Imagina cerrar la puerta de entrada, solo para dejar la llave bajo el felpudo. Es un hábito que muchos saben que es arriesgado, pero aún así es sorprendentemente común. En términos de ciberseguridad, esto equivale a almacenar credenciales en texto claro dentro de los campos de texto libre en Active Directory.
Microsoft Defender ahora puede ayudarte a eliminar esta vulnerabilidad con una nueva alerta de postura impulsada por IA, que utiliza capas de inteligencia para detectar credenciales expuestas.
Comprendiendo los campos de texto libre en los sistemas de identidad
Dentro de los sistemas de identidad como Active Directory (AD) y Microsoft Entra ID, los campos de texto libre son atributos personalizables que permiten a los administradores almacenar datos no estructurados o semiestructurados. Debido a que son flexibles y no están estrictamente regidos por restricciones de esquema, estos campos pueden usarse también para soportar integraciones con sistemas de RRHH, herramientas de firma de correo o soluciones de Gestión de Acceso Privilegiado (PAM).
En entornos de identidad híbridos, los campos de texto claro desempeñan un papel fundamental al cerrar brechas operativas. Los administradores dependen de ellos para transferir contexto crítico para el negocio, como centros de costos, etiquetas de proyectos o referencias a sistemas heredados durante la sincronización. Sin embargo, su naturaleza no estructurada también introduce riesgos. Si se almacenan datos sensibles como credenciales o identificadores personales en estos campos sin los controles adecuados, pueden convertirse en un vector de exposición.
Las identidades no humanas (NHI) suelen verse especialmente afectadas por este problema. Y tiene sentido, ya que las NHI, además de superar en número a las identidades humanas, no pueden interactuar con los sistemas mediante métodos tradicionales de autenticación como MFA. Los administradores, bajo presión para mantener la operatividad y asegurar la automatización, pueden almacenar las credenciales de estas cuentas en campos de texto claro. Por ejemplo, una cuenta de servicio utilizada por una aplicación podría tener su contraseña almacenada en el campo de descripción o información de un objeto AD para simplificar la integración o solución de problemas. Estas prácticas, aunque sean una solución rápida, crean un objetivo de alto valor para los atacantes. Las NHI también suelen operar con privilegios elevados y a menudo son pasadas por alto en los modelos tradicionales de seguridad, haciendo aún más atractivo su ataque.
Pero no solo las NHI están en riesgo. En nuestra investigación y pruebas iniciales, identificamos más de 40,000 credenciales expuestas en 2,500 clientes. Más importante aún, cada vez vemos con más frecuencia que actores maliciosos y red teams atacan estos campos para obtener acceso y moverse lateralmente; gracias a la velocidad, escala y precisión de las herramientas de enumeración impulsadas por IA, el tiempo para explotarlos ha cambiado de horas a segundos.
Cambiando el juego con inteligencia en capas
Microsoft está nivelando el terreno con una nueva y potente alerta de postura en Defender, que puede detectar credenciales expuestas con una precisión sin precedentes. Esta alerta forma parte de una iniciativa más amplia para ayudar a las organizaciones a identificar de forma proactiva y remediar configuraciones incorrectas de identidad antes de que sean explotadas. Lo que la hace diferente es su modelo de detección por capas basadas en IA.
Primero, un análisis detallado de los directorios de identidad identifica exposiciones potenciales de credenciales. Esto incluye desde secretos codificados en base64 hasta cadenas que coinciden con patrones conocidos de contraseñas. Una vez completado, un modelo avanzado de IA analiza el contexto, lenguaje y estructura: desde el tipo de identidad asociada, si el valor es estático o cambió recientemente y si se referencia en scripts de automatización o logs. Esta capa adicional reduce drásticamente los falsos positivos y garantiza que las alertas sean realmente útiles y de alta confianza.
Al incrustar IA directamente en la gestión de postura, Microsoft da a los equipos de seguridad la misma velocidad y escala que los atacantes han venido usando, pero ahora para detener compromisos antes de que ocurra un ataque.
Primeros pasos:
Esta nueva recomendación de postura está actualmente en vista previa pública y disponible para todos los clientes de Defender for Identity. Para aprender más sobre la recomendación consulta la documentación oficial o, si quieres ver si alguna credencial quedó bajo tu felpudo digital, entra en la sección “Exposure Management” dentro del portal de Defender y busca la recomendación.
