Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 500

Golden Ticket

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Golden Ticket?

Golden TicketTicket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.


Un Golden Ticket es un TGT elaborado offline por un atacante que ha obtenido el hash de la contrasena de la cuenta krbtgt, normalmente mediante un ataque de replicacion DCSync o comprometiendo un controlador de dominio. Como todos los TGT del dominio se firman con krbtgt, quien posea ese hash puede acunar tickets para usuarios, grupos y periodos de validez arbitrarios, otorgando dominio persistente. MITRE ATT&CK rastrea la tecnica como T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket).

La falsificacion funciona porque un controlador de dominio no verifica un TGT que ha emitido contra ningun estado del lado servidor: confia en que un TGT descifrable con la clave krbtgt es autentico y lee el PAC embebido (Privilege Attribute Certificate) para decidir la pertenencia a grupos. Por tanto, un atacante puede inyectar SID arbitrarios, como el grupo Enterprise Admins (RID 519), directamente en el PAC. El parche MS14-068 de Microsoft (CVE-2014-6324) reforzo la validacion de la firma del PAC frente a una falsificacion relacionada en la que un usuario con pocos privilegios falsificaba un PAC sin el hash de krbtgt; un Golden Ticket genuino sigue funcionando tras el parche porque esta firmado con la clave real de krbtgt.

Como krbtgt es una cuenta de servicio cuya contrasena casi nunca cambia, un solo ticket puede seguir siendo valido durante anos y sobrevive al reseteo total de credenciales de cualquier otro usuario, una tecnica de persistencia favorita en la era de NotPetya y los APT. La unica expulsion fiable es rotar la contrasena de krbtgt dos veces seguidas (la cuenta retiene la clave actual y la previa), lo que invalida todos los tickets pendientes.

flowchart TD
  A[Comprometer controlador de dominio] --> B[Extraer hash de krbtgt<br/>via DCSync o volcado de LSASS]
  B --> C[Falsificar TGT offline<br/>mimikatz kerberos::golden]
  C --> D[Inyectar SID privilegiados en el PAC<br/>p. ej. Domain / Enterprise Admins]
  D --> E[Pass-the-Ticket en una sesion de inicio]
  E --> F[Solicitar tickets de servicio para cualquier recurso]
  F --> G[Dominio persistente del dominio]
  H[Rotar krbtgt dos veces + auditar DCSync] -.defiende.-> B

Las mitigaciones incluyen rotar la contrasena de krbtgt dos veces tras cualquier compromiso de DC, restringir y auditar los derechos de DCSync (replicacion de directorio), desplegar administracion tier-0 y cazar tickets anomalos: duraciones absurdamente largas, cuentas sin un AS-REQ previo, o solicitudes con evento 4769 para usuarios que nunca realizaron un inicio de sesion interactivo.

Ejemplos

  1. 01

    Comando kerberos::golden de Mimikatz que crea un TGT de 10 anos para un usuario falso marcado como Domain Admin.

  2. 02

    Persistencia post-compromiso que permite reentrar al dominio aunque se reseteen contrasenas.

Preguntas frecuentes

¿Qué es Golden Ticket?

Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

¿Qué significa Golden Ticket?

Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.

¿Cómo defenderse de Golden Ticket?

Las defensas contra Golden Ticket combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Términos relacionados

Véase también