Lo que hoy te cuesta
En un dominio de 1.200 cuentas con política de rotación a 90 días, un muestreo típico encuentra 22% de cuentas con PasswordNeverExpires, 14% con contraseñas que no se han rotado en más de 12 meses y 7% con password que vence y nunca se cambia. El problema operativo es que la política de AD no se audita sola: un usuario con PasswordNeverExpires que hereda permisos de admin de SCCM abre una ventana lateral al atacante, y un atacante con credencial filtrada en un dump de 6 meses atrás sigue encontrando cuenta válida. El pentest moderno automatiza la prueba de credenciales filtradas contra el AD: la métrica típica es 4 a 8% de cuentas comprometidas. La auditoría de SOC 2 pregunta por evidencia de "política revisada al menos trimestralmente" y la respuesta del equipo de TI suele ser un excel manual consolidado a las 3 am. "Tenemos 240 cuentas con password de hace 3 años y nadie las toca" es el hallazgo más repetido en auditorías. ¿Cuántas credenciales filtradas de 2023 siguen siendo válidas hoy?
Lo que cambia cuando lo tenés
El primer día el script entrega un Excel con scorecard de madurez por cuenta: antigüedad del password, días para vencer, presencia en dumps públicos, complejidad y coincidencia con patrones débiles (Password1, Q1, season-year). Cada fila propone un owner y un plan de remediación: forzar rotación, desactivar, migrar a grupo protegido. El dueño del proceso es el equipo de seguridad, que ahora cuenta con evidencia viva para auditorías trimestrales. El output visible es el Excel con semáforo, el CSV de remediación priorizada y el log firmado de las acciones ejecutadas. Una aseguradora con 3.500 usuarios limpió 1.180 contraseñas en el primer trimestre y acreditó la remediación con timestamp ante el regulador. La inversión se amortiza antes de la primera auditoría externa, típicamente 2 a 4 meses.
Scorecard de madurez de política de contraseñas
Quiero implementar esto
Conversamos 20 minutos sobre tu entorno y vemos juntos el alcance, la arquitectura y el plan de trabajo. Sin compromiso.
Proyectos relacionados
Health check matutino de Active Directory
Un solo correo al día con el estado real del AD: replicación, lockouts, contraseñas expiradas, GPOs nuevas.
Alta y baja automatizada de empleados
Un solo script crea al usuario en AD, M365, grupos, licencia y buzón — o lo borra limpio en 30 segundos.
Inventario de software instalado + cruce con licencias
CSV semanal con todo el software instalado en la flota, comparado contra la lista de software autorizado.