Tu superficie de ataque completa de Active Directory, mapeada y lista para explotar.
ADscan recolecta cada objeto de identidad, delegación, plantilla de certificado y confianza de tu dominio de forma nativa, y luego construye el grafo de ataque que construiría BloodHound, con la diferencia de que no se detiene ahí. Cada arista que dibuja, puede recorrerla.
El mapa de superficie de ataque de AD es el descubrimiento automatizado de cada objeto de identidad, relación de privilegio y configuración relevante para el ataque en un entorno de Active Directory. ADscan va más allá de una instantánea de grafo al estilo BloodHound: la misma ejecución de recolección alimenta el motor de validación que explota cada ruta descubierta.
78%
En el 78% de los ataques de ransomware operados por humanos el atacante compromete un controlador de dominio. Esa brecha empieza recorriendo relaciones de identidad que los defensores no pueden ver porque nunca se han inventariado completamente. Un atacante no necesita un escáner de vulnerabilidades. Necesita un AD que entienda mejor que tú. El primer paso para cerrar cada ruta es conocer cada objeto y relación que la crea.
Microsoft Digital Defense Report, 2025
- 01
Autenticar
ADscan utiliza una cuenta acotada y de bajo privilegio. No se necesitan credenciales elevadas para la fase de recolección. Corre desde dentro de la red, on-premise, y ningún dato de dominio sale de tu perímetro.
- 02
Recolectar todos los objetos de identidad
Usuarios, equipos, grupos, cuentas de servicio, cuentas de servicio administradas y gMSAs en cada dominio en alcance, obtenidos de forma nativa vía LDAP y el protocolo de replicación de AD.
- 03
Mapear delegaciones y ACLs
Cada delegación no restringida, delegación restringida, configuración RBCD y arista ACL que crea una ruta de escalada de privilegios se recolecta y etiqueta por familia de ataque.
- 04
Inventariar plantillas ADCS y PKI
Cada plantilla de certificado en Active Directory Certificate Services se enumera para las 15 clases ESC. Las plantillas que coinciden con una clase de ataque conocida se marcan y se alimentan al motor de explotación.
- 05
Resolver confianzas y límites de bosque
Las relaciones de confianza entre dominios y bosques se mapean, para que las rutas de ataque que cruzan límites de confianza sean visibles en el grafo en lugar de terminar silenciosamente en un borde de dominio.
- 06
Construir el grafo de ataque
La superficie recolectada se ensambla en un grafo de ataque dirigido, exactamente como lo razona un atacante: los nodos son objetos de identidad, las aristas son relaciones explotables, y los objetivos Tier 0 se destacan como destino.
Inventario completo de objetos de identidad
Cada usuario, equipo, grupo, cuenta de servicio, GPO y OU del dominio se recolecta en una sola ejecución, sin agente y sin credenciales elevadas.
Enumeración de delegaciones y ACLs
La delegación no restringida, delegación restringida, RBCD y abusos de ACL como GenericAll/WriteDACL se enumeran y mapean a las técnicas de ataque que los explotan.
Inventario de plantillas ADCS (ESC1 a ESC15)
Cada plantilla de certificado se comprueba contra las 15 clases de ataque ESC. Las plantillas vulnerables se marcan en el mapa y se pasan directamente al motor de explotación de ADCS.
Topología de GPO y confianzas
Los objetos de política de grupo y las confianzas entre dominios o bosques se incluyen en la superficie, para que las rutas de privilegio que atraviesan enlaces GPO o relaciones de confianza no sean invisibles.
Más allá de BloodHound: el mapa alimenta la explotación
BloodHound produce una instantánea de grafo que consultas manualmente. ADscan produce el mismo grafo y luego recorre cada arista soportada de principio a fin, así sabes qué rutas del mapa son reales, no solo presentes.
Un inventario completo por ejecución
La salida es una instantánea única y consistente de la superficie de ataque completa en el momento de la recolección, apta para comparación entre ejecuciones y como evidencia de cumplimiento de que la superficie fue evaluada.
Mapeado al control por el que pregunta tu supervisor.
El Artículo 9.4 de DORA exige a las entidades implementar medidas de protección y prevención adecuadas al riesgo TIC de su entorno. Conocer la superficie de ataque completa es el requisito previo para eso. Los controles operativos de ENS Alto y el Artículo 21 de NIS2 imponen deberes equivalentes de gestión de activos y mapeo de riesgos. El inventario de ADscan es la línea base evidencial: registra qué existía, cuándo se evaluó y contra qué clases de ataque se comprobaron los objetos, dando a los auditores un inventario con fecha y producido por máquina en lugar de uno mantenido manualmente.
El motor open source de ADscan realiza la recolección completa y la construcción del grafo de ataque en la línea de comandos. Cada objeto de identidad, delegación, plantilla ADCS y confianza se inventaría y se produce el grafo. Gratis y auditable en GitHub.
Añade el informe PDF para comité con el inventario completo de la superficie de ataque, hallazgos por objeto y mapeo de controles de DORA, NIS2 y ENS. Gratis en beta para consultoras y MSSPs. La plataforma Enterprise añade ejecuciones de recolección programadas, seguimiento de deriva de la superficie entre ejecuciones, y el panel web.
Explora el resto de la plataforma.
Validación de rutas de ataque
Explota cada ruta soportada de un usuario sin privilegios a Domain Admin.
AbrirExposición de ADCS / certificados
Rutas de plantillas de certificado ESC1 a ESC15 contra tu PKI.
AbrirPostura de seguridad del dominio
Gestión continua de la postura de seguridad de identidad de tu dominio.
AbrirEn todos los entornos regulados donde hemos ejecutado ADscan, el inventario detectó al menos una delegación o plantilla de certificado que no había aparecido en evaluaciones manuales anteriores.
Preguntas, respondidas.
¿Qué es el mapa de superficie de ataque de AD?
El mapa de superficie de ataque de AD es la enumeración automatizada de cada objeto de identidad, relación de privilegio, delegación, plantilla de certificado y confianza en un entorno de Active Directory, ensamblado en un grafo de ataque dirigido que muestra cada ruta hacia Tier 0. Es la capa de descubrimiento que precede a la validación: no puedes validar una ruta que no has mapeado.
¿Cómo se compara ADscan con BloodHound para el mapa de superficie de ataque?
BloodHound produce un grafo que consultas manualmente para identificar rutas candidatas. ADscan produce el mismo grafo y luego recorre cada arista soportada de principio a fin con relevo de credenciales, así la salida no es una lista de rutas teóricas sino un conjunto de hallazgos probados y teóricos. ADscan también incluye la enumeración de plantillas ADCS (ESC1 a ESC15) y la topología de GPO/confianzas de forma nativa, sin necesitar ejecuciones separadas de Certipy ni enriquecimiento manual.
¿Qué incluye la superficie de ataque de AD?
La superficie de ataque completa de AD incluye cuentas de usuario y sus pertenencias a grupos de privilegio, cuentas de equipo, cuentas de servicio (estándar, administradas y de grupo administradas), aristas ACL como GenericAll/WriteDACL/AddMember, objetivos de delegación no restringida, configuraciones de delegación restringida, registros RBCD, plantillas de certificado ADCS, enlaces GPO, y confianzas entre dominios o bosques. ADscan recolecta todo esto en una sola ejecución.
¿Con qué frecuencia se debe mapear la superficie de ataque de AD?
Cada cambio en AD, incluidas nuevas cuentas, cambios de delegación, actualizaciones de plantillas de certificado y adiciones de confianza, puede abrir nuevas rutas de ataque. Una instantánea puntual es evidencia del día en que se tomó. En la plataforma Enterprise, ADscan corre por programación y compara cada ejecución con la anterior, detectando aristas nuevas y eliminadas para que la deriva sea visible casi en tiempo real.
¿Puede ADscan reemplazar una evaluación manual con BloodHound?
Para la fase de inventario y construcción del grafo, sí. La recolección de ADscan cubre los mismos objetos que recolecta BloodHound y añade plantillas ADCS y topología de confianzas sin necesitar herramientas adicionales. Para la fase de validación no hay equivalente manual en BloodHound: ADscan recorre y explota las rutas, algo que BloodHound no hace en absoluto.
Descubre qué ruta a Domain Admin tienes hoy.
Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.