Semperis adquiere MightyID: amplía la verdadera resiliencia cibernética en entornos con múltiples proveedores de identidad (IdP)
Volver al listado de blogs

Investigación de amenazas

Categorías

Chatea con un experto

Modernice su AD

Solicitar demostración

Descargar Purple Knight

Evaluación gratuita de la seguridad de Active Directory

Leer más
SyncJacking: Una vulnerabilidad de Hard Matching permite hacerse con cuentas de Entra ID

SyncJacking: Una vulnerabilidad de Hard Matching permite hacerse con cuentas de Entra ID

  • Tomer Nahum
  • 13 de enero de 2026

Los atacantes con ciertos privilegios pueden abusar de la sincronización de coincidencia exacta de Entra Connect para hacerse con el control de las cuentas Entra ID sincronizadas.

Actualización sobre el abuso de nOAuth: posible giro hacia Microsoft 365

Actualización sobre el abuso de nOAuth: posible giro hacia Microsoft 365

  • Eric Woodruff | Arquitecto jefe de identidad
  • 5 de enero de 2026

Investigaciones adicionales sobre nOAuth indican que el riesgo de abuso de nOAuth sigue existiendo y que muchas organizaciones aún desconocen esta vulnerabilidad.

Aprovechamiento de SPN fantasma y reflejo Kerberos para elevar privilegios en servidores SMB

Aprovechamiento de SPN fantasma y reflejo Kerberos para elevar privilegios en servidores SMB

  • Andrea Pierini
  • 29 de octubre de 2025

Cuando los Service Principal Names (SPNs) mal configurados y los permisos por defecto se alinean, los atacantes pueden explotar la reflexión de Kerberos para obtener acceso a nivel de SISTEMA de forma remota. Incluso con la actualización de seguridad de Microsoft, los SPN fantasma pueden seguir acechándole. Sepa por qué.

EntraGoat Escenario 6: Explotación de la Autenticación Basada en Certificados para Hacerse Pasar por el Administrador Global en Entra ID

EntraGoat Escenario 6: Explotación de la Autenticación Basada en Certificados para Hacerse Pasar por el Administrador Global en Entra ID

  • Jonathan Elkabas y Tomer Nahum

Nota del editor Este escenario forma parte de una serie de ejemplos que demuestran el uso de EntraGoat, nuestro entorno de simulación Entra ID. Puede leer una visión general de EntraGoat y su valor aquí. El Escenario 6 del EntraGoat detalla una técnica de escalamiento de privilegios en el Entra ID de Microsoft donde...

EntraGoat Escenario 2: Explotación de Permisos Gráficos Exclusivos para Aplicaciones en Entra ID

EntraGoat Escenario 2: Explotación de Permisos Gráficos Exclusivos para Aplicaciones en Entra ID

  • Jonathan Elkabas y Tomer Nahum

En nuestro segundo escenario de ataque EntraGoat, sigue los pasos de un certificado filtrado descuidadamente para capturar la contraseña de administrador global y comprometer por completo el Entra ID.

EntraGoat Escenario 1: Abuso de la titularidad principal del servicio en Entra ID

EntraGoat Escenario 1: Abuso de la titularidad principal del servicio en Entra ID

  • Jonathan Elkabas y Tomer Nahum

¿Cómo puede una cuenta comprometida de un usuario con pocos privilegios explotar la propiedad principal del servicio y completar una toma de posesión del inquilino Entra ID? Descúbralo cuando se sumerja en el Escenario 1 de EntraGoat.

Primeros pasos con EntraGoat: Descifrar Entra ID de forma inteligente

Primeros pasos con EntraGoat: Descifrar Entra ID de forma inteligente

  • Jonathan Elkabas y Tomer Nahum

¿Listo para empezar a ensuciarte las pezuñas en EntraGoat? Empieza por aquí. Estos pasos de inicio rápido te llevarán a tu primer escenario de ataque.

¿Qué es EntraGoat? Un entorno de simulación de Entra ID deliberadamente vulnerable

¿Qué es EntraGoat? Un entorno de simulación de Entra ID deliberadamente vulnerable

  • Jonathan Elkabas y Tomer Nahum

¿Cuál es la mejor manera de aumentar la ciberresiliencia? ¡Practicar! Conozca EntraGoat, su espacio seguro para el aprendizaje práctico al estilo CTF. Rastrea rutas de ataque, descubre desconfiguraciones de identidad y saca a la luz fallos en el control de acceso, al tiempo que desarrollas la resiliencia frente a amenazas del mundo real.