Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Los dMSAs son el nuevo objetivo de escalada de privilegios de AD — Esto es lo que necesita saber

Los dMSAs son el nuevo objetivo de escalada de privilegios de AD — Esto es lo que necesita saber

Jul 21, 2025

Introducción

Windows Server 2025 introdujo cuentas de servicio administrado delegado (dMSAs) para mejorar la seguridad al vincular la autenticación del servicio con las identidades de los dispositivos. Pero los atacantes ya han encontrado una manera de convertir esta nueva característica en una peligrosa técnica de privilege escalation.

El ataque BadSuccessor permite a los adversarios suplantar a cualquier usuario — incluso a los administradores de dominio — sin activar alertas tradicionales. Aquí le mostramos cómo funciona, por qué es tan sigiloso y qué puede hacer para mantenerse a la vanguardia.

Solicite una prueba gratuita para Netwrix PingCastle

Comprensión de dMSAs y su papel en Active Directory

Cómo se diferencian las dMSAs de las gMSAs

  • Una dMSA (delegated managed service account) funciona como una cuenta de servicio pero está vinculada a la identidad de una sola máquina. A diferencia de las gMSAs, que se gestionan de manera centralizada y pueden ejecutarse en varios servidores, las dMSA heredan los privilegios del dispositivo en el que se crean.

Este alcance más estricto mejora la seguridad en teoría, pero también crea nuevos riesgos cuando las dMSAs se migran de cuentas heredadas.


Lo que debe saber sobre la migración a dMSAs

Se puede crear una dMSA como una cuenta independiente. Alternativamente, se puede crear como reemplazo de una cuenta de servicio basada en usuario tradicional existente (no una cuenta de servicio administrado o una gMSA) a través de la migración. Esto se hace típicamente utilizando el cmdlet Start-ADServiceAccountMigration de PowerShell, que activa la operación MigrateADServiceAccount LDAP RootDSE. Se establecen dos atributos clave como parte de este proceso:

  • msDS-ManagedAccountPrecededByLink — Indica la cuenta de usuario original
  • msDS-DelegatedMSAState — Indica el estado de la migración (por ejemplo, listo o completado)

Al final del proceso de migración, la cuenta de servicio heredada se deshabilita pero debe permanecer en Active Directory. Si se elimina, el dMSA dejará de funcionar ya que muchos servicios y configuraciones aún hacen referencia a la cuenta original. Los atacantes apuntan a estos atributos en la técnica BadSuccessor, lo que los hace críticos para el monitoreo.

Cómo los atacantes pueden abusar de un dMSA para la escalada de privilegios en Active Directory

Técnicas tradicionales de escalada de privilegios

Las investigaciones en el mundo real revelan que la escalada de privilegios suele ser la segunda etapa de un ataque después del acceso inicial. Una vez que los adversarios toman control de una cuenta de usuario, buscan caminos que les permitan aumentar sistemáticamente sus privilegios, con el objetivo de obtener finalmente derechos de Administrador de Dominio.

Las técnicas tradicionales de escalada de privilegios enumeradas en el catálogo MITRE ATT&CK incluyen Kerberoasting, AS?REP Roasting y la creación de Golden Ticket. Además, los atacantes hoy en día a menudo utilizan herramientas como BloodHound para trazar rutas de escalada de privilegios, que implican aprovechar problemas como configuraciones erróneas, permisos heredados o defectos de diseño para obtener permisos de alto nivel.

Escalación de privilegios usando dMSAs

La introducción de dMSAs ofrece a los adversarios otra opción para la escalada de privilegios, no porque los dMSAs sean inherentemente inseguros, sino porque los atacantes pueden explotar cómo están vinculados a cuentas de servicio heredadas. Al modificar atributos como msDS-ManagedAccountPrecededByLink, un dMSA puede configurarse para suplantar a otro usuario e heredar el acceso de esa cuenta. Por lo tanto, esos derechos pueden ser explotados sin cambiar la membresía de grupos o comprometer credenciales adicionales. Como resultado, incluso las pilas de seguridad sofisticadas pueden pasar por alto este vector de ataque si solo dependen del monitoreo de ID de eventos tradicionales o del seguimiento de asignación de privilegios.

Un factor de riesgo común es la delegación inadecuada de control sobre las unidades organizativas (OUs). Si un atacante compromete una cuenta de usuario con derechos CreateChild o WriteProperty en una OU, podrían potencialmente crear un dMSA que hereda privilegios a nivel de dominio. Akamai descubrió que el 91% de los entornos analizados tenían al menos una OU donde las cuentas de usuario tenían permisos suficientes para explotar esta técnica.

El ataque BadSuccessor y por qué es tan peligroso

BadSuccessor es un nuevo vector de ataque que abusa de los atributos de migración dMSA. Al cambiar el atributo msDS-ManagedAccountPrecededByLink, un atacante puede hacer que un dMSA se haga pasar por una cuenta privilegiada.

El Kerberos Key Distribution Center luego emite tickets como si el dMSA fuera ese usuario privilegiado — sin cambios de grupo, sin eventos de inicio de sesión evidentes. En otras palabras, los atacantes obtienen acceso a nivel de administrador que parece completamente legítimo.

Empeorando el problema, los ataques de BadSuccessor pueden ser muy difíciles de detectar. No hay cambios de grupo y no hay actividad de inicio de sesión de la cuenta de usuario suplantada. Aunque Microsoft ahora proporciona registros para los cambios de atributos relevantes en el esquema de Windows 2025 (versión 91), la mayoría de las herramientas de auditoría aún no están configuradas para marcarlos. En resumen, es probable que esta técnica pase desapercibida si las herramientas de detección no buscan específicamente configuraciones anormales de dMSA o comportamiento de suplantación en las solicitudes de tickets de Kerberos. La revisión forense también es complicada, ya que el nombre del dMSA podría no reflejar el nivel de privilegio adecuado bajo el cual opera.

Además de permitir la escalada de privilegios, los ataques BadSuccessor pueden otorgar a los adversarios acceso a largo plazo al entorno, conocido como persistencia. La persistencia es crítica para los actores de amenazas persistentes avanzadas (APT). En AD, las técnicas de persistencia avanzadas son aquellas que sobreviven a los restablecimientos de contraseña, ciclos de reinicio y esfuerzos de remediación estándar. El ataque BadSuccessor ciertamente califica: una vez que se configura un dMSA en modo de migración con una cuenta sucedida y se emiten tickets de Kerberos, puede seguir operando incluso si la cuenta original está deshabilitada. En otras palabras, los dMSA abusados de esta manera proporcionan una “puerta trasera con insignia” — una cuenta que parece legítima, solicita tickets de Kerberos como cualquier cuenta de servicio normal y opera dentro de los privilegios definidos.

Mejores prácticas para defenderse del abuso de dMSA

Una defensa robusta contra el abuso de dMSAs para la escalada de privilegios requiere una estrategia de múltiples capas que cubra tanto la prevención como la detección. Las mejores prácticas clave incluyen lo siguiente:

  • Revise los permisos. Audite regularmente quién tiene derechos de CreateChild, WriteProperty, WriteDACL (Modificar Permisos), Generic All (Control Total) y WriteOWner (Cambiar Propietario) en todas las OUs y aplique rigurosamente el principio de menor privilegio para reducir su área de superficie de ataque.
  • Eduque a los equipos. Asegúrese de que todos los administradores de AD comprendan cómo funcionan los dMSAs y los riesgos que conllevan.
  • Manténgase informado. A medida que Microsoft continúa mejorando la característica dMSA, los equipos de seguridad deben mantenerse al tanto de la documentación oficial y la investigación de la comunidad para comprender los riesgos emergentes. Recursos como la documentación de dMSA de Microsoft y el último análisis de SpecterOps sobre las mitigaciones de BadSuccessor proporcionan orientación valiosa.
  • Monitoree los cambios. Los indicadores tradicionales de compromiso (IoCs), como los fallos de inicio de sesión, son insuficientes para detectar ataques de dMSA como BadSuccessor. Las organizaciones necesitan herramientas de monitoreo en tiempo real que puedan señalar modificaciones en los atributos relacionados con dMSA. Un enfoque robusto incluye:
    • Estableciendo una línea base de dMSAs legítimos y sus comportamientos esperados
    • Vigilancia de la creación o modificación inesperada de dMSAs
    • Monitoreo de la emisión de tickets Kerberos para dMSAs
    • Revisando los registros de migración de dMSA, ahora disponibles en las versiones recientes de Windows Server — consulte la guía de Microsoft para el registro de eventos de dMSA
  • Adopte una estrategia de Zero Trust. De manera más amplia, integre la seguridad dMSA en una iniciativa más amplia de Zero Trust. Trate los dMSA como identidades de alto valor, no solo como cuentas de infraestructura. Implemente los mismos controles que utiliza para las cuentas administrativas, incluyendo la aplicación estricta del principio de mínimo privilegio, analizando la actividad de autenticación y monitoreando continuamente el comportamiento.

Herramientas para una Detección y Defensa Efectivas

Netwrix Identity Threat Detection & Response ofrece protección integral contra ataques de escalada de privilegios basados en dMSA a través de herramientas de seguridad integradas que trabajan en conjunto para evaluar, prevenir y detectar amenazas:

Cómo Netwrix detiene los ataques de BadSuccessor

  • Encuentre las OU de riesgo rápidamente: Netwrix PingCastle señala dónde los usuarios tienen derechos peligrosos de creación de dMSA, para que pueda solucionarlos antes de que los atacantes ataquen.
  • Bloquee exploits en tiempo real: Netwrix Threat Prevention detiene cambios no autorizados en atributos de dMSA — cortando los ataques de BadSuccessor desde el origen.
  • Descubre lo que otros pasan por alto: Netwrix Threat Manager monitorea la emisión de tickets Kerberos y las migraciones de dMSA en busca de señales de suplantación, alertándote antes de que los atacantes escalen privilegios.

Juntos, estas herramientas le brindan visibilidad, control y defensa automatizada contra técnicas de escalada de privilegios sigilosas como BadSuccessor.

Conclusión

La cuenta de servicio administrado delegado es una poderosa nueva característica de Windows Server que puede mejorar tanto la seguridad como la capacidad de gestión. Sin embargo, los atacantes pueden utilizar la dMSA para la escalada de privilegios en Active Directory. De hecho, el descubrimiento de BadSuccessor subraya la necesidad de implementar nuevas capacidades con la debida diligencia, incluyendo tener un conjunto de herramientas probadas para asegurar tanto una postura de seguridad sólida como una detección rápida de amenazas.

FAQ sobre dMSA para la Escalación de Privilegios en Active Directory

¿Qué es el ataque BadSuccessor?

BadSuccessor es una técnica que explota un dMSA para la escalada de privilegios en Active Directory. Puede permitir que una cuenta controlada por un atacante se haga pasar por otros usuarios en Active Directory, incluyendo usuarios privilegiados.

¿Cómo funciona el ataque BadSuccessor?

Un atacante crea o modifica un dMSA, estableciendo sus atributos de migración para referenciar a un usuario privilegiado. Como resultado, el KDC emite tickets de Kerberos que otorgan al dMSA esos privilegios elevados, permitiendo la suplantación de identidad de manera sigilosa.

¿Por qué son tan vulnerables tantos entornos?

Según Akamai, el 91% de los entornos AD del mundo real tenían al menos una unidad organizativa donde los usuarios no privilegiados tenían permisos de CreateChild o Write — suficiente para llevar a cabo la técnica BadSuccessor.

¿Qué pueden hacer las organizaciones para mitigar su riesgo?

Las mejores prácticas para mitigar riesgos incluyen limitar los permisos de CreateChild y Write en unidades organizativas, monitorear continuamente los cambios en los atributos dMSA e identificar y corregir proactivamente configuraciones riesgosas.

¿Microsoft tiene planes de parchear esto?

Microsoft ha clasificado el problema del uso de dMSA para la escalada de privilegios en Active Directory como de gravedad moderada. Aunque se pueda desarrollar un parche, es inteligente que las organizaciones adopten estrategias robustas de prevención y detección de amenazas de inmediato.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Tatiana Severina

Gerente de Marketing de Producto

Tatiana Severina es Product Marketing Manager en Netwrix con más de 15 años de experiencia en ciberseguridad empresarial e infraestructura de TI, apoyando esfuerzos de entrada al mercado en mercados globales. Se enfoca en traducir inteligencia de amenazas complejas y capacidades técnicas en valor claro y accionable para profesionales de seguridad. En Netwrix, trabaja de manera interfuncional para conectar la investigación de seguridad con el valor para el cliente, ayudando a las organizaciones a reducir el riesgo de identidad, agilizar la respuesta a incidentes y fortalecer su estrategia de seguridad general.

Aprende más sobre este tema

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Atributos de Active Directory: Último inicio de sesión

Confianzas en Active Directory

Ataques de ransomware a Active Directory

Cómo crear, eliminar, renombrar, deshabilitar y unir computadoras en AD usando PowerShell

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad