Acceso a Credenciales
¿Qué es Acceso a Credenciales?
Acceso a CredencialesTáctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos.
Acceso a Credenciales (táctica MITRE ATT&CK TA0006) agrupa las técnicas con las que los adversarios obtienen credenciales reutilizables para autenticarse como usuarios legítimos. Ejemplos: volcar la memoria de LSASS con herramientas como Mimikatz, extraer NTDS.dit de un controlador de dominio, leer las hives SAM/SECURITY del registro de Windows, recolectar contraseñas guardadas en el navegador, kerberoasting, AS-REP roasting, capturar hashes NTLM con responder, leer tokens de proveedores cloud, hacer phishing de códigos MFA o abusar de consentimientos OAuth. Las credenciales robadas permiten movimiento lateral, persistencia y escalada de privilegios sin disparar detecciones basadas en malware. Los defensores se apoyan en Credential Guard, protección LSA, MFA fuerte, modelos administrativos por niveles, bóvedas de contraseñas, detección de inicios de sesión anómalos y revocación inmediata ante sospecha.
● Ejemplos
- 01
Ejecutar Mimikatz para extraer credenciales en claro del proceso LSASS de un servidor Windows.
- 02
Realizar kerberoasting para crackear offline el TGS de una cuenta de servicio.
● Preguntas frecuentes
¿Qué es Acceso a Credenciales?
Táctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Acceso a Credenciales?
Táctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos.
¿Cómo funciona Acceso a Credenciales?
Acceso a Credenciales (táctica MITRE ATT&CK TA0006) agrupa las técnicas con las que los adversarios obtienen credenciales reutilizables para autenticarse como usuarios legítimos. Ejemplos: volcar la memoria de LSASS con herramientas como Mimikatz, extraer NTDS.dit de un controlador de dominio, leer las hives SAM/SECURITY del registro de Windows, recolectar contraseñas guardadas en el navegador, kerberoasting, AS-REP roasting, capturar hashes NTLM con responder, leer tokens de proveedores cloud, hacer phishing de códigos MFA o abusar de consentimientos OAuth. Las credenciales robadas permiten movimiento lateral, persistencia y escalada de privilegios sin disparar detecciones basadas en malware. Los defensores se apoyan en Credential Guard, protección LSA, MFA fuerte, modelos administrativos por niveles, bóvedas de contraseñas, detección de inicios de sesión anómalos y revocación inmediata ante sospecha.
¿Cómo defenderse de Acceso a Credenciales?
Las defensas contra Acceso a Credenciales combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Acceso a Credenciales?
Nombres alternativos comunes: Robo de credenciales, TA0006.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- malware№ 231
Ladrón de credenciales
Malware dedicado a extraer contraseñas, hashes y tokens de autenticación del sistema infectado o de su memoria.
- defense-ops№ 606
Movimiento Lateral
Táctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- identity-access№ 076
Autenticación
Proceso de verificar que una entidad —usuario, dispositivo o servicio— es realmente quien dice ser antes de concederle acceso.
● Véase también
- № 790Pass-the-Hash
- № 583Kerberoasting