Indicadores de exposición
| Nombre | Descripción | Gravedad | Type |
|---|---|---|---|
| Grupo principal de usuarios | Comprueba que el grupo principal de los usuarios no haya cambiado. | critical | |
| Delegación peligrosa de Kerberos | Comprueba la delegación no autorizada de Kerberos y garantiza la protección de los usuarios privilegiados frente a esta. | critical | |
| Contraseñas reversibles | Comprueba que no pueda habilitarse la opción para almacenar contraseñas en un formato reversible. | medium | |
| Contraseñas reversibles en GPO | Comprueba que las preferencias de los GPO no permitan contraseñas en un formato reversible. | medium | |
| Asegurar la coherencia de SDProp | Controle que el objeto AdminSDHolder se encuentre en un estado limpio. | critical | |
| Último cambio de contraseña en la cuenta KRBTGT | Comprueba las cuentas KRBTGT que no han cambiado de contraseña durante un intervalo superior al recomendado. | high | |
| Miembros de grupos administrativos nativos | Cuentas inusuales en los grupos administrativos nativos de Active Directory | critical | |
| Cuentas con privilegios que ejecutan servicios de Kerberos | Detecta cuentas con muchos privilegios con el atributo Service Principal Name (SPN) que afecta a su seguridad. | critical | |
| Atributo AdminCount definido en usuarios estándar | Comprueba el atributo adminCount en cuentas dadas de baja, lo que lleva a problemas de permisos que son difíciles de administrar. | medium | |
| Cuentas inactivas | Detecta cuentas inactivas sin usar que pueden generar riesgos de seguridad. | medium | |
| Relaciones de confianza peligrosas | Identifica atributos de relación de confianza con errores de configuración que disminuyen la seguridad de una infraestructura de directorios. | high | |
| Cuentas con contraseñas que no vencen nunca | Comprueba las cuentas que tienen la marca de propiedad DONT_EXPIRE_PASSWORD en el atributo userAccountControl, que permite el uso indefinido de la misma contraseña, lo que omite las políticas de renovación de contraseñas. | medium | |
| GPO desvinculado, deshabilitado o huérfano | Los GPO sin usar o deshabilitados disminuyen el rendimiento de un directorio y el cálculo de RSoP, y pueden llevar a confusión de la política de seguridad. Reactivarlos por error puede debilitar las políticas existentes. | low | |
| Grupo vacío | Los grupos vacíos pueden generar confusión, poner en peligro la seguridad y generar la infrautilización de los recursos. En general, se aconseja definir un propósito claro para los grupos y garantizar que contengan miembros pertinentes. | LOW | |
| Dispositivo no utilizado nunca | Debe evitar las cuentas creadas previamente de dispositivos no utilizados nunca, ya que reflejan malas prácticas de higiene y pueden representar riesgos de seguridad. | LOW | |
| Usuarios de riesgo sin exigencia | Bloquee a los usuarios de riesgo para evitar el acceso no autorizado y posibles vulneraciones. Según las prácticas recomendadas de seguridad, se deben usar directivas de acceso condicional para impedir que las cuentas vulnerables se autentiquen en Entra ID. | MEDIUM | |
| Flujo de trabajo de consentimiento del administrador para aplicaciones sin configurar | El flujo de trabajo de consentimiento del administrador de Entra ID permite que los usuarios que no son administradores soliciten permisos de aplicaciones a través de un proceso de aprobación estructurado. Si el flujo de trabajo no está configurado, los usuarios que intenten acceder a las aplicaciones pueden encontrar errores y no tener forma de solicitar el consentimiento. | MEDIUM | |
| Cuenta de Entra con privilegios sincronizada con AD (híbrida) | Las cuentas híbridas (es decir, las que se sincronizan desde Active Directory) que cuentan con roles con privilegios en Entra ID representan un riesgo de seguridad, ya que permiten que los atacantes que vulneren AD tengan también acceso a Entra ID. Las cuentas con privilegios de Entra ID deben ser cuentas solo en la nube. | HIGH | |
| Permisos de aplicación peligrosos que afectan al inquilino | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft por sí solas (lo que se denomina “permisos de aplicación”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra. | HIGH | |
| Usuario privilegiado inactivo | Los usuarios privilegiados inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque. | MEDIUM | |
| Error de coincidencia de certificados de firma de federación | Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden explotar esta funcionalidad al agregar un certificado malintencionado de firma de tokens, lo que lleva a la persistencia y al escalamiento de privilegios. | HIGH | |
| Número elevado de administradores | Los administradores tienen privilegios elevados y pueden representar riesgos de seguridad cuando su número es elevado, dado que la superficie de ataque aumenta. Esta también es una señal de que no se respeta el principio de privilegios mínimos. | HIGH | |
| La directiva de acceso condicional deshabilita Evaluación continua de acceso | Evaluación continua de acceso es una funcionalidad de seguridad de Entra ID que permite reacciones rápidas a los cambios en las políticas de seguridad o actualizaciones en el estado de un usuario. Por este motivo, no la deshabilite. | MEDIUM | |
| Período de validez inusual de certificados de firma de federación | Un período de validez inusualmente alto para un certificado de firma de federación es sospechoso, ya que podría indicar que un atacante obtuvo privilegios elevados en Entra ID y creó una puerta trasera a través del mecanismo de confianza de la federación. | MEDIUM | |
| Dispositivos administrados no necesarios para la autenticación | Obligue a los dispositivos administrados a impedir el acceso no autorizado y posibles vulneraciones. Según las prácticas recomendadas de seguridad, se deben usar políticas de acceso condicional para impedir que dispositivos no administrados se autentiquen en Entra ID. | MEDIUM | |
| Consentimiento de usuario sin restricciones para aplicaciones | Entra ID permite a los usuarios consentir de forma autónoma el acceso de aplicaciones externas a los datos de la organización, lo que los atacantes pueden aprovechar en ataques de “concesión de consentimiento ilícito”. Para evitar esto, restrinja el acceso a editores verificados o exija la aprobación de un administrador. | MEDIUM | |
| Permisos de aplicación peligrosos que afectan a los datos | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft por sí solas (lo que se denomina “permisos de aplicación”). Algunos permisos pueden representar una amenaza para los datos de los usuarios que se almacenan en estos servicios. | MEDIUM | |
| Valores predeterminados de seguridad en Entra no habilitados | Los valores predeterminados de seguridad en Entra ID ofrecen opciones recomendadas por Microsoft y preconfiguradas para mejorar la protección de los inquilinos. | MEDIUM | |
| Mostrar contexto adicional en las notificaciones de Microsoft Authenticator | Para mejorar la visibilidad, habilite las notificaciones de Microsoft Authenticator para mostrar el contexto adicional, como el nombre de la aplicación y la geolocalización. Esto ayuda a los usuarios a detectar y rechazar solicitudes de autenticación con MFA o sin contraseña potencialmente malintencionadas, lo que mitiga de manera eficaz el riesgo de ataques de fatiga de la MFA. | MEDIUM | |
| Cuentas de invitado sin restricciones | De forma predeterminada, si bien los usuarios invitados en Entra ID tienen acceso limitado para reducir su visibilidad dentro del inquilino, también es posible mejorar la seguridad y la privacidad al endurecer aún más estas restricciones. | MEDIUM | |
| Aplicación que permite la autenticación de varios inquilinos | Las aplicaciones de Entra, que permiten la autenticación de varios inquilinos, pueden brindar acceso no autorizado a usuarios malintencionados si esta configuración no se habilitó con pleno conocimiento y sin poner en práctica verificaciones de autorización adecuadas en el código de la aplicación. | LOW | |
| Grupo con un único miembro | No es aconsejable crear un grupo con un solo miembro, ya que genera redundancia y complejidad. Esta práctica complica de manera innecesaria la gestión al agregar capas y disminuye la eficiencia prevista del uso de grupos para un control y una administración optimizados del acceso. | LOW | |
| Migración de los métodos de autenticación sin completar | La migración a la política “Métodos de autenticación” agiliza y moderniza la administración de la autenticación en Microsoft Entra ID. Esta transición simplifica la administración, mejora la seguridad y permite la compatibilidad con los métodos de autenticación más recientes. Para evitar las interrupciones provocadas por el desuso de políticas heredadas, complete la migración antes de septiembre de 2025. | MEDIUM | |
| Usuario sin privilegios inactivo | Los usuarios sin privilegios inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque. | LOW | |
| Grupo dinámico con una regla explotable | Los atacantes pueden aprovecharse de los grupos dinámicos en Microsoft Entra ID mediante la manipulación de atributos automodificables, lo que les permite agregarse como miembros del grupo. Esta manipulación permite el escalamiento de privilegios y el acceso no autorizado a recursos confidenciales ligados a los grupos. | MEDIUM | |
| MFA no obligatoria para inicios de sesión de riesgo | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Las prácticas recomendadas y los estándares de seguridad señalan que se exija la MFA para inicios de sesión de riesgo; por ejemplo, cuando la solicitud de autenticación pueda no provenir del propietario legítimo de la identidad. | HIGH | |
| MFA faltante para cuenta privilegiada | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas con privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta característica. | HIGH | |
| Usuario sin privilegios no utilizado nunca | Las cuentas de usuario sin privilegios que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes. | LOW | |
| Convención de nomenclatura de cuentas privilegiadas | Contar con una convención de nomenclatura para usuarios privilegiados en Entra ID es fundamental para la seguridad, la estandarización y el cumplimiento de auditorías, además de facilitar la administración. | LOW | |
| Cuenta privilegiada de Entra con acceso a servicios de M365 | Debe tener cuentas de Entra independientes para tareas administrativas: una cuenta estándar para uso diario y otra cuenta privilegiada limitada específicamente a actividades de administración. Este enfoque reduce la superficie de ataque de la cuenta privilegiada. | MEDIUM | |
| Usuarios con permiso para unir dispositivos | Permitir que todos los usuarios unan sin restricciones dispositivos al inquilino de Entra abre la puerta a que agentes maliciosos introduzcan dispositivos fraudulentos en el sistema de identidad de la organización y les ofrece un punto de apoyo para vulneraciones adicionales. | LOW | |
| Dispositivos administrados no necesarios para el registro en la MFA | Exigir dispositivos administrados para el registro en la MFA hace que sea más difícil que los atacantes registren la MFA fraudulenta, en caso de robo de credenciales, si tampoco tienen acceso a un dispositivo administrado. | MEDIUM | |
| Vencimiento de contraseñas exigido | Exigir el vencimiento de contraseñas en los dominios de Microsoft Entra ID puede reducir la seguridad al pedir a los usuarios que cambien de contraseña con frecuencia, lo que suele llevar a contraseñas débiles, predecibles o reutilizadas que reducen la protección general de las cuentas. | LOW | |
| Permisos delegados peligrosos que afectan a los datos | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft en nombre de los usuarios (lo que se denomina “permisos delegados”). Algunos permisos pueden representar una amenaza para los datos de los usuarios que se almacenan en estos servicios. | MEDIUM | |
| Cuentas de invitado con acceso equivalente al de las cuentas normales | No se aconseja configurar Entra ID para que considere los invitados como usuarios normales, ya que esto puede permitir que invitados malintencionados lleven a cabo un reconocimiento exhaustivo de los recursos del inquilino. | HIGH | |
| Autenticación heredada no bloqueada | Los métodos de autenticación heredados no admiten la autenticación multifactor (MFA), lo que permite a los atacantes seguir realizando ataques de fuerza bruta, relleno de credenciales y difusión de contraseñas. | MEDIUM | |
| Dispositivo inactivo | Los dispositivos inactivos plantean riesgos de seguridad, como configuraciones obsoletas y vulnerabilidades sin parches. Sin una supervisión y actualizaciones periódicas, estos dispositivos obsoletos se convierten en objetivos potenciales de explotación, lo que pone en peligro la integridad de los inquilinos y la confidencialidad de los datos. | LOW | |
| Capacidad de las cuentas estándar de registrar aplicaciones | De manera predeterminada, cualquier usuario de Entra puede registrar aplicaciones en el inquilino. Si bien esta funcionalidad resulta práctica y no representa una vulnerabilidad de seguridad inmediata, conlleva ciertos riesgos. Por lo tanto, siguiendo las prácticas recomendadas, Tenable aconseja deshabilitar esta funcionalidad. | LOW | |
| Permisos delegados peligrosos que afectan al inquilino | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft en nombre de los usuarios (lo que se denomina “permisos delegados”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra. | HIGH | |
| Cuenta deshabilitada asignada a rol privilegiado | Contar con un proceso de administración de cuentas sano exige supervisar las asignaciones a roles con privilegios. | LOW |