Benjamin Lim Director de Ventas a Grandes Empresas

La mañana del 1 de mayo de 2026, a los trabajadores que llegaban a las instalaciones de Foxconn en Mount Pleasant (Wisconsin) se les entregaron hojas de control de asistencia en papel.

No es por un corte de luz. Tampoco es un simulacro de incendio.

Toda la red dejó de funcionar. A las 7:00 de la mañana ya no había conexión Wi-Fi. A las 11:00 de la mañana, la infraestructura central de la planta ya estaba a oscuras. Toda la planta de producción, dedicada a la fabricación de servidores de IA para Apple, Google, NVIDIA, Intel y Dell, se vio obligada a recurrir al lápiz y el papel antes de que la mayoría de la gente hubiera terminado su café matutino.

El 11 de mayo, el grupo de ransomware Nitrogen había publicado información sobre Foxconn en su sitio web de filtraciones de la dark web y afirmaba haber conseguido hacerse con ocho terabytes de datos. Más de 11 millones de archivos. Planos de montaje. Mapas de topología de los centros de datos de Google e Intel. Esquemas de hardware para la infraestructura de IA de próxima generación. Según se informó, también se vio afectada una segunda instalación en Houston, Texas.

No se trató de un asalto relámpago. Fue un ataque deliberado, paciente y centrado en la identidad, y siguió un guion que los defensores de la identidad deben conocer al dedillo.


¿Por qué el ransomware ataca primero la identidad?

En el Informe sobre el riesgo de ransomware de Semperis , el 78 % de los encuestados reveló que había sido víctima de un ataque de ransomware en los últimos 12 meses. ¿Cuál es el punto de entrada más habitual? El sistema de gestión de identidades.


El 83 % de los ataques de ransomware contra empresas manufactureras de todo el mundo afectaron a la infraestructura de identidades.

Fuente: Semperis, Informe sobre el riesgo de ransomware de 2025


Para los profesionales con experiencia en ciberseguridad y los encargados de la gestión de incidentes, estas estadísticas no son ninguna sorpresa. La infraestructura de identidades es fundamental para el resto de aplicaciones y sistemas de la organización. Cuando los atacantes se infiltran en Active Directory (AD), Entra ID u Okta, pueden establecer persistencia, desplazarse lateralmente y elevar sus privilegios para ampliar su alcance a todo el entorno.

El ataque «Nitrogen» siguió un patrón bien documentado en el que unas credenciales comprometidas abren la puerta a privilegios elevados, acceso al dominio y las claves de los sistemas de copia de seguridad.


¿Cómo funciona la cadena de ataque «identity-first»?

En los ataques de ransomware basados en la identidad, el punto de entrada suele ser siempre el mismo: una credencial comprometida o un terminal expuesto. A veces, un correo electrónico de phishing dirigido específicamente a los administradores de TI —personas con privilegios elevados, acceso al dominio y las claves de los sistemas de copia de seguridad—. No buscan el portátil de un usuario cualquiera. Buscan cuentas con capacidad de acción.

Este patrón coincide con lo que los investigadores de amenazas de Semperis han observado en docenas de investigaciones sobre ransomware: Active Directory no es solo un objetivo en estos ataques, sino que constituye la superficie de ataque.

  1. Acceso inicial mediante el uso indebido de credenciales. Las credenciales comprometidas —obtenidas mediante phishing o compradas a intermediarios de acceso inicial— suelen servir de punto de entrada inicial. No se necesita ningún exploit. Basta con un nombre de usuario y una contraseña válidos.
  2. Escalada de privilegios a través de errores de configuración de Active Directory. Una vez dentro, los atacantes buscan los objetivos más fáciles que existen en casi todos los Active Directory empresariales: cuentas de servicio vulnerables a «kerberoast» con privilegios excesivos, delegación sin restricciones, cuentas de administrador obsoletas y errores de configuración de las listas de control de acceso (ACL) que permiten a un usuario estándar restablecer la contraseña de una cuenta con privilegios.

    Para fabricantes como Foxconn, una red de fabricación inteligente en expansión —integrada con el IoT, conectada a la nube y en constante crecimiento— es precisamente el tipo de entorno en el que este tipo de errores de configuración se acumulan de forma invisible.
  3. Movimiento lateral y dominio del dominio. Una vez que han conseguido un punto de apoyo y una vía de escalada, los atacantes avanzan hacia el dominio. Buscan objetivos con privilegios elevados, como administradores de dominio, administradores de empresa y cuentas con derechos de DCSync. Una vez que los tienen, controlan el entorno. Todos los sistemas que confían en esa instancia de AD quedan ahora comprometidos.
  4. Identificación y preparación de las copias de seguridad. Antes de provocar cualquier interrupción visible, el atacante localiza y neutraliza la infraestructura de copias de seguridad. En la filtración de Foxconn de 2020, DoppelPaymer borró 30 TB de datos de copias de seguridad. Los atacantes como Nitrogen pueden emplear un enfoque más preciso, preparando los datos de forma discreta y utilizándolos como moneda de cambio en sus negociaciones. Pero la intención es la misma: hacer que la recuperación resulte lo más complicada posible.
  5. Exfiltración y, a continuación, extorsión. Ocho terabytes de datos no se transfieren de la noche a la mañana. La mayoría de los ataques de ransomware requieren semanas de exfiltración paciente, discreta y gradual; precisamente el tipo de actividad que pasa desapercibida entre el ruido habitual de la red si no se supervisa de cerca el comportamiento de las identidades.

Una vez dentro del sistema de identidades, los atacantes no se precipitan. Dedican semanas a analizar el entorno, identificar los controladores de dominio, localizar los servidores de copias de seguridad y preparar la sustracción de datos discretamente en segundo plano. Para cuando alguien se da cuenta de que algo va mal, los datos ya han desaparecido. El cifrado, cuando finalmente se produce, es casi una mera formalidad. La verdadera ventaja era la sustracción de datos.


¿Qué medidas de defensa basadas en la identidad pueden poner en marcha los fabricantes en este momento?

Tal y como señala el estudio sobre el ransomware de Semperis, muchas empresas del sector manufacturero son conscientes de que la seguridad de la identidad y la resiliencia son fundamentales para la resiliencia cibernética y empresarial, y el 90 % de los encuestados a nivel mundial ha implementado una estrategia de detección y respuesta ante amenazas de identidad (ITDR).

Sin embargo:

  • Solo el 65 % de los fabricantes incluyen procedimientos de recuperación específicos para AD en su plan de recuperación ante desastres
  • Solo el 61 % cuenta con sistemas de copia de seguridad específicos para Active Directory

Ambos son esenciales para una respuesta eficaz ante las amenazas informáticas (ITDR). Entonces, ¿cómo puede tu organización combatir con éxito las amenazas de ransomware relacionadas con la identidad para desarrollar la resiliencia operativa?

Veamos qué medidas puedes tomar para proteger tu entorno de identidad —antes, durante y después de un ciberataque— y dónde pueden existir vulnerabilidades específicas en entornos de fabricación complejos como el de Foxconn.


Empieza ya: descubre lo que ve el atacante, antes de que él mismo lo vea

Dos herramientas comunitarias de Semperis te permiten evaluar de inmediato tu nivel de seguridad, sin ningún coste.

Un informe conjunto publicado por la Alianza «Five Eyes»—en la que participan, entre otros, el Centro Australiano de Ciberseguridad y la Agencia de Seguridad Nacional de EE. UU.— recomienda Purple Knight, la herramienta gratuita de evaluación de la seguridad de Active Directory de Semperis, como una herramienta eficaz de prevención y detección que permite supervisar el estado de seguridad de la identidad a lo largo del tiempo. Y es totalmente gratuita.

Purple Knight un análisis sin agentes en tus entornos de Active Directory, Entra ID y Okta, y asigna una puntuación en función de más de 218 indicadores de seguridad repartidos en varias categorías:

  • Delegación AD
  • Seguridad de la cuenta
  • Infraestructura AD
  • Entra ID
  • Seguridad de la política de grupo
  • Seguridad híbrida
  • Seguridad Kerberos
  • Okta

En un entorno empresarial típico, la herramienta detecta errores de configuración y vulnerabilidades que han pasado desapercibidos durante años. A continuación, ofrece asesoramiento especializado para ayudarte a priorizar las amenazas de mayor riesgo y abordarlas de forma sistemática.

Otra herramienta gratuita, Forest Druid, amplía aún más la visibilidad de su postura de seguridad de identidad al mapear las rutas de ataque de Nivel 0: las vías que un atacante puede seguir desde una cuenta de usuario estándar comprometida hasta llegar a comprometer al administrador del dominio o al controlador de dominio. Esta herramienta gratuita responde a la pregunta que la mayoría de las organizaciones no pueden responder por sí mismas:

«Si un atacante logra colarse aquí, ¿cuántos pasos tiene que dar para hacerse con el control de nuestro dominio?»

En un entorno en el que la red de la planta de producción, el sistema informático corporativo y la infraestructura de montaje de servidores de IA están interconectados, es casi seguro que el número de rutas no deseadas de nivel 0 sea considerable. Forest Druid las Forest Druid visualmente, las clasifica por orden de riesgo y ofrece a los responsables de la seguridad una hoja de ruta para su corrección, antes de que un atacante las descubra por sí mismo.


Mejorar la visibilidad del sistema de identidad para reducir el tiempo de permanencia

Las semanas o meses que un atacante pasa dentro de una red antes de provocar una interrupción constituyen una oportunidad para los defensores. Durante ese tiempo de permanencia, es posible detectarlo, pero solo si se prestan atención a las señales adecuadas.

Las herramientas SIEM estándar registran eventos. Sin embargo, no comprenden lo que significan esos eventos en el contexto de tu entorno híbrido de Active Directory. Un atacante que realice una operación DCSync, cree un «Golden Ticket», modifique AdminSDHolder o añada discretamente a un usuario a un grupo con privilegios generará registros, pero la mayoría de los sistemas SIEM no los mostrarán como alertas de alta prioridad, ya que carecen de la inteligencia específica de AD necesaria para interpretar lo que están detectando.

Semperis Directory Services Protector DSP) supervisa continuamente la infraestructura de identidades, correlaciona los cambios con patrones de ataque conocidos y, lo que es más importante, permite revertir automáticamente los cambios no autorizados en tiempo real.

Esto significa que, si un atacante añade una cuenta no autorizada al grupo «Domain Admins» a las 2:00 de la madrugada, DSP a enviar una alerta, sino que revierte el cambio antes de que la cuenta pueda utilizarse.


Prepárate para las preguntas que nadie quiere responder

He aquí una pregunta que todo CISO debería ser capaz de responder antes de que se produzca un incidente, y no durante el mismo:

«Si nuestros controladores de dominio estuvieran inactivos en este momento, ¿cuánto tiempo tardaríamos en recuperar Active Directory y devolverlo a un estado en el que sepamos que está limpio? ¿Y estamos seguros de que la copia de seguridad a partir de la cual estamos realizando la recuperación no está ya comprometida?»

La mayoría de las organizaciones no pueden responder a esta pregunta con seguridad. La mayoría no lo ha probado. Y, en un caso de ransomware, recuperarse a partir de una copia de seguridad comprometida no es una recuperación, sino restablecer el punto de acceso del atacante.


Ten la seguridad de que podrás limpiar todo, y no solo hacerlo rápido

Los encuestados del sector manufacturero que participaron en el estudio sobre ransomware de Semperis señalaron que, cuando los ataques de ransomware tenían éxito, no se veían afectados solo una vez, sino en múltiples ocasiones a lo largo de varios días o semanas:

  • El 39 % sufrió dos agresiones.
  • El 25 % sufrió tres ataques.
  • El 8 % sufrió cuatro o más agresiones.

Estos ataques repetidos ponen de manifiesto que restaurar copias de seguridad en las que el atacante sigue al acecho no sirve de nada. Debes asegurarte de poder recuperar el sistema hasta un estado fiable y limpio.

Semperis Active Directory Forest Recovery ADFR) automatiza el proceso de recuperación del bosque de AD, eliminando los pasos manuales y propensos a errores que figuran en la guía de recuperación de Microsoft, los cuales pueden llevar días e introducir errores humanos en situaciones de presión. Y lo que es más importante, ADFR el bosque a un estado libre de malware. No se limita a restaurar la última copia de seguridad, sino que garantiza que el entorno restaurado esté limpio.

La red de Foxconn dejó de funcionar el 1 de mayo. El 11 de mayo —diez días después—, la empresa seguía describiendo la producción como en fase de «restablecimiento gradual». Ese plazo no es inusual para las organizaciones que recuperan el dominio de Active Directory de forma manual. Con ADFR, ese plazo de recuperación se reduce de días a horas.


Pon a prueba tu capacidad de recuperación antes de que la necesites

Aunque tengas copias de seguridad y un plan de recuperación, ¿cómo sabes que funcionará cuando ocurra lo peor?

Según el informe de Semperis estudio «State of Enterprise Crisis Readiness» de Semperis:

  • El 96 % de las organizaciones de todo el mundo afirman que cuentan con un plan de respuesta ante crisis cibernéticas
  • Sin embargo, el 71 % siguió sufriendo incidentes cibernéticos que paralizaron su actividad empresarial.

El problema no es que estas organizaciones carezcan de esfuerzo o talento. Es que carecen de una forma de garantizar que su respuesta sea eficaz.

Semperis Ready1 es una plataforma empresarial de gestión de crisis que actúa como centro de mando y control antes, durante y después de un incidente cibernético. Es el lugar donde tus equipos pueden elaborar planes de respuesta ante crisis cibernéticas, poner a prueba tu preparación para la recuperación antes de que sea necesaria, validar la integridad de las copias de seguridad, identificar lagunas en los manuales de procedimientos y garantizar que, cuando tengas que recuperar los sistemas, no tengas que ir improvisando bajo presión a las 2:00 de la madrugada mientras el servicio está inactivo.


Una visión más amplia: ¿Cómo puede el sector manufacturero reforzar la resiliencia de su identidad?

La filtración de Foxconn es significativa no solo por su magnitud, sino también por lo que se sustrajo.

Mapas de topología de centros de datos para la infraestructura de Google e Intel
Especificaciones de montaje para hardware de IA
Propiedad intelectual cuyo desarrollo llevó años y costó cientos de millones de dólares

Todos abandonaron el edificio durante semanas de retirada silenciosa, mientras nadie vigilaba el dominio.

El sector manufacturero sigue considerando Active Directory como un problema informático en lugar de como un riesgo operativo. En un entorno de la Industria 4.0 —en el que el controlador de dominio es el pilar fundamental de todo, desde la planta de producción hasta la nube—, esa visión está peligrosamente desfasada.

Los atacantes lo saben bien: la capa de identidad es la principal superficie de ataque.

La pregunta que debe plantearse todo CISO del sector manufacturero, de las infraestructuras críticas y de la cadena de suministro tecnológica no es solo si sus sistemas operativos están bien protegidos. Es si, cuando un atacante consiga acceder, sus defensas de identidad lo detendrán… o le entregarán todo.


Para saber más