Security

Microsoft Defender predictive shielding frena ransomware GPO

3 min de lectura

Resumen

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Resumen de audio

0:00--:--
¿Necesita ayuda con Security?Hablar con un experto

Introducción

El caso de estudio más reciente de Microsoft Defender destaca una táctica de ransomware en crecimiento: abusar de los Group Policy Objects (GPO) para deshabilitar herramientas de seguridad y distribuir cargas maliciosas a gran escala. Para los equipos de IT y seguridad, esto importa porque los GPO son mecanismos administrativos confiables en la mayoría de los entornos Windows, lo que los convierte en una ruta de ataque atractiva para el ransomware operado por humanos.

Qué ocurrió

Microsoft investigó un ataque contra una gran institución educativa con miles de dispositivos, 33 servidores, 11 controladores de dominio y 2 servidores de Entra Connect. El atacante ya había obtenido acceso de Domain Admin y avanzó por varias etapas conocidas:

  • Reconocimiento: enumeración de Active Directory y actividad de fuerza bruta
  • Acceso a credenciales: actividad de Kerberoasting y volcado de NTDS
  • Movimiento lateral: uso de credenciales con altos privilegios y creación de cuentas locales para persistencia
  • Intento de impacto: manipulación basada en GPO y despliegue de ransomware

Cómo funcionó el ataque con GPO

El atacante usó GPO en dos etapas:

  • Etapa 1: Manipulación de seguridad
    Un GPO malicioso intentó deshabilitar protecciones clave de Defender, incluida la protección en tiempo real y la supervisión del comportamiento.

  • Etapa 2: Distribución de ransomware
    Unos 10 minutos después, el atacante creó otro GPO que desplegó una tarea programada para copiar y ejecutar archivos de ransomware desde SYSVOL.

Esto es eficaz porque el atacante solo necesita configurar la directiva una vez; los dispositivos unidos al dominio hacen el resto automáticamente.

Cómo Defender lo detuvo

El predictive shielding de Defender reconoció la manipulación del GPO como un posible precursor de ransomware y activó el GPO hardening antes de que el GPO de ransomware pudiera propagarse ampliamente.

Resultados clave del caso de estudio:

  • Cero dispositivos cifrados mediante la ruta de GPO
  • Alrededor del 97 % de la actividad de cifrado intentada fue bloqueada en general
  • 700 dispositivos recibieron protección de GPO hardening
  • Más de una docena de entidades comprometidas fueron interrumpidas
  • Miles de intentos de autenticación y acceso del atacante fueron bloqueados

Por qué esto importa para los administradores

Este incidente muestra que los operadores de ransomware abusan cada vez más de herramientas estándar de gestión de IT en lugar de depender solo de métodos evidentes de entrega de malware. GPO, tareas programadas, SMB y herramientas de administración remota son mecanismos operativos legítimos, lo que hace que su uso indebido sea más difícil de detectar sin capacidades avanzadas de detección y respuesta.

Para los administradores, la lección es clara: el compromiso de identidad más el abuso de GPO pueden convertirse rápidamente en un incidente a nivel empresarial.

Próximos pasos recomendados

  • Revisar la exposición de cuentas privilegiadas, especialmente el uso de Domain Admin
  • Auditar cambios recientes en GPO y despliegues de tareas programadas
  • Investigar señales de Kerberoasting, acceso a NTDS y ejecución inusual basada en SMB
  • Asegurarse de que las capacidades de attack disruption de Microsoft Defender estén habilitadas
  • Validar la tamper protection de Defender y la cobertura de endpoints en todos los dispositivos unidos al dominio
  • Supervisar SYSVOL en busca de scripts, ejecutables y DLL inesperados

Las organizaciones que usan Microsoft Defender deberían tomar este caso como un recordatorio para reforzar la identidad, supervisar las herramientas administrativas y prepararse para campañas de ransomware que abusan de controles empresariales nativos.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft DefenderransomwareGPOpredictive shieldingattack disruption

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.

Security

Microsoft alerta sobre phishing fiscal y robo de credenciales

Microsoft advirtió sobre un aumento de campañas de phishing y malware con temática fiscal que aprovechan la temporada de impuestos para robar credenciales, usando señuelos como formularios W-2, avisos de reembolso y mensajes de contadores. La alerta importa porque estos ataques son cada vez más sofisticados —con códigos QR, cadenas de redirección, archivos en la nube y abuso de herramientas legítimas—, lo que dificulta su detección y eleva el riesgo para empresas y usuarios.