Security

Microsoft Defender predictive shielding frena ataques AD

3 min de lectura

Resumen

Microsoft detalló cómo el predictive shielding de Defender puede contener el compromiso de dominios de Active Directory al restringir cuentas expuestas con altos privilegios antes de que los atacantes reutilicen credenciales robadas. Esta capacidad ayuda a los equipos de seguridad a reducir el movimiento lateral y cerrar la brecha de respuesta durante ataques de identidad que avanzan rápidamente.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Los ataques basados en identidad pueden escalar desde un único servidor comprometido hasta el control total de un dominio de Active Directory en cuestión de horas. La investigación de seguridad más reciente de Microsoft muestra cómo predictive shielding en Microsoft Defender puede interrumpir ese camino al restringir de forma proactiva las cuentas privilegiadas expuestas antes de que los atacantes pongan en uso las credenciales robadas.

Para los equipos de seguridad, esto importa porque la respuesta tradicional suele comenzar solo después de observar el uso malicioso de una cuenta. Predictive shielding cambia ese modelo al actuar sobre una exposición probable de credenciales casi en tiempo real.

Qué hay de nuevo

Microsoft destacó una cadena de ataque real en el sector público en 2025 y explicó cómo predictive shielding, ahora parte de automatic attack disruption en Microsoft Defender, cambia el resultado.

Las capacidades clave incluyen:

  • Detectar actividad posterior a una brecha asociada al robo de credenciales en un dispositivo
  • Evaluar qué identidades con altos privilegios probablemente quedaron expuestas
  • Aplicar restricciones just-in-time para limitar el abuso de credenciales y el movimiento lateral
  • Reducir el acceso del atacante a operaciones sensibles de identidad mientras los equipos de respuesta investigan

La investigación mostró cómo los atacantes pasaron de un web shell en IIS a una elevación local de privilegios, volcado de credenciales con Mimikatz y posterior abuso del acceso al domain controller, delegación de Exchange y herramientas de Impacket.

Cómo ayuda predictive shielding

En el incidente descrito por Microsoft, los atacantes avanzaron rápidamente desde el acceso inicial hasta operaciones a nivel de dominio, entre ellas:

  • Volcado de LSASS, SAM y otro material de credenciales
  • Creación de tareas programadas en un domain controller
  • Acceso a datos de NTDS para abuso offline de credenciales
  • Implantación de un web shell en Exchange Server
  • Enumeración y abuso de permisos de delegación de buzones
  • Uso de herramientas como Impacket, PsExec y secretsdump para movimiento lateral

Microsoft afirma que predictive shielding puede interrumpir antes este patrón al restringir cuentas en el momento en que probablemente quedan expuestas, en lugar de esperar a un uso malicioso confirmado. Ese enfoque está diseñado para cerrar la "brecha de velocidad" entre el robo de credenciales y la respuesta del defensor.

Impacto para administradores de IT

Para los defensores que administran identidad híbrida y Active Directory on-premises, esto es importante. El compromiso de dominio es difícil de contener porque los administradores no pueden simplemente apagar los domain controllers o los servicios principales de identidad sin afectar al negocio.

Predictive shielding ofrece a los equipos de SOC e identidad otra capa de contención automatizada mediante:

  • Proteger cuentas con altos privilegios durante eventos de robo de credenciales
  • Ralentizar el movimiento lateral del atacante a través de servidores e infraestructura de identidad
  • Dar más tiempo a los equipos de respuesta para tareas de remediación como restablecimiento de contraseñas, validación de ACL y rotación de krbtgt

La función está disponible como una mejora lista para usar para clientes de Microsoft Defender for Endpoint P2 que cumplan los requisitos previos de Defender.

Próximos pasos

Los administradores de seguridad deberían:

  • Revisar la configuración de automatic attack disruption en Microsoft Defender
  • Confirmar la elegibilidad y los requisitos previos para predictive shielding
  • Reforzar las rutas de exposición de IIS, Exchange y domain controllers
  • Auditar identidades privilegiadas y permisos delegados
  • Validar los playbooks de respuesta a incidentes para escenarios de compromiso de dominio

La conclusión clave es clara: la contención proactiva de identidades se está volviendo esencial para defender entornos de Active Directory frente a técnicas modernas de movimiento lateral.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Artículos relacionados

Security

Intrusión macOS de Sapphire Sleet: claves

Microsoft Threat Intelligence detalló una campaña centrada en macOS de Sapphire Sleet que utiliza ingeniería social y falsas actualizaciones de software en lugar de explotar vulnerabilidades. La cadena de ataque se basa en la ejecución iniciada por el usuario de AppleScript y Terminal para eludir las protecciones nativas de macOS, lo que hace especialmente importantes las defensas en capas, la concienciación del usuario y la detección en endpoints.

Security

Estrategia de inventario criptográfico cuántico

Microsoft insta a las organizaciones a tratar el inventario criptográfico como el primer paso práctico hacia la preparación post-cuántica. La empresa describe un ciclo continuo de Cryptography Posture Management para ayudar a los equipos de seguridad a descubrir, evaluar, priorizar y corregir riesgos criptográficos en código, red, runtime y almacenamiento.

Security

Respuesta a incidentes de IA: cambios clave

Microsoft afirma que los principios tradicionales de respuesta a incidentes siguen aplicándose a los sistemas de IA, pero los equipos deben adaptarse al comportamiento no determinista, al daño más rápido a escala y a nuevas categorías de riesgo. La compañía destaca la necesidad de una mejor telemetría de IA, planes de respuesta multifuncionales y una remediación por fases para contener los problemas con rapidez mientras se desarrollan soluciones a largo plazo.

Security

SOC agéntico de Microsoft: visión para SecOps

Microsoft está delineando un modelo de "SOC agéntico" que combina la interrupción autónoma de amenazas con agentes de AI para acelerar las investigaciones y reducir la fatiga por alertas. El enfoque busca trasladar las operaciones de seguridad de una respuesta reactiva a incidentes hacia una defensa más rápida y adaptable, dando a los equipos SOC más tiempo para la reducción estratégica del riesgo y la gobernanza.

Security

Ataques de nómina de Storm-2755 en Canadá

Microsoft ha detallado una campaña de Storm-2755 con motivación financiera dirigida a empleados canadienses mediante ataques de desvío de nómina. El actor de amenazas utilizó SEO poisoning, malvertising y técnicas adversary-in-the-middle para robar sesiones, eludir MFA heredado y modificar datos de depósito directo, lo que hace que el MFA resistente al phishing y la supervisión de sesiones sean defensas críticas.

Security

Vulnerabilidad de EngageSDK Android expuso wallets

Microsoft reveló una grave falla de redirección de intents en EngageSDK para Android, un SDK de terceros, que puso en riesgo potencial a millones de usuarios de crypto wallets por exposición de datos y escalación de privilegios. El problema se corrigió en EngageSDK versión 5.2.1, y el caso subraya el creciente riesgo de seguridad de las dependencias opacas en la cadena de suministro de apps móviles.