Kerberoasting
¿Qué es Kerberoasting?
KerberoastingAtaque offline de contraseñas que solicita tickets de servicio Kerberos para cuentas de servicio y rompe la parte cifrada para recuperar sus contraseñas en texto claro.
Kerberoasting, descrito por primera vez por Tim Medin en la DerbyCon 2014, abusa de una propiedad fundamental de Kerberos: cualquier usuario de dominio autenticado puede solicitar un ticket de servicio (TGS-REP) para cualquier Service Principal Name (SPN), y parte de ese ticket se cifra con el hash de contraseña NTLM de la cuenta de servicio. El atacante nunca toca el servicio objetivo: enumera los SPN (mediante LDAP, setspn, Rubeus o el GetUserSPNs de Impacket), solicita los tickets, exporta los blobs cifrados y los rompe offline con Hashcat (modo 13100) o John the Ripper. No intervienen privilegios elevados ni bloqueos de cuenta, por lo que las cuentas de servicio con contraseñas débiles y no rotadas a menudo caen en cuestión de horas.
El riesgo es mayor con los tickets RC4-HMAC heredados (etype 23), que se rompen mucho más rápido que AES; los atacantes degradan con frecuencia las peticiones a RC4 de forma intencionada. MITRE ATT&CK lo registra como T1558.003. Es un favorito de los afiliados de ransomware y fue central en compromisos de Active Directory ampliamente reportados, porque las cuentas de servicio suelen tener privilegios excesivos. Defensas: usar contraseñas aleatorias de más de 25 caracteres o cuentas de servicio administradas por grupo (gMSA/dMSA) con rotación automática, exigir tipos de cifrado AES, eliminar los SPN innecesarios de las cuentas privilegiadas, desplegar SPN señuelo (honeypot) y alertar sobre el Event ID 4769 que muestre peticiones masivas de tickets RC4.
flowchart TD A[Usuario de dominio sin privilegios] -->|"1. Enumerar SPNs vía LDAP"| B[Active Directory] A -->|"2. Solicitar TGS para SPN (forzar RC4)"| C[KDC / Controlador de dominio] C -->|"3. TGS-REP cifrado con<br/>el hash de la cuenta de servicio"| A A -->|"4. Exportar ticket"| D[Cracking offline<br/>Hashcat modo 13100] D -->|"5. Contraseña débil recuperada"| E[Compromiso de la cuenta de servicio<br/>→ movimiento lateral / DA]
● Ejemplos
- 01
Ejecutar Rubeus kerberoast desde un usuario sin privilegios para recolectar tickets TGS y luego romperlos con Hashcat.
- 02
Descubrir que un Domain Admin tiene un SPN con una contraseña débil y escalar hasta el compromiso del dominio.
● Preguntas frecuentes
¿Qué es Kerberoasting?
Ataque offline de contraseñas que solicita tickets de servicio Kerberos para cuentas de servicio y rompe la parte cifrada para recuperar sus contraseñas en texto claro. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Kerberoasting?
Ataque offline de contraseñas que solicita tickets de servicio Kerberos para cuentas de servicio y rompe la parte cifrada para recuperar sus contraseñas en texto claro.
¿Cómo defenderse de Kerberoasting?
Las defensas contra Kerberoasting combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.