Indicadores de exposición
| Nombre | Descripción | Gravedad | Type |
|---|---|---|---|
| Grupo principal de usuarios | Comprueba que el grupo principal de los usuarios no haya cambiado. | critical | |
| Delegación peligrosa de Kerberos | Comprueba la delegación no autorizada de Kerberos y garantiza la protección de los usuarios privilegiados frente a esta. | critical | |
| Contraseñas reversibles | Comprueba que no pueda habilitarse la opción para almacenar contraseñas en un formato reversible. | medium | |
| Contraseñas reversibles en GPO | Comprueba que las preferencias de los GPO no permitan contraseñas en un formato reversible. | medium | |
| Asegurar la coherencia de SDProp | Controle que el objeto AdminSDHolder se encuentre en un estado limpio. | critical | |
| Último cambio de contraseña en la cuenta KRBTGT | Comprueba las cuentas KRBTGT que no han cambiado de contraseña durante un intervalo superior al recomendado. | high | |
| Miembros de grupos administrativos nativos | Cuentas inusuales en los grupos administrativos nativos de Active Directory | critical | |
| Cuentas con privilegios que ejecutan servicios de Kerberos | Detecta cuentas con muchos privilegios con el atributo Service Principal Name (SPN) que afecta a su seguridad. | critical | |
| Atributo AdminCount definido en usuarios estándar | Comprueba el atributo adminCount en cuentas dadas de baja, lo que lleva a problemas de permisos que son difíciles de administrar. | medium | |
| Cuentas inactivas | Detecta cuentas inactivas sin usar que pueden generar riesgos de seguridad. | medium | |
| Relaciones de confianza peligrosas | Identifica atributos de relación de confianza con errores de configuración que disminuyen la seguridad de una infraestructura de directorios. | high | |
| Cuentas con contraseñas que no vencen nunca | Comprueba las cuentas que tienen la marca de propiedad DONT_EXPIRE_PASSWORD en el atributo userAccountControl, que permite el uso indefinido de la misma contraseña, lo que omite las políticas de renovación de contraseñas. | medium | |
| GPO desvinculado, deshabilitado o huérfano | Los GPO sin usar o deshabilitados disminuyen el rendimiento de un directorio y el cálculo de RSoP, y pueden llevar a confusión de la política de seguridad. Reactivarlos por error puede debilitar las políticas existentes. | low | |
| Usuarios de riesgo sin exigencia | Bloquee a los usuarios de riesgo para evitar el acceso no autorizado y posibles vulneraciones. Según las prácticas recomendadas de seguridad, se deben usar directivas de acceso condicional para impedir que las cuentas vulnerables se autentiquen en Entra ID. | MEDIUM | |
| Política de contraseñas débiles: longitud mínima | Una política de contraseñas con una longitud mínima baja permite que los usuarios creen contraseñas cortas y que se puedan adivinar fácilmente, lo que aumenta el riesgo de vulneración. | HIGH | |
| Política de contraseñas débiles: historial de contraseñas | Una política de contraseñas con un recuento bajo en el historial de contraseñas permite a los usuarios reutilizar contraseñas potencialmente vulneradas. | MEDIUM | |
| Flujo de trabajo de consentimiento del administrador para aplicaciones sin configurar | El flujo de trabajo de consentimiento del administrador de Entra ID permite que los usuarios que no son administradores soliciten permisos de aplicaciones a través de un proceso de aprobación estructurado. Si el flujo de trabajo no está configurado, los usuarios que intenten acceder a las aplicaciones pueden encontrar errores y no tener forma de solicitar el consentimiento. | MEDIUM | |
| Grupo vacío | Los grupos vacíos pueden generar confusión, poner en peligro la seguridad y generar la infrautilización de los recursos. En general, se aconseja definir un propósito claro para los grupos y garantizar que contengan miembros pertinentes. | LOW | |
| Grupo vacío | Los grupos vacíos pueden generar confusión, poner en peligro la seguridad y generar la infrautilización de los recursos. En general, se aconseja definir un propósito claro para los grupos y garantizar que contengan miembros pertinentes. | LOW | |
| Dispositivo no utilizado nunca | Debe evitar las cuentas creadas previamente de dispositivos no utilizados nunca, ya que reflejan malas prácticas de higiene y pueden representar riesgos de seguridad. | LOW | |
| Usuario sin privilegios no utilizado nunca | Las cuentas de usuario sin privilegios que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes. | LOW | |
| Cuenta de Entra con privilegios sincronizada con AD (híbrida) | Las cuentas híbridas (es decir, las que se sincronizan desde Active Directory) que cuentan con roles con privilegios en Entra ID representan un riesgo de seguridad, ya que permiten que los atacantes que vulneren AD tengan también acceso a Entra ID. Las cuentas con privilegios de Entra ID deben ser cuentas solo en la nube. | HIGH | |
| Grupo con un único miembro | No es aconsejable crear un grupo con un solo miembro, ya que genera redundancia y complejidad. Esta práctica complica de manera innecesaria la gestión al agregar capas y disminuye la eficiencia prevista del uso de grupos para un control y una administración optimizados del acceso. | LOW | |
| La directiva de acceso condicional deshabilita Evaluación continua de acceso | Evaluación continua de acceso es una funcionalidad de seguridad de Entra ID que permite reacciones rápidas a los cambios en las políticas de seguridad o actualizaciones en el estado de un usuario. Por este motivo, no la deshabilite. | MEDIUM | |
| Error de coincidencia de certificados de firma de federación | Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden explotar esta funcionalidad al agregar un certificado malintencionado de firma de tokens, lo que lleva a la persistencia y al escalamiento de privilegios. | HIGH | |
| Número elevado de administradores | Los administradores tienen privilegios elevados y pueden representar riesgos de seguridad cuando su número es elevado, dado que la superficie de ataque aumenta. Esta también es una señal de que no se respeta el principio de privilegios mínimos. | HIGH | |
| Período de validez inusual de certificados de firma de federación | Un período de validez inusualmente alto para un certificado de firma de federación es sospechoso, ya que podría indicar que un atacante obtuvo privilegios elevados en Entra ID y creó una puerta trasera a través del mecanismo de confianza de la federación. | MEDIUM | |
| Política de contraseñas débiles: contraseñas comunes | Una política de contraseñas que permite el uso de contraseñas comunes aumenta el riesgo de vulneración, ya que los usuarios pueden elegir credenciales débiles que se puedan adivinar fácilmente. | HIGH | |
| Rol personalizado privilegiado | Los roles personalizados de Okta pueden provocar problemas de seguridad si contienen permisos privilegiados. | LOW | |
| Dispositivos administrados no necesarios para la autenticación | Obligue a los dispositivos administrados a impedir el acceso no autorizado y posibles vulneraciones. Según las prácticas recomendadas de seguridad, se deben usar políticas de acceso condicional para impedir que dispositivos no administrados se autentiquen en Entra ID. | MEDIUM | |
| Permisos de aplicación peligrosos que afectan al inquilino | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft por sí solas (lo que se denomina “permisos de aplicación”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra. | HIGH | |
| Usuario privilegiado inactivo | Los usuarios privilegiados inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque. | MEDIUM | |
| Consentimiento de usuario sin restricciones para aplicaciones | Entra ID permite a los usuarios consentir de forma autónoma el acceso de aplicaciones externas a los datos de la organización, lo que los atacantes pueden aprovechar en ataques de “concesión de consentimiento ilícito”. Para evitar esto, restrinja el acceso a editores verificados o exija la aprobación de un administrador. | MEDIUM | |
| Permisos de aplicación peligrosos que afectan a los datos | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft por sí solas (lo que se denomina “permisos de aplicación”). Algunos permisos pueden representar una amenaza para los datos de los usuarios que se almacenan en estos servicios. | MEDIUM | |
| Usuario con token de API | Si un usuario tiene un token de API, puede usarlo para realizar acciones en su nombre a través de la API de Okta. Un token ilegítimo puede facilitar el acceso no autorizado o la exposición de datos. | LOW | |
| Grupo dinámico con una regla explotable | Los atacantes pueden aprovecharse de los grupos dinámicos en Microsoft Entra ID mediante la manipulación de atributos automodificables, lo que les permite agregarse como miembros del grupo. Esta manipulación permite el escalamiento de privilegios y el acceso no autorizado a recursos confidenciales ligados a los grupos. | MEDIUM | |
| Valores predeterminados de seguridad en Entra no habilitados | Los valores predeterminados de seguridad en Entra ID ofrecen opciones recomendadas por Microsoft y preconfiguradas para mejorar la protección de los inquilinos. | MEDIUM | |
| Mostrar contexto adicional en las notificaciones de Microsoft Authenticator | Para mejorar la visibilidad, habilite las notificaciones de Microsoft Authenticator para mostrar el contexto adicional, como el nombre de la aplicación y la geolocalización. Esto ayuda a los usuarios a detectar y rechazar solicitudes de autenticación con MFA o sin contraseña potencialmente malintencionadas, lo que mitiga de manera eficaz el riesgo de ataques de fatiga de la MFA. | MEDIUM | |
| Cuentas de invitado sin restricciones | De forma predeterminada, si bien los usuarios invitados en Entra ID tienen acceso limitado para reducir su visibilidad dentro del inquilino, también es posible mejorar la seguridad y la privacidad al endurecer aún más estas restricciones. | MEDIUM | |
| Aplicación que permite la autenticación de varios inquilinos | Las aplicaciones de Entra, que permiten la autenticación de varios inquilinos, pueden brindar acceso no autorizado a usuarios malintencionados si esta configuración no se habilitó con pleno conocimiento y sin poner en práctica verificaciones de autorización adecuadas en el código de la aplicación. | LOW | |
| MFA no obligatoria para inicios de sesión de riesgo | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Las prácticas recomendadas y los estándares de seguridad señalan que se exija la MFA para inicios de sesión de riesgo; por ejemplo, cuando la solicitud de autenticación pueda no provenir del propietario legítimo de la identidad. | HIGH | |
| Usuarios con permiso para unir dispositivos | Permitir que todos los usuarios unan sin restricciones dispositivos al inquilino de Entra abre la puerta a que agentes maliciosos introduzcan dispositivos fraudulentos en el sistema de identidad de la organización y les ofrece un punto de apoyo para vulneraciones adicionales. | LOW | |
| Política de contraseñas débiles: umbral de bloqueo | Una política de contraseñas con un umbral de bloqueo elevado puede permitir que los atacantes lleven a cabo ataques de fuerza bruta antes de que se active el bloqueo de una cuenta. | HIGH | |
| Migración de los métodos de autenticación sin completar | La migración a la política “Métodos de autenticación” agiliza y moderniza la administración de la autenticación en Microsoft Entra ID. Esta transición simplifica la administración, mejora la seguridad y permite la compatibilidad con los métodos de autenticación más recientes. Para evitar las interrupciones provocadas por el desuso de políticas heredadas, complete la migración antes de septiembre de 2025. | MEDIUM | |
| Usuario sin privilegios inactivo | Los usuarios sin privilegios inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque. | LOW | |
| MFA faltante para cuenta privilegiada | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas con privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta característica. | HIGH | |
| Usuario sin privilegios no utilizado nunca | Las cuentas de usuario sin privilegios que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes. | LOW | |
| Convención de nomenclatura de cuentas privilegiadas | Contar con una convención de nomenclatura para usuarios privilegiados en Entra ID es fundamental para la seguridad, la estandarización y el cumplimiento de auditorías, además de facilitar la administración. | LOW | |
| Cuenta privilegiada de Entra con acceso a servicios de M365 | Debe tener cuentas de Entra independientes para tareas administrativas: una cuenta estándar para uso diario y otra cuenta privilegiada limitada específicamente a actividades de administración. Este enfoque reduce la superficie de ataque de la cuenta privilegiada. | MEDIUM | |
| Grupo con un único miembro | No es aconsejable crear un grupo con un solo miembro, ya que genera redundancia y complejidad. Esta práctica complica de manera innecesaria la gestión al agregar capas y disminuye la eficiencia prevista del uso de grupos para un control y una administración optimizados del acceso. | LOW |