El kerberoasting es un tipo de ciberataque que aprovecha un punto débil en el sistema de autenticación Kerberos, el cual usan muchas empresas para manejar el acceso de usuarios y servicios en sus redes internas. Básicamente, el atacante solicita lo que se llama un "ticket de servicio" para una cuenta específica dentro de la red. Este ticket está cifrado con la contraseña de la cuenta, y si logran descifrarlo, pueden ver esa contraseña en texto claro.
¿Y por qué les interesa tanto esa contraseña? Porque las cuentas de servicio suelen tener permisos elevados y están vinculadas a aplicaciones o servicios importantes (por ejemplo, bases de datos o sistemas de gestión internos). Con esa contraseña en la mano, el atacante puede infiltrarse en áreas sensibles, robar información, o incluso instalar malware sin ser detectado. Es como si alguien consiguiera la llave maestra de una oficina: pueden entrar y salir de diferentes áreas sin levantar sospechas.
Entonces, ¿qué tan grave es realmente este ataque y cómo podemos protegernos? A continuación, desglosaremos todo lo que necesitas saber para entender y defenderte del kerberoasting.
El kerberoasting está ganando popularidad rápidamente, y no es casualidad. Según analistas de seguridad de X-Force de IBM, los incidentes de kerberoasting se duplicaron entre 2022 y 2023. Este aumento se debe a que los hackers, al ver que los sistemas de seguridad en los endpoints y redes son cada vez más sólidos, buscan formas de ataque menos directas. Una de las estrategias que están adoptando es aprovecharse de cuentas de usuario legítimas para entrar a las redes de forma silenciosa.
Pero, ¿por qué el kerberoasting en particular se ha vuelto tan atractivo para los atacantes? Por un lado, muchos sistemas de directorios y servicios en la nube utilizan el protocolo Kerberos, lo que les da a los hackers una vía de acceso directo a la infraestructura de red. En entornos de Microsoft Windows, por ejemplo, el Kerberos es el estándar para el Active Directory, que es como el "cerebro" de muchas redes corporativas. Esto hace que los ataques de kerberoasting se dirijan comúnmente a dominios de Active Directory, donde pueden hacer mucho daño.
Además, las cuentas de servicio suelen ser especialmente vulnerables. Estas cuentas, que se crean para que ciertas aplicaciones y servicios funcionen, muchas veces se configuran manualmente, con contraseñas simples y permisos elevados. Básicamente, son el blanco perfecto para un ataque.
Una de las razones por las que el kerberoasting es tan difícil de detectar es que explota el funcionamiento normal de Kerberos, así que no deja señales evidentes en la red. Los atacantes roban tickets de servicio y luego los descifran en sus propios equipos, fuera de la red de la empresa, haciendo que el proceso sea aún más difícil de rastrear.
Podría interesarte leer: ¿Por qué un SIEM es el corazón del SOC?
El kerberoasting es una técnica que los hackers usan principalmente para escalar privilegios dentro de una red, más que para entrar a ella en primer lugar. En pocas palabras, si un atacante ya logró acceder con una cuenta de usuario común, el kerberoasting le ayuda a "subir de nivel" y conseguir acceso a cuentas con más permisos. Aquí te explicamos cómo funciona el proceso paso a paso:
El hacker obtiene tickets de servicio: Primero, el atacante usa la cuenta de usuario que ya comprometió para pedir al sistema tickets de servicio Kerberos, que están asociados a cuentas de servicio dentro de la red (como bases de datos, servidores de archivos, etc.).
Extracción de los tickets: Luego, el atacante saca esos tickets de la red y los lleva a su propia computadora o servidor, donde puede trabajar en descifrarlos sin que la empresa se dé cuenta.
Descifrado de contraseñas: Usando herramientas de cracking, el hacker descifra los tickets para obtener las contraseñas en texto plano de las cuentas de servicio asociadas.
Uso de credenciales de cuentas de servicio: Con estas contraseñas, el atacante puede iniciar sesión con cuentas de servicio que tienen más permisos, lo que le permite moverse por la red, acceder a información sensible o ejecutar comandos que una cuenta de usuario normal no podría.
El kerberoasting funciona porque aprovecha ciertos puntos débiles del protocolo de autenticación Kerberos, ampliamente utilizado en redes corporativas. En Kerberos, los usuarios obtienen "tickets de servicio" cifrados que les permiten acceder a diferentes servicios en la red sin enviar contraseñas en texto claro. Sin embargo, cualquier usuario puede solicitar estos tickets, y están cifrados con el hash de la contraseña de la cuenta de servicio correspondiente.
Esto significa que un atacante, con solo comprometer una cuenta común, puede pedir tickets de servicio, extraerlos de la red y luego descifrarlos fuera de la empresa para obtener las contraseñas de cuentas de servicio de alto privilegio. Estas cuentas suelen tener permisos elevados y, en muchos casos, contraseñas antiguas que no caducan, lo que facilita aún más el ataque.
El kerberoasting es difícil de detectar porque imita los procesos normales de autenticación en Kerberos. La parte más sospechosa (el descifrado de los tickets) ocurre fuera de la red, así que los sistemas de seguridad internos no pueden ver lo que el atacante está haciendo. En pocas palabras, el kerberoasting es efectivo porque explota las reglas internas de Kerberos sin levantar sospechas inmediatas.
Ejemplo de autenticación de Kerberos en acción
El kerberoasting ha sido una técnica clave en algunos de los ciberataques más sonados de los últimos años. Uno de los ejemplos más famosos es el ataque a SolarWinds en 2020. Hackers rusos lograron infiltrarse en la plataforma de gestión Orion de SolarWinds y distribuyeron malware disfrazado de una actualización legítima.
Esto les dio acceso a redes de múltiples empresas y agencias gubernamentales de EE. UU., incluyendo el Departamento de Estado y el Departamento de Justicia. Una vez dentro, los atacantes usaron kerberoasting para escalar privilegios y moverse libremente por los sistemas comprometidos.
Otro caso notable es el del ransomware Akira, un grupo de hackers que también usa kerberoasting para asegurarse de que mantienen acceso en las redes que violan. Akira ha afectado a más de 250 organizaciones a nivel mundial, y hasta abril de 2024, ya había acumulado alrededor de 42 millones de dólares en pagos de rescate. Usando kerberoasting, logran obtener contraseñas de cuentas de alto privilegio, lo que les permite extender su alcance dentro de las redes y asegurarse de que sus víctimas paguen para recuperar el acceso.
Estos casos muestran cómo el kerberoasting permite a los atacantes obtener privilegios elevados, pasando casi desapercibidos, y facilitando ataques a gran escala que pueden tener consecuencias devastadoras para las organizaciones.
Para comprender mejor cómo los atacantes realizan este tipo de ataques, es útil conocer algunas de las herramientas que se utilizan en un ataque de Kerberoasting. Algunas de las más populares incluyen:
Los ataques de kerberoasting son difíciles de detectar porque los hackers se camuflan como usuarios legítimos en la red. Sus solicitudes de tickets se ven igual que las de cualquier usuario, y el descifrado de contraseñas lo hacen fuera de la red, así que los sistemas de seguridad ni se enteran. Dicho esto, hay herramientas y prácticas que las organizaciones pueden usar para reducir el riesgo de un ataque de kerberoasting y mejorar su capacidad de detección.
Como el kerberoasting implica tomar control de cuentas de dominio, es clave protegerlas con buenos controles de identidad y acceso (IAM). Una práctica básica es aplicar políticas de contraseñas fuertes, como las recomendadas por el marco MITRE ATT&CK: contraseñas de al menos 25 caracteres, con alta complejidad y que se cambien regularmente.
También es útil usar gestores de contraseñas centralizados y activar cuentas de servicio gestionadas en grupo en Active Directory. Estas cuentas generan y actualizan contraseñas automáticamente, lo cual reduce el riesgo de contraseñas débiles o antiguas.
Para usuarios normales, la autenticación multifactor (MFA) es muy efectiva para prevenir accesos no autorizados, aunque en el caso de las cuentas de servicio es menos práctica.
Las herramientas de gestión de accesos privilegiados (PAM) ayudan a proteger credenciales de alto valor, como las de las cuentas de servicio de Kerberos. Estas herramientas permiten restringir el acceso a las cuentas más sensibles, minimizando las posibilidades de que un atacante explote esas credenciales si las consigue.
Asignar a cada cuenta de servicio solo los permisos que realmente necesita es una buena estrategia para limitar el daño en caso de que un atacante comprometa alguna. Además, se puede restringir el acceso de estas cuentas a servicios y sistemas específicos, y limitar su uso a inicios de sesión no interactivos.
Aunque los hackers intentan pasar desapercibidos, pueden dejar pistas. Por ejemplo, si una cuenta solicita muchos tickets para diferentes servicios en poco tiempo, eso podría ser señal de un ataque de kerberoasting. Los registros de eventos en herramientas como sistemas SIEM pueden ayudar a detectar este tipo de actividad sospechosa.
Además, las soluciones de análisis del comportamiento de usuarios (UBA) pueden detectar patrones anómalos en cuentas que, aunque parezcan legítimas, están siendo usadas por hackers.
Conoce más sobre: Protege tu Empresa con UEBA y UBA
Muchas implementaciones de Kerberos todavía permiten el uso del cifrado RC4, que es fácil de romper. Cambiar a un cifrado más fuerte, como AES, puede complicarle la vida a los atacantes y hacer que el descifrado de tickets sea mucho más difícil.
Una técnica ingeniosa es crear honeytokens, que son cuentas falsas diseñadas para atraer a los atacantes. Estas cuentas parecen cuentas privilegiadas con credenciales débiles, y si un hacker intenta explotarlas, se genera una alerta automáticamente para que el equipo de seguridad investigue. Los honeytokens desvían la atención de las cuentas reales y pueden ser una buena trampa para atrapar a los atacantes antes de que causen daños.
Con estas prácticas, las empresas pueden hacer que un ataque de kerberoasting sea mucho más difícil y, en caso de que ocurra, aumentar las probabilidades de detectarlo antes de que cause estragos en la red.
En resumen, aunque el kerberoasting es una amenaza complicada, hay formas efectivas de protegerse. Cosas como buenas políticas de contraseñas, limitar los permisos de las cuentas, y usar cuentas de servicio gestionadas pueden reducir bastante el riesgo.
Pero para detectar este tipo de ataques en tiempo real, un sistema SIEM es clave. Un SIEM centraliza y analiza toda la actividad de la red, lo que permite encontrar patrones sospechosos antes de que se conviertan en problemas serios. Aquí es donde entra el SOC como Servicio de TecnetOne: ofrece todo lo necesario para una defensa completa, combinando SIEM con análisis de comportamiento de usuarios (UEBA/UBA). Con esta solución, las empresas pueden contar con monitoreo constante y expertos en ciberseguridad que están listos para detectar y responder a amenazas como el kerberoasting antes de que escalen.