Para obtener más información, lea las siguientes secciones o vea este breve vídeo sobre la prueba de contraseñas débiles (WPT).

Introducción a la WPT

La WPT es una herramienta gratuita que examina su Active Directory (AD) en busca de contraseñas susceptibles a ataques relacionados con contraseñas.

Esta se conecta a su AD para recuperar su tabla de contraseñas mediante algoritmos de cifrado y contraseñas con hash. Luego, la herramienta analiza las contraseñas frente a diez posibles vulnerabilidades de contraseñas.

Los resultados indicarán qué cuentas de usuarios han suspendido la prueba y por qué. Esta información le da la capacidad de mejorar los requisitos de las contraseñas de su organización en términos de seguridad, así como formar a sus usuarios en prácticas relacionadas con las contraseñas seguras o llevar a cabo otras acciones para contribuir a la seguridad de la organización.

Requisitos del sistema y requisitos previos

Para ejecutar la WPT, su sistema debe cumplir los siguientes requisitos:

• Windows 10 o posterior (32 o 64 bits), Windows Server 2016 o posterior
• Active Directory (AD), en ejecución en Windows Server 2008 R2 o posterior
• Capacidad de acceder al controlador de dominio (DC)
• Acceso a Internet
• .NET Framework 4.7.2 se instalará si es necesario
• Dos procesadores, como mínimo
• 2 GB de RAM, como mínimo
• 1 GB de espacio disponible en el disco duro (HDD) en la unidad de sistema, como mínimo
• Control de cuentas de usuario (UAC) habilitado

Le recomendamos ejecutar esta prueba en un sistema distinto a su DC, ya que el proceso de análisis puede aumentar temporalmente el tráfico en la red y el uso de la unidad central de procesamiento (CPU) de manera significativa.

Para la instalación, necesitará la siguiente información:

1. La clave de licencia que recibió por correo electrónico al registrarse para la prueba
2. El nombre de dominio de su AD (por ejemplo, MiDominio.com o MiDominio.local)
3. El nombre de su DC
4. Las credenciales para conectarse a su AD

Instalación y configuración

Una vez que cumpla los requisitos y requisitos previos del sistema, podrá instalar la WPT y proceder a su configuración. Para comenzar, siga estos pasos:

1. Regístrese para descargar la herramienta WPT desde la página de la WPT y descargue el archivo de instalación.
2. Compruebe su correo electrónico para conocer su clave de licencia única para la WPT, ya que la necesitará durante el proceso de configuración.
3. Ejecute el archivo de instalación de la WPT.
4. Revise y acepte el acuerdo de licencia. A continuación, haga clic en Instalar para completar la instalación.
5. Haga clic en Finalizar para abrir la WPT.
6. Introduzca la clave de licencia del paso 1 y haga clic en Aceptar.
7. En Detalles de Active Directory, introduzca los datos solicitados de Active Directory (AD):
   • El nombre de dominio de su AD
   • El nombre de su controlador de dominio (DC)
8. En Credenciales, introduzca el nombre de usuario y la contraseña de la cuenta creada, que debe tener los permisos Replicar cambios de directorio y Replicar todos los cambios de directorio habilitados.
9. Haga clic en Comenzar prueba para que dé comienzo.
10. La prueba analizará sus cuentas de AD en busca de contraseñas débiles. En función del tamaño de su AD y del rendimiento de la estación de trabajo, este proceso puede tardar uno o varios minutos.
11. Los resultados se mostrarán en la pantalla en cuanto se complete la prueba. Para entender todas las vulnerabilidades, lea la siguiente sección.

Interpretación de los resultados

Los resultados de la WPT mostrarán el número de cuentas vulnerables y qué vulnerabilidad afecta a cada cuenta. Las siguientes secciones le ayudarán a analizar los resultados y a entender los tipos de vulnerabilidades encontradas entre las contraseñas.

Consulta de los resultados

Las cuentas de su Active Directory (AD) figurarán como filas individuales. En cada fila, las casillas marcadas indicarán las vulnerabilidades específicas encontradas en cada cuenta. También puede buscar una cuenta concreta si introduce caracteres en el cuadro de búsqueda.

Además, verá un gráfico circular donde se compara el número de vulnerabilidades encontradas y sus tipos. Podrá usarlo para determinar las vulnerabilidades más frecuentes entre las contraseñas de su organización.

Si quiere analizar una vulnerabilidad concreta, puede filtrar los resultados por tipo de fallo. Para ello, haga clic en un tipo de fallo específico en el lateral izquierdo de la ventana. Tras esto, solo aparecerán en la lista las cuentas con dicho tipo de fallo.

A continuación, encontrará información adicional sobre la interfaz de usuario de la WPT:

1. Puede filtrar sus resultados por tipo de error haciendo clic en la barra lateral situada a la izquierda de la página.
2. Puede buscar cuentas de AD específicas en la barra de búsqueda.
3. Las marcas de verificación presentes en cada fila indican el tipo de vulnerabilidad de contraseña encontrada en cada cuenta.
4. Puede exportar los resultados como una hoja de cálculo Excel o como un archivo PDF.
5. Haga clic en Volver a ejecutar prueba para ejecutar la WPT de nuevo. Le recomendamos guardar los resultados actuales antes de hacer clic en este botón.

Tipos de fallos

La WPT analiza sus datos en busca de diez tipos de fallos distintos que pueden hacer que su organización sea vulnerable ante ataques. Puede consultarlos a continuación:

1. Weak Password (Contraseña débil): Este fallo indica que la contraseña de la cuenta afectada coincide con una que figura en nuestro diccionario de contraseñas débiles. Estas contraseñas son muy comunes, fáciles de adivinar o los ciberdelincuentes podrían tener acceso a ellas como resultado de antiguas violaciones de seguridad de los datos.
2. Shared Password (Contraseña compartida): Este fallo señala que la cuenta afectada comparte una contraseña con, al menos, otra cuenta.
3. Empty Password (Contraseña vacía): Este fallo detecta cuentas que no tienen una contraseña establecida.
4. Clear Text Password (Contraseña no cifrada): Este fallo incluye contraseñas que están almacenadas sin cifrar en un Active Directory (AD). Esto significa que las contraseñas de AD de los usuarios se almacenan con cifrado reversible.
5. Password Not Required (Contraseña no obligatoria): Este fallo engloba aquellas cuentas que pueden no tener contraseñas.
6. Password Never Expires (Contraseña que no caduca nunca): Este fallo indica que la cuenta tiene una contraseña sin una caducidad establecida. Por este motivo, aunque la casilla Contraseña que no caduca nunca no esté marcada en las propiedades del usuario, su contraseña no caducará nunca. La WPT comprobará la configuración de caducidad de la contraseña en las políticas de dominio de la organización, las políticas de contraseñas con personalización avanzada y las propiedades del usuario.
7. LM Hash Password (Contraseña de hash LM): Este fallo determina que la cuenta afectada usa un hash de LAN Manager, que es un método obsoleto. Estas contraseñas son vulnerables ante ataques por fuerza bruta y pueden descifrarse en poco tiempo.
8. AES Encryption Not Set (Cifrado AES sin establecer): Este fallo muestra que la cuenta no usa el Estándar de cifrado avanzado (AES) para cifrar la contraseña del usuario. Este método cifra las contraseñas con una clave de 128 o 256 bits. Las contraseñas que usan el cifrado AES son menos vulnerables ante ataques.
9. DES-Only Encryption (Cifrado solo para DES): Este fallo indica que las cuentas afectadas se configuraron usando el mecanismo del Estándar de cifrado de datos (DES), ya retirado. Esto podría ser el resultado de un software obsoleto que no sabe cómo reaccionar ante el AES.

10. Missing Pre-Authentication (Falta la autenticación previa): Este fallo señala aquellas cuentas que tienen desactivada la autenticación previa, un mecanismo de seguridad. Al habilitarla, la autenticación previa crea una solicitud de autenticación cifrada para que se registren los intentos de autenticación de la cuenta.

    Existen riesgos de que esta cuenta sufra un ataque por fuerza bruta. Este tipo de ataques pueden producirse en un entorno sin conexión y son difíciles de detectar.

Configuración

Hay diferentes ajustes entre los que elegir para personalizar la WPT. Para obtener más información, lea las siguientes subsecciones.

Vulnerabilidades opcionales

Puede habilitar o deshabilitar dos vulnerabilidades de contraseñas en el análisis de la WPT: Cifrado AES sin establecer o Contraseña que no caduca nunca. Para acceder a esta configuración, haga clic en el icono del engranaje en la esquina superior derecha de la ventana.

Contraseñas personalizadas

La WPT emplea una vasta biblioteca de contraseñas para determinar si la contraseña de un usuario es débil. Si quiere incluir contraseñas concretas en el análisis, puede importar un archivo de texto que las incluya. Para acceder a esta configuración, haga clic en el icono del engranaje en la esquina superior derecha de la ventana.

Antes de importar su archivo de texto, asegúrese de que tenga un tamaño inferior a 10 MB y que solo incluya una contraseña en cada línea del archivo.

Idioma

Puede cambiar el idioma de la WPT haciendo clic en el nombre del idioma en la esquina inferior derecha de la ventana.

Seguridad

Al usar la WPT, se garantizan la seguridad tanto de la información de los usuarios como del Active Directory (AD). Los resultados de la prueba solo detectan las cuentas de usuario que la suspendieron y el motivo del suspenso, de forma que pueda tomar las medidas pertinentes.

A continuación, se detalla cómo se gestionan los datos durante la WPT:

• Durante la prueba, no se transmitirá en ningún momento ningún dato de su AD a KnowBe4.
• Los datos obtenidos de su AD se someten a un cifrado.
• La WPT no muestra las contraseñas de ninguna de las cuentas de usuario de AD.
• Las contraseñas en AD presentan el formato con hash, y este formato no será visible durante la prueba.
• La información obtenida durante la prueba se guardará en la memoria local y no en el disco.