·9 min read·Yeray Martín

ENS Alto y Active Directory: Guía Práctica de Cumplimiento para CISOs

Qué exige el ENS Alto sobre la seguridad del Active Directory, cómo auditarlo correctamente y qué evidencias necesitas para superar una auditoría. Guía para CISOs.

ENS Alto y Active Directory: Guía Práctica de Cumplimiento para CISOs

La mayoría de organizaciones con certificación ENS Alto pasan la auditoría documental.

Pocas pasarían una prueba técnica sobre el estado real de su Active Directory.

Después de auditar entornos AD en organizaciones con ENS Alto, he visto el mismo patrón: políticas actualizadas, controles documentados, y rutas de compromiso abiertas que ningún auditor ha revisado técnicamente. La auditoría documental da un aprobado. Una prueba real de penetración lo suspendería.

Los auditores del CCN-CERT están empezando a notar la diferencia. La pregunta ya no es "¿tenéis una política de gestión de accesos privilegiados?" Es "¿cuándo fue la última vez que verificasteis técnicamente que funciona?".

Esta guía explica qué exige exactamente el ENS Alto sobre el Active Directory, cuáles son los vectores de ataque que más preocupan al CCN, y cómo generar la evidencia técnica que un auditor exigente requeriría.

Qué exige el ENS Alto sobre el Active Directory

El Esquema Nacional de Seguridad se regula en España mediante el Real Decreto 311/2022, que actualiza el marco normativo para sistemas de información del sector público y las entidades que les prestan servicios. El nivel Alto aplica cuando un compromiso del sistema podría causar un perjuicio grave o muy grave sobre los intereses organizativos, operativos o sobre los ciudadanos.

En la práctica, esto incluye prácticamente cualquier organización con datos de salud, datos financieros regulados, infraestructura crítica o servicios esenciales. Si vuestra organización tiene certificación ENS Alto o está en proceso de obtenerla, el Active Directory entra directamente en el alcance.

Los controles del ENS Alto que impactan directamente sobre la gestión del directorio activo son los siguientes:

op.acc.4 — Proceso de gestión de derechos de acceso

Este control exige que la organización tenga un proceso formal y auditado para gestionar quién tiene acceso a qué. Aplicado al AD, significa disponer de un inventario actualizado de cuentas privilegiadas (Domain Admins, Enterprise Admins, administradores locales) y ser capaz de demostrar que esos privilegios están justificados, revisados periódicamente y revocados cuando ya no son necesarios.

op.acc.5 — Mecanismo de autenticación

El ENS Alto exige mecanismos de autenticación robustos para el acceso a sistemas críticos. En un entorno AD esto se traduce en configuraciones Kerberos correctas (AES sobre RC4), políticas de contraseñas que impidan contraseñas débiles en cuentas de servicio, y autenticación multifactor para accesos privilegiados.

op.acc.6 — Acceso local

Las cuentas de administrador local en los equipos del dominio son un vector de movimiento lateral frecuente. El control op.acc.6 exige que estos accesos estén controlados, que no se reutilicen contraseñas de administrador local entre equipos (aquí entra LAPS), y que haya visibilidad sobre qué cuentas tienen privilegios locales en qué sistemas.

mp.if.6 — Protección de la confidencialidad

Si un atacante puede extraer los hashes de contraseñas del controlador de dominio o acceder a secretos almacenados en el AD (como contraseñas en GPO o credenciales de GMSA mal configuradas), el daño es potencialmente catastrófico. Este control cubre la protección de la información más sensible del directorio.

op.exp.10 — Protección de los logs

El ENS Alto requiere que los eventos de auditoría sean fiables y estén protegidos contra manipulación. En un entorno AD esto implica que los logs de autenticación, cambios de privilegios y accesos a cuentas sensibles se estén registrando correctamente y que el SIEM los esté consumiendo.

Cuando un auditor ENS Alto evalúa tu directorio activo, las preguntas son directas: ¿Tenéis inventario de cuentas privilegiadas? ¿Con qué frecuencia revisáis las rutas de escalada? ¿Tenéis evidencia técnica de esas revisiones? ¿Cómo detectaríais un movimiento lateral dentro del dominio?

Los vectores de ataque que más preocupan al CCN

El CCN-CERT publica periódicamente informes sobre las técnicas de ataque más utilizadas contra organizaciones españolas. El Active Directory aparece de forma recurrente como vector de persistencia y escalada de privilegios. Estos son los vectores que un auditor técnico va a buscar específicamente en tu entorno:

Kerberoasting

Cualquier usuario del dominio puede solicitar un ticket Kerberos para cualquier cuenta de servicio que tenga un SPN registrado. Si esa cuenta tiene una contraseña débil, el ticket puede crackearse offline en cuestión de horas. En muchos entornos heredados hay cuentas de servicio con SPNs registrados, contraseñas que nunca expiran y privilegios elevados que nadie ha revisado en años.

El control ENS Alto relevante es op.acc.5 (calidad de la autenticación) y op.acc.4 (gestión de privilegios). La evidencia que necesitas: inventario de cuentas con SPN, política de contraseñas para cuentas de servicio, confirmación de que ninguna cuenta de servicio privilegiada tiene contraseña crackeada.

ADCS — Active Directory Certificate Services

Las misconfiguraciones en plantillas de certificados de Active Directory son uno de los vectores de escalada más explotados en la actualidad. La vulnerabilidad ESC1 permite que cualquier usuario del dominio solicite un certificado en nombre de otra identidad, incluyendo un Domain Admin. ESC8 permite hacer relay de autenticación NTLM hacia el servicio de certificados para obtener un certificado de dominio.

Esto no es teoría: es el vector que más frecuentemente encontramos en entornos de producción reales con ADCS desplegado. El control ENS Alto relevante es op.acc.4 y mp.if.6. La evidencia: revisión de todas las plantillas de certificados, verificación de que el atributo msPKI-Certificate-Name-Flag no permite SAN arbitrarios, y configuración del servicio de inscripción.

DCSync

Si una cuenta tiene permisos de replicación sobre la partición del dominio (DS-Replication-Get-Changes, DS-Replication-Get-Changes-All), puede ejecutar una operación de sincronización simulada y extraer todos los hashes NTLM del dominio, incluyendo el hash de krbtgt. Eso equivale a un compromiso total y persistente del dominio.

El control ENS Alto relevante es op.acc.4. La evidencia: auditoría de ACLs sobre la raíz del dominio, inventario de qué cuentas tienen permisos de replicación, y verificación de que solo las cuentas de los propios controladores de dominio tienen esos permisos.

Delegaciones Kerberos sin restricciones

Cuando un equipo tiene configurada delegación sin restricciones (TrustedForDelegation), cualquier usuario que se autentique contra ese equipo deposita su TGT en la memoria del servicio. Un atacante con acceso a ese equipo puede reutilizar esos tickets para impersonar a cualquier usuario del dominio, incluyendo administradores.

El control ENS Alto relevante es op.acc.5 y op.acc.6. La evidencia: inventario de equipos y cuentas con delegación configurada, y justificación de negocio para cada caso.

Contraseñas en GPO (GPP)

Los ficheros de Preferencias de Directiva de Grupo permiten distribuir configuraciones a los equipos del dominio, incluyendo contraseñas de cuentas locales. Estas contraseñas se almacenan en el SYSVOL, accesible para todos los usuarios del dominio, cifradas con una clave AES que Microsoft publicó en 2012. Cualquier usuario del dominio puede descifrarlas.

Es un problema de configuración heredado de Windows XP/2003 que todavía aparece en entornos de producción actuales. El control ENS relevante es mp.if.6. La evidencia: verificación de que no existen ficheros Groups.xml, Services.xml, Scheduledtasks.xml o similares con contraseñas en el SYSVOL.

Cómo auditar tu AD para el ENS Alto

El enfoque tradicional para auditar un Active Directory de cara a una certificación ENS es contratar una consultoría externa. El coste típico de una auditoría técnica de AD en España oscila entre 5.000 y 10.000 euros, el plazo de entrega suele ser de semanas, y el resultado es un informe puntual que queda obsoleto en cuanto cambia algo en el entorno.

Una auditoría técnica de AD para ENS Alto debe cubrir cinco áreas:

  1. Inventario de cuentas privilegiadas — Domain Admins, Enterprise Admins, administradores locales, cuentas con derechos de replicación, cuentas de servicio con SPN
  2. Detección de rutas de escalada activas — Kerberoasting, ADCS, DCSync, delegaciones, GPP, ACLs con permisos excesivos
  3. Verificación de configuraciones Kerberos — uso de AES sobre RC4, configuración de delegaciones, protección del krbtgt
  4. Revisión de plantillas ADCS — identificación de ESC1 a ESC16, configuración del servicio de inscripción web
  5. Informe con mapeo explícito a controles ENS Alto — cada hallazgo debe estar referenciado al control ENS que incumple, con el nivel de riesgo y la recomendación de remediación

ADscan automatiza estas cinco fases en una sola sesión. Detecta los vectores, los prioriza por impacto real (no por severidad teórica), y genera el informe ENS Alto ese mismo día con el mapeo de controles incluido. Sin necesidad de instalar agentes en los controladores de dominio. Sin cambios en la infraestructura.

Evaluación gratuita de AD para ENS Alto

Si estás en proceso de certificación ENS Alto o preparando la renovación y quieres conocer el estado real de tu Active Directory antes de que lo vea el auditor, ADscan ofrece una sesión de evaluación gratuita en tu entorno.

Cómo funciona: un técnico de ADscan se conecta vía VPN a vuestra red, ejecuta el análisis en directo mientras el equipo lo observa, y entrega el informe ENS Alto ese mismo día. No se instala ningún agente. No se hacen cambios en la infraestructura. El proceso completo dura entre una y dos horas.

El informe incluye:

  • Rutas de ataque detectadas en vuestro entorno, con demostración de la cadena de explotación
  • Mapeo explícito de cada hallazgo a los controles ENS Alto correspondientes
  • Priorización por impacto real, no por severidad teórica
  • Recomendaciones de remediación para cada vector

Sin coste. Sin compromiso. Sin instalación.

Solicita tu evaluación gratuita en adscanpro.com/es/evaluacion

Conclusión

El ENS Alto no te exige ser invulnerable. Te exige demostrar que conoces tu exposición y que la gestionas de forma sistemática. Esa es la diferencia entre una organización que gestiona su riesgo y una que confía en que nadie la va a atacar.

El Active Directory es el activo más crítico de tu infraestructura y el más frecuentemente comprometido en los incidentes reales. Una auditoría técnica periódica no es un lujo ni un coste adicional: es la evidencia que el CCN-CERT va a pedir y la diferencia entre aprobar una certificación con solidez o exponer carencias en el peor momento posible.

El primer paso es siempre el mismo: conocer tu estado actual. Para eso existe la evaluación gratuita.

tool

Need continuous AD visibility with compliance evidence?

Request a free live assessment — ADscan, your environment, same day report.

Request free assessmentGitHub — LITE free

about the author

Yeray Martín
Yeray MartínLinkedIn →

Pentester senior especializado en seguridad de Active Directory. Más de 3 años ejecutando auditorías internas de AD en entornos de producción. Creador de ADscan.

All posts
ENS Alto y Active Directory: Guía Práctica de Cumplimiento para CISOs — ADscan | ADscan