Ataque DCSync: Extracción de Credenciales de AD con Mimikatz

¿Qué es un Ataque DCSync? DCSync es una técnica de extracción de credenciales que abusa del mecanismo de replicación de Active Directory. En lugar de ejecutar código en un Controlador de Dominio, un atacante con los privilegios correctos suplanta a un DC y solicita datos de contraseñas directamente desde otro DC usando el protocolo MS-DRSR (Directory Replication Service Remote Protocol). El resultado: obtienes hashes NTLM, claves Kerberos y contraseñas en texto plano (en algunas configuraciones) de cualquier cuenta del dominio — incluidas krbtgt y los Administradores de Dominio — sin tocar nunca LSASS en un DC. ...

14 de julio de 2026 · 7 min · Red Team Guide

Pass-the-Hash vs Pass-the-Ticket: Guía Completa

Los ataques de credenciales en Active Directory se dividen en dos tipos que confunden constantemente: Pass-the-Hash (PtH) y Pass-the-Ticket (PtT). Ambos permiten autenticarse como otro usuario sin conocer su contraseña en texto plano. Pero funcionan sobre protocolos completamente distintos, esquivan defensas diferentes y fallan en situaciones diferentes. Esta guía cubre cómo funciona cada ataque a nivel de protocolo, cuándo usar uno u otro, cómo los detectan los defensores y cómo los red teamers se mantienen un paso adelante. ...

10 de julio de 2026 · 10 min · Red Team Guide