La postura de seguridad de tu Active Directory, medida por lo que un atacante puede explotar de verdad.
La mayoría de herramientas de postura de AD cuentan configuraciones erróneas. ADscan puntúa la postura desde la exposición probada: cada número del panel está respaldado por una ruta que ADscan recorrió o una vulnerabilidad que confirmó, no por un indicador de configuración que leyó.
La gestión de la postura de seguridad de identidad en AD (ISPM) es la disciplina de medir, puntuar y rastrear continuamente el estado de seguridad de un entorno de Active Directory a nivel de identidad. ADscan implementa ISPM validando la explotabilidad real: la Puntuación de Exposición refleja rutas que ADscan explotó o confirmó de verdad, no solo configuraciones que coinciden con un patrón de debilidad conocido.
72%
Las listas de comprobación de configuración te dicen qué parece incorrecto. No te dicen si puede explotarse, hasta dónde llega una explotación exitosa, ni cuál es el número a nivel de comité para ese riesgo. Una auditoría de AD que cuenta políticas de contraseñas débiles y cuentas obsoletas sin preguntar "¿puede un atacante llegar a Domain Admin desde aquí?" está respondiendo la pregunta equivocada. La postura tiene que medirse desde el punto de vista del atacante.
Mandiant M-Trends, 2025: porcentaje de intrusiones que involucran la identidad como vector principal
- 01
Recolectar la superficie de identidad completa
ADscan inventaría cada usuario, equipo, grupo, cuenta de servicio, GPO, plantilla ADCS, delegación y confianza del dominio. La medición de postura solo es tan completa como la superficie que cubre.
- 02
Validar la explotabilidad
Para cada técnica de ataque soportada, ADscan intenta ejecutar la ruta. La postura se puntúa desde lo que tiene éxito, no desde lo que está configurado incorrectamente. Una configuración errónea que no puede alcanzarse recibe un peso diferente a una que lleva directamente a Tier 0.
- 03
Puntuar tu exposición
La Puntuación de Exposición se calcula a partir del recuento, la severidad y el radio de impacto de las rutas probadas y detectadas en tu entorno específico. Es tu número, de tu AD, no un referente universal.
- 04
Evaluar la higiene de identidad
Las cuentas obsoletas, las cuentas de servicio con exceso de privilegios, las políticas de contraseñas débiles, las cuentas Kerberoastables y las cuentas AS-REP-roastables se enumeran y se ponderan por las rutas de ataque que habilitan.
- 05
Revisar la postura de ADCS y la topología de confianzas
La postura de Certificate Services cubre las 15 clases ESC. La postura de confianzas cubre las relaciones entre dominios y bosques que amplían el radio de impacto de un compromiso de dominio.
- 06
Rastrear la postura en el tiempo
En la plataforma Enterprise, la postura se remide por programación. El panel muestra la tendencia de la Puntuación de Exposición, las rutas nuevas y cerradas, y la deriva en las métricas de higiene de identidad desde la última ejecución.
Puntuación de Exposición, calculada desde tu AD
Una única métrica que agrega la severidad y el radio de impacto de cada ruta probada y detectada en tu entorno. Fundamentada en resultados de explotación, no en recuentos de configuración.
Panel de higiene de identidad
Cuentas obsoletas, cuentas de servicio Kerberoastables, usuarios AS-REP-roastables, cuentas con exceso de privilegios y brechas de política de contraseñas, enumerados y ponderados por las rutas que abren.
Postura de ADCS de ESC1 a ESC15
Cada plantilla de certificado se comprueba contra las 15 clases de ataque ESC. La vista de postura muestra qué clases tienen plantillas vulnerables y si ADscan ha explotado alguna de esas plantillas.
Topología de confianzas y postura de bosque
Las confianzas entre dominios y bosques se incluyen en el cálculo de postura. Una confianza que extiende el acceso de Domain Admin a un socio de bosque de baja confianza es un riesgo de postura, no solo un hecho de topología.
Panel web ejecutivo
El panel adscan_web da al equipo de seguridad y al CISO una visión en tiempo real de la Puntuación de Exposición, la distribución de severidad y las rutas abiertas principales. Diseñado para responder la pregunta del comité: "¿estamos mejor o peor que el trimestre pasado?"
La postura valida la explotabilidad, no solo la configuración
Una herramienta de comprobación de configuración marca todo lo que parece incorrecto. ADscan recorre la ruta. Una configuración errónea que no puede alcanzarse desde un punto de apoyo real de bajo privilegio se pondera de forma diferente a una que alcanza Tier 0 en tres pasos.
Mapeado al control por el que pregunta tu supervisor.
El Artículo 9 de DORA exige la medición del riesgo TIC. Una Puntuación de Exposición calculada a partir de rutas de ataque validadas es evidencia directamente auditable de esa medición, más creíble que un recuento de hallazgos abiertos, porque cada número está respaldado por un intento de explotación. Las medidas ENS Alto (MP.S y OP.ACC) y el Artículo 21 de NIS2 imponen medidas de seguridad proporcionales al riesgo: la salida de postura de ADscan cuantifica el riesgo mostrando qué rutas son explotables, cuáles son teóricas, y cuál es el número agregado de exposición. ISO 27001:2022 Anexo A.8 (gestión de activos) y A.5.15 (control de acceso) se alinean directamente con las dimensiones de higiene de identidad y ruta de privilegios de la postura.
El motor open source en la línea de comandos produce la ejecución completa de recolección y explotación, y la salida del CLI incluye la severidad por hallazgo y el estado de la ruta. La Puntuación de Exposición está disponible como resumen en la salida del terminal. Gratis en GitHub.
Añade el informe PDF para comité con la narrativa completa de postura, la Puntuación de Exposición, los hallazgos de higiene de identidad y el mapeo de DORA, NIS2 y ENS. Gratis en beta para consultoras y MSSPs. La plataforma Enterprise añade el panel adscan_web, reejecuciones programadas, seguimiento de tendencias y alertas de deriva de postura.
Explora el resto de la plataforma.
Mapa de superficie de ataque AD
Un grafo completo de superficie de ataque de identidad, más allá de BloodHound manual.
AbrirMapeo de cumplimiento
Cada hallazgo atado a DORA, NIS2 y ENS, con citas legales.
AbrirMonitorización continua de exposición
CTEM para Active Directory: revalidación programada y deriva.
AbrirEn todos los entornos regulados donde hemos ejecutado ADscan, la Puntuación de Exposición detectó al menos una ruta explotable que una auditoría solo de configuración había pasado por alto, porque la configuración errónea estaba presente pero la ruta solo era alcanzable desde una cuenta específica de bajo privilegio.
Preguntas, respondidas.
¿Qué es la gestión de la postura de seguridad de identidad (ISPM)?
ISPM es la disciplina de medir y mejorar continuamente el estado de seguridad de la infraestructura de identidad, en particular Active Directory. Va más allá de las auditorías puntuales rastreando la postura en el tiempo, y más allá de las listas de comprobación de configuración validando si las configuraciones erróneas son explotables. ADscan implementa ISPM validando cada ruta de ataque soportada y puntuando la postura a partir de los resultados.
¿En qué se diferencia ISPM de la auditoría tradicional de AD?
La auditoría tradicional de AD cuenta configuraciones débiles: cuentas obsoletas, políticas de contraseñas débiles, cuentas de servicio con SPN. ISPM mide la explotabilidad: ¿puede un atacante usar esas configuraciones para llegar a Domain Admin? ADscan hace ambas cosas, pero la puntuación de postura está impulsada por los resultados de explotación en lugar de solo por los hallazgos de configuración, así refleja el riesgo real en lugar de una lista de comprobación.
¿Qué mide la Puntuación de Exposición de AD?
La Puntuación de Exposición es una métrica calculada a partir del recuento, la severidad y el radio de impacto de las rutas de ataque probadas y detectadas en tu Active Directory específico. Una puntuación más alta significa que existen más rutas, o más severas, o rutas que alcanzan más objetivos Tier 0. Es tu puntuación de tu entorno, no un referente. La puntuación baja cuando remedias rutas probadas y sube cuando se crean nuevas.
¿Cómo puntúa ADscan la postura en lugar de solo auditar la configuración?
ADscan recolecta la superficie de ataque completa y luego intenta ejecutar cada ruta soportada. Una configuración errónea que no puede alcanzarse desde un punto de apoyo real de bajo privilegio se pondera más bajo que una que lleva a Tier 0 en tres saltos. La Puntuación de Exposición agrega estos resultados ponderados en un único número. Las herramientas de solo configuración no pueden hacer esta distinción porque nunca intentan recorrer la ruta.
¿A qué herramientas de evaluación de AD reemplaza ADscan?
ADscan cubre el inventario de superficie de ataque de BloodHound, la evaluación de ADCS de Certipy, las comprobaciones de higiene de identidad de auditores estilo PingCastle, y la validación de explotación que ninguna de esas herramientas realiza. No reemplaza un pentest completo de sistemas no relacionados con AD, pero para la capa de Active Directory consolida la recolección, la construcción del grafo, la explotación y el mapeo de cumplimiento en una sola ejecución.
¿Puede ADscan producir evidencia de postura para auditores de DORA o ENS?
Sí. El informe PRO incluye la Puntuación de Exposición, la lista completa de rutas probadas y detectadas, y cada hallazgo mapeado a su control de DORA, NIS2 o ENS con una cita legal. Los auditores reciben una evaluación de la superficie de ataque de AD con fecha y producida por máquina en lugar de una hoja de cálculo mantenida manualmente. En la plataforma Enterprise, los datos de tendencia muestran cómo ha cambiado la postura entre períodos de evaluación.
Descubre qué ruta a Domain Admin tienes hoy.
Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.