Saltar al contenido
#07 Auditoría de contraseñas

Auditoría de contraseñas y cuentas fuera de política

Detecta cuentas con PasswordNeverExpires, contraseñas vencidas, antigüedad de password y patrones débiles.

Implementación: Medio día 3 tecnologías
El dolor

Lo que hoy te cuesta

En un dominio de 1.200 cuentas con política de rotación a 90 días, un muestreo típico encuentra 22% de cuentas con PasswordNeverExpires, 14% con contraseñas que no se han rotado en más de 12 meses y 7% con password que vence y nunca se cambia. El problema operativo es que la política de AD no se audita sola: un usuario con PasswordNeverExpires que hereda permisos de admin de SCCM abre una ventana lateral al atacante, y un atacante con credencial filtrada en un dump de 6 meses atrás sigue encontrando cuenta válida. El pentest moderno automatiza la prueba de credenciales filtradas contra el AD: la métrica típica es 4 a 8% de cuentas comprometidas. La auditoría de SOC 2 pregunta por evidencia de "política revisada al menos trimestralmente" y la respuesta del equipo de TI suele ser un excel manual consolidado a las 3 am. "Tenemos 240 cuentas con password de hace 3 años y nadie las toca" es el hallazgo más repetido en auditorías. ¿Cuántas credenciales filtradas de 2023 siguen siendo válidas hoy?

El valor

Lo que cambia cuando lo tenés

El primer día el script entrega un Excel con scorecard de madurez por cuenta: antigüedad del password, días para vencer, presencia en dumps públicos, complejidad y coincidencia con patrones débiles (Password1, Q1, season-year). Cada fila propone un owner y un plan de remediación: forzar rotación, desactivar, migrar a grupo protegido. El dueño del proceso es el equipo de seguridad, que ahora cuenta con evidencia viva para auditorías trimestrales. El output visible es el Excel con semáforo, el CSV de remediación priorizada y el log firmado de las acciones ejecutadas. Una aseguradora con 3.500 usuarios limpió 1.180 contraseñas en el primer trimestre y acreditó la remediación con timestamp ante el regulador. La inversión se amortiza antes de la primera auditoría externa, típicamente 2 a 4 meses.

Stack
Tecnologías que tocamos en la implementación
PowerShell 7ActiveDirectoryDSInternals (opcional)
Auditoría de contraseñas y cuentas fuera de política
#07 · Auditoría de contraseñas

Scorecard de madurez de política de contraseñas

Referencias técnicas
Auditoría de contraseñas

Quiero implementar esto

Conversamos 20 minutos sobre tu entorno y vemos juntos el alcance, la arquitectura y el plan de trabajo. Sin compromiso.