La auditoría está orientada a organizaciones que utilizan Active Directory para gestionar usuarios, equipos y servicios.

Es especialmente adecuada para:

• Empresas con más de 50 usuarios.
• Organizaciones con varios servidores o sedes.
• Entornos híbridos con infraestructura local y servicios cloud.
• Empresas que nunca han auditado su dominio.
• Organizaciones que han sufrido ransomware o accesos no autorizados.
• Empresas que han crecido mediante adquisiciones o integraciones.
• Entornos con administradores, proveedores o personal externo.
• Organizaciones sometidas a requisitos de seguridad o cumplimiento.
• Equipos IT que necesitan priorizar mejoras de seguridad.

Qué incluye la auditoría

El alcance puede ajustarse al tamaño y complejidad del entorno.

Habitualmente incluye:

• Reunión inicial con el equipo técnico.
• Revisión de la arquitectura del dominio.
• Enumeración de usuarios, grupos, equipos y relaciones relevantes.
• Análisis de grupos privilegiados.
• Revisión de permisos y delegaciones.
• Identificación de cuentas obsoletas o de alto riesgo.
• Evaluación de políticas de contraseñas.
• Análisis de configuraciones Kerberos.
• Revisión de cuentas de servicio.
• Identificación de rutas de escalado de privilegios.
• Análisis de posibilidades de movimiento lateral.
• Revisión de configuraciones que facilitan ataques de credenciales.
• Evaluación de exposición de protocolos heredados.
• Identificación de relaciones de confianza inseguras.
• Validación controlada de rutas de ataque.
• Priorización de medidas correctivas.

Cuando el alcance lo requiere, podemos incorporar pruebas de intrusión internas para validar el impacto real de las debilidades encontradas.

Qué no incluye

Salvo contratación expresa, la auditoría no incluye:

• Cambios directos sobre el dominio.
• Implantación de las medidas correctivas.
• Auditoría completa de Microsoft Entra ID.
• Revisión de todos los endpoints de la organización.
• Evaluación completa de firewalls y dispositivos de red.
• Campañas de phishing.
• Pruebas destructivas.
• Denegación de servicio.
• Despliegue o afinado de EDR.
• Monitorización permanente del entorno.

No se realizarán acciones que puedan interrumpir el servicio sin autorización expresa.

Cómo trabajamos

1. Diagnóstico del entorno

Revisamos número de usuarios, dominios, sedes, servidores, relaciones de confianza y objetivos de la auditoría.

2. Definición de reglas

Acordamos accesos, cuentas disponibles, segmentos incluidos, restricciones y ventanas de trabajo.

3. Recopilación y análisis

Analizamos la estructura de Active Directory y las relaciones entre usuarios, equipos, grupos y privilegios.

4. Identificación de rutas de ataque

Buscamos combinaciones de permisos y configuraciones que permitan a un atacante escalar privilegios o moverse lateralmente.

5. Validación controlada

Comprobamos las rutas más relevantes sin realizar acciones destructivas ni innecesarias.

6. Elaboración del plan de mejora

Priorizamos las medidas según impacto, facilidad de explotación y coste de corrección.

7. Presentación de resultados

Realizamos una sesión con el equipo técnico y, cuando sea necesario, una presentación ejecutiva para dirección.

Entregables

El proyecto incluye:

• Resumen ejecutivo.
• Informe técnico detallado.
• Diagrama o representación de rutas de ataque.
• Inventario de debilidades relevantes.
• Evidencias y validaciones realizadas.
• Priorización por impacto y probabilidad.
• Recomendaciones técnicas.
• Plan de actuación a 30, 60 y 90 días.
• Lista de quick wins.
• Reunión de presentación.
• Informe de verificación posterior, si se contrata retest.

Casos de uso habituales

Preparación frente a ransomware

Identificar rutas que podrían permitir a un atacante comprometer servidores y cuentas administrativas.

Revisión después de años de crecimiento

Detectar permisos, usuarios y configuraciones heredadas que ya no responden a la estructura actual de la empresa.

Validación de controles internos

Comprobar si las medidas implantadas por el equipo IT reducen realmente las posibilidades de escalado de privilegios.

Integración de nuevas empresas o sedes

Evaluar riesgos antes o después de integrar dominios, usuarios y sistemas.

Requisito de auditoría o cumplimiento

Aportar una validación técnica sobre el entorno de identidades y accesos.

Incidente de seguridad

Determinar qué alcance podría haber conseguido una cuenta comprometida.

Preguntas frecuentes

¿La auditoría puede afectar al funcionamiento del dominio?

El análisis se diseña para minimizar el impacto. No realizamos acciones destructivas ni cambios sobre Active Directory sin autorización expresa.

¿Necesitáis una cuenta de administrador?

No siempre. El tipo de acceso depende del alcance. Podemos trabajar desde una perspectiva de usuario estándar, con acceso de lectura o combinando varios escenarios.

¿Es lo mismo que un pentest interno?

No exactamente. La auditoría se centra en Active Directory, sus relaciones de confianza, permisos y rutas de ataque. Puede complementarse con un pentest interno más amplio.

¿Incluye Microsoft Entra ID?

Puede incluirse, pero debe especificarse en el alcance porque requiere pruebas y procedimientos adicionales.

¿Cuánto dura el proyecto?

Habitualmente entre dos y cuatro semanas, dependiendo del tamaño del entorno y del nivel de validación.

¿Podéis corregir los problemas encontrados?

La auditoría incluye recomendaciones. La implementación puede presupuestarse como una fase adicional o realizarse por el equipo interno.

¿Podéis verificar las correcciones?

Sí. Podemos realizar un retest para comprobar que las rutas de ataque han sido eliminadas o mitigadas.

¿Es necesario auditar Active Directory todos los años?

Es recomendable realizar revisiones periódicas y repetirlas después de cambios relevantes, adquisiciones, migraciones o incidentes.

Solicita un diagnóstico de Active Directory

En una reunión de 30 minutos revisaremos:

• Tamaño y estructura del dominio.
• Problemas que preocupan al equipo.
• Antecedentes de incidentes.
• Nivel de profundidad necesario.
• Alcance, plazos y presupuesto.