas.

Leer más en https://www.tenable.com/indicators/ioe/entra/LEGACY-AUTHENTICATION-NOT-BLOCKED

Dispositivos administrados no necesarios para la autenticación

Gravedad: Medium

Nombre

Dispositivos administrados no necesarios para la autenticación

Descripción

Obligue a los dispositivos administrados a impedir el acceso no autorizado y posibles vulneraciones. Según las prácticas recomendadas de seguridad, se deben usar políticas de acceso condicional para impedir que dispositivos no administrados se autentiquen en Entra ID.

Leer más en https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

Dispositivo no utilizado nunca

Gravedad: Low

Nombre

Dispositivo no utilizado nunca

Descripción

Debe evitar las cuentas creadas previamente de dispositivos no utilizados nunca, ya que reflejan malas prácticas de higiene y pueden representar riesgos de seguridad.

Leer más en https://www.tenable.com/indicators/ioe/entra/NEVER-USED-DEVICE

Grupo con un único miembro

Gravedad: Low

Nombre

Grupo con un único miembro

Descripción

No es aconsejable crear un grupo con un solo miembro, ya que genera redundancia y complejidad. Esta práctica complica de manera innecesaria la gestión al agregar capas y disminuye la eficiencia prevista del uso de grupos para un control y una administración optimizados del acceso.

Leer más en https://www.tenable.com/indicators/ioe/entra/SINGLE-MEMBER-GROUP-MEID

Funcionalidad Pase de acceso temporal habilitada

Gravedad: Low

Nombre

Funcionalidad Pase de acceso temporal habilitada

Descripción

La funcionalidad Pase de acceso temporal (TAP) es un método de autenticación temporal que utiliza un código de acceso de uso limitado o de tiempo limitado. Si bien es una funcionalidad legítima, es más seguro deshabilitarla para reducir la superficie de ataque si su organización no la requiere.

Leer más en https://www.tenable.com/indicators/ioe/entra/TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

MFA no obligatoria para un rol privilegiado

Gravedad: High

Nombre

MFA no obligatoria para un rol privilegiado

Descripción

La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas con privilegios que tienen asignados roles privilegiados.

Leer más en https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

Flujo de trabajo de consentimiento del administrador para aplicaciones sin configurar

Gravedad: Medium

Nombre

Flujo de trabajo de consentimiento del administrador para aplicaciones sin configurar

Descripción

El flujo de trabajo de consentimiento del administrador de Entra ID permite que los usuarios que no son administradores soliciten permisos de aplicaciones a través de un proceso de aprobación estructurado. Si el flujo de trabajo no está configurado, los usuarios que intenten acceder a las aplicaciones pueden encontrar errores y no tener forma de solicitar el consentimiento.

Leer más en https://www.tenable.com/indicators/ioe/entra/ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

Migración de los métodos de autenticación sin completar

Gravedad: Medium

Nombre

Migración de los métodos de autenticación sin completar

Descripción

La migración a la política “Métodos de autenticación” agiliza y moderniza la administración de la autenticación en Microsoft Entra ID. Esta transición simplifica la administración, mejora la seguridad y permite la compatibilidad con los métodos de autenticación más recientes. Para evitar las interrupciones provocadas por el desuso de políticas heredadas, complete la migración antes de septiembre de 2025.

Leer más en https://www.tenable.com/indicators/ioe/entra/AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

Permisos de aplicación peligrosos que afectan al inquilino

Gravedad: High

Nombre

Permisos de aplicación peligrosos que afectan al inquilino

Descripción

Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft por sí solas (lo que se denomina “permisos de aplicación”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra.

Leer más en https://www.tenable.com/indicators/ioe/entra/DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-THE-TENANT

Permisos delegados peligrosos que afectan al inquilino

Gravedad: High

Nombre

Permisos delegados peligrosos que afectan al inquilino

Descripción

Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft en nombre de los usuarios (lo que se denomina “permisos delegados”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra.

Leer más en https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-THE-TENANT

Cuenta deshabilitada asignada a rol privilegiado

Gravedad: Low

Nombre

Cuenta deshabilitada asignada a rol privilegiado

Descripción

Contar con un proceso de administración de cuentas sano exige supervisar las asignaciones a roles con privilegios.

Leer más en https://www.tenable.com/indicators/ioe/entra/DISABLED-ACCOUNT-ASSIGNED-TO-PRIVILEGED-ROLE

Usuario sin privilegios inactivo

Gravedad: Low

Nombre

Usuario sin privilegios inactivo

Descripción

Los usuarios sin privilegios inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque.

Leer más en https://www.tenable.com/indicators/ioe/entra/DORMANT-NON-PRIVILEGED-USER

Usuario privilegiado inactivo

Gravedad: Medium

Nombre

Usuario privilegiado inactivo

Descripción

Los usuarios privilegiados inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque.

Leer más en https://www.tenable.com/indicators/ioe/entra/DORMANT-PRIVILEGED-USER

Cuenta de invitado con un rol con privilegios

Gravedad: High

Nombre

Cuenta de invitado con un rol con privilegios

Descripción

Las cuentas de invitado son identidades externas que pueden representar un riesgo de seguridad cuando tienen asignados roles privilegiados. Esto otorga privilegios sustanciales dentro del inquilino a personas ajenas a la organización.

Leer más en https://www.tenable.com/indicators/ioe/entra/GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

MFA faltante para cuenta privilegiada

Gravedad: High

Nombre

MFA faltante para cuenta privilegiada

Descripción

La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas con privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta característica.

Leer más en https://www.tenable.com/indicators/ioe/entra/MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

Usuario sin privilegios no utilizado nunca

Gravedad: Low

Nombre

Usuario sin privilegios no utilizado nunca

Descripción

Las cuentas de usuario sin privilegios que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes.

Leer más en https://www.tenable.com/indicators/ioe/entra/NEVER-USED-NON-PRIVILEGED-USER

Usuarios con permiso para unir dispositivos

Gravedad: Low

Nombre

Usuarios con permiso para unir dispositivos

Descripción

Permitir que todos los usuarios unan sin restricciones dispositivos al inquilino de Entra abre la puerta a que agentes maliciosos introduzcan dispositivos fraudulentos en el sistema de identidad de la organización y les ofrece un punto de apoyo para vulneraciones adicionales.

Leer más en https://www.tenable.com/indicators/ioe/entra/USERS-ALLOWED-TO-JOIN-DEVICES

Número elevado de administradores

Gravedad: High

Nombre

Número elevado de administradores

Descripción

Los administradores tienen privilegios elevados y pueden representar riesgos de seguridad cuando su número es elevado, dado que la superficie de ataque aumenta. Esta también es una señal de que no se respeta el principio de privilegios mínimos.

Leer más en https://www.tenable.com/indicators/ioe/entra/HIGH-NUMBER-OF-ADMINISTRATORS