La prueba de contraseñas descifradas (BPT) es una herramienta gratuita que analiza las cuentas en su Active Directory (AD) en busca de distintos tipos de vulnerabilidades. BPT revisará si alguna de las direcciones de correo electrónico de los usuarios de su dominio se ha visto involucrada en alguna filtración de credenciales anterior y si alguna de las cuentas de AD está usando en estos momentos contraseñas que hayan aparecido en filtraciones de contraseñas en el pasado. Al usar esta prueba, aumentará el grado de concienciación de su organización, ya que sabrá si corre riesgo frente a un ataque relacionado con las contraseñas.

¿Por qué usar la prueba de contraseñas descifradas?

La población general suele usar las mismas contraseñas en un gran número de cuentas. A menudo, las personas usuarias no son conscientes de cuándo tienen lugar filtraciones de datos que les afectan. Por lo tanto, no toman medidas en respuesta a estas, como cambiar las contraseñas de sus cuentas en línea.

Una vez que tiene lugar una violación de datos y las credenciales se filtran, cualquier ciberdelincuente puede encontrar esta información rápidamente y usarla para hacerse pasar por las personas usuarias involucradas. También intentará usar la contraseña que se ha filtrado en todas las cuentas de su dominio, lo que aumenta las probabilidades de que consiga acceder a ellas.

Cada día se producen nuevas filtraciones, por lo que usar esta herramienta, junto con el resto de las medidas que ya tiene implementadas, ayudará a reducir los riesgos que las violaciones de seguridad de datos entrañan para su organización. Como mínimo, le recomendamos usar esta herramienta una vez al mes.

¿Cómo funciona?

La prueba de contraseñas descifradas se conectará a su AD para recuperar su(s) dominio(s), así como la tabla de contraseñas, que incluye sus contraseñas con hash, y el algoritmo de cifrado. Después, la herramienta cotejará su dominio y las contraseñas con una base de datos que contiene datos filtrados, con más de 1000 millones de contraseñas que se han hecho públicas.

¿Estará a salvo mi información?

Sí. Cabe destacar que esta herramienta nunca mostrará ni comunicará las contraseñas de las cuentas de usuarios de su AD como tal, ni tampoco mostrará ni comunicará las credenciales originales que estaban en uso durante la violación de seguridad de datos asociada a su dominio. Las contraseñas en AD incluyen un hash y no serán visibles en ningún momento. Los resultados de la prueba permitirán identificar las cuentas que estén usando contraseñas vulnerables, de forma que pueda corregir esta situación.

Al usar esta herramienta, ningún dato confidencial saldrá de su red; solo se transferirán para la prueba los dominios en su Active Directory. La información obtenida durante la prueba se guardará en la memoria local y no en el disco.

Requisitos del sistema y requisitos previos

Requisitos del sistema

Para ejecutar una prueba de contraseñas descifradas, debe usar un sistema que cumpla los siguientes requisitos:

• Windows 10 o posterior (32 o 64 bits), Windows Server 2016 o posterior
• Active Directory (AD), en ejecución en Windows Server 2008 R2 o posterior
• Capacidad de acceder al controlador de dominio (DC)
• Acceso a Internet
• .NET Framework 4.7.2 (se instalará si es necesario)
• Dos procesadores, como mínimo
• 2 GB de RAM, como mínimo
• 1 GB de espacio disponible en el disco duro (HDD) en la unidad de sistema, como mínimo
• Control de cuentas de usuario (UAC) habilitado

También debería ejecutar esta prueba en un sistema distinto a su DC, ya que el proceso de análisis puede aumentar temporalmente el tráfico en la red y el uso de la CPU de manera significativa.

Requisitos previos

Para la instalación, necesitará la siguiente información:

1. Una clave de licencia, que se le enviará por correo electrónico una vez que se registre para la prueba.
2. El nombre de dominio de su AD (por ejemplo, MiDominio.com o MiDominio.local).
3. El nombre de su controlador de dominio (DC).
4. Las credenciales para conectarse a su AD.
   • En este artículo le mostraremos cómo añadir de forma rápida los permisos necesarios a una cuenta de su AD: Cómo otorgar permisos «Replicating Directory Changes» (Replicar cambios de directorio)Cómo otorgar permisos «Replicating Directory Changes» (Replicar cambios de directorio) (el enlace se abrirá en una nueva ventana)
   • De forma predeterminada, un administrador de dominio no tiene permiso para acceder a esta información; por tanto, usar la herramienta con una cuenta de administrador de dominio no implica que pueda ejecutar la prueba correctamente.
   • Le recomendamos que cree una cuenta nueva en el AD con los permisos mencionados para poder llevar a cabo esta prueba. Una vez que se complete la prueba, debería eliminar esta nueva cuenta, siguiendo el principio del menor privilegio.

   • ¿Por qué debería crear una cuenta nueva? Al crear una cuenta nueva, le será más fácil determinar cuándo tuvo lugar esta prueba y qué cuenta accedió a la información. Esto podría serle útil en el futuro. También le facilitará eliminar los permisos mencionados: en cuanto finalice la prueba, podrá eliminar la cuenta de usuario recién añadida.

     ¡Importante! Para que la prueba se ejecute correctamente, las credenciales que se usan para conectarse al AD con la prueba de contraseñas descifradas deben tener habilitados los permisos «Replicating Directory Changes» (Replicar cambios de directorio) y «Replicating Directory Changes All» (Replicar todos los cambios de directorio). Estos permisos le permitirán obtener una copia de su tabla de contraseñas para su análisis.

Instalación y configuración

Para instalar y configurar la prueba de contraseñas descifradas, siga estos pasos:

1. Diríjase a https://www.knowbe4.com/breached-password-test https://www.knowbe4.com/breached-password-test (el enlace se abrirá en una nueva ventana).

2. En el formulario Sign up for your Free Test (Registrarse para obtener una prueba gratuita), introduzca su información y haga clic en Download Now! (Descargar ahora). A continuación, le enviaremos por correo electrónico la clave de licencia única que necesitará para llevar a cabo la prueba.

   

3. Desde la página de agradecimiento, descargue el archivo EXE para la instalación.

   Nota: También puede instalar el archivo opcional Checksum.

4. Haga doble clic en el archivo que se ha descargado para abrir el asistente de configuración de la prueba de contraseñas descifradas de KnowBe4. Haga clic en Yes (Sí) para permitir que el programa haga cambios en su ordenador si recibe un aviso al respecto.

   

5. Revise y acepte el acuerdo de licencia. A continuación, haga clic en Install (Instalar) para ejecutar el asistente de instalación.

   

6. Para continuar, haga clic en Next (Siguiente) cuando se le solicite. Después, haga clic en Finish (Finalizar) para completar la instalación. De forma automática, la herramienta de prueba de contraseñas descifradas se guardará en su escritorio. Si ha seleccionado la casilla Launch KnowBe4 Breached Password Test (Lanzar prueba de contraseñas descifradas de KnowBe4), la herramienta se abrirá automáticamente.

   

7. Cuando abra la herramienta de prueba de contraseñas descifradas, se mostrará la ventana emergente License Info (Información sobre la licencia) en la ventana principal. En el campo License Key (Clave de licencia) en la ventana emergente, introduzca la clave de licencia única que recibió por correo electrónico en la dirección con la que se registró. A continuación, haga clic en OK (Aceptar) para volver a la ventana principal.

   

8. En el primer campo de Active Directory Details (Detalles de Active Directory), introduzca el nombre de DNS de su Active Directory (AD); por ejemplo, midominio.com o midominio.local.

   

9. En el segundo campo de Active Directory Details (Detalles de Active Directory), introduzca el nombre de su controlador de dominio (DC); por ejemplo, DC1.

   Nota: También puede introducir la dirección IP, pero le recomendamos que introduzca el nombre para mayor fiabilidad y para garantizar que las conexiones seguras sigan funcionando en caso de que cambie su red.

10. En el primer campo de Credentials (Credenciales), introduzca el nombre de usuario de la cuenta creada.

    Nota: La cuenta debe contar con los permisos Replicating Directory Changes (Replicar cambios de directorio) y Replicating Directory Changes All (Replicar todos los cambios de directorio). Asimismo, puede seleccionar la casilla Use current logged on user (Usar usuario con el que se ha iniciado sesión) para usar las credenciales de la cuenta con la que ha iniciado sesión en estos momentos.
11. En el segundo campo de Credentials (Credenciales), introduzca la contraseña de la cuenta creada.
12. Haga clic en Start Test (Iniciar prueba) para que la prueba comience.

La prueba primero analizará los dominios de su AD por si estuvieran implicados en violaciones de seguridad de datos. Después, cotejará las contraseñas actuales de su AD con las contraseñas que aparezcan en violaciones de seguridad de datos en las que figuren usuarios de su dominio. Este proceso suele tardar menos de un minuto en completarse, pero podría llevar más tiempo en función del rendimiento de su Active Directory y la estación de trabajo.

Los resultados se mostrarán en la pantalla en cuanto se complete la prueba.

Análisis de los resultados

Los resultados de la prueba de contraseñas descifradas mostrarán si las cuentas que usan el dominio de su organización figuran en una violación de seguridad de datos. Asimismo, mostrará si las contraseñas que se han hecho públicas de dichas cuentas filtradas se encuentran en uso en las cuentas de su AD en estos momentos. Nota: Las cuentas de AD no habilitadas no se incluirán en el análisis de BPT.

Los resultados de la prueba darán lugar a una de las siguientes tres situaciones:

Situación 1: «¡Estupendas noticias! No hemos encontrado ninguno de sus dominios en la lista actual de violaciones de seguridad».

Si los resultados de la prueba de contraseñas descifradas indican esta conclusión, significa que la prueba ha escaneado los dominios de su AD y no ha encontrado ninguna coincidencia entre las cuentas que usan su dominio y las cuentas que figuran en la base de datos de contraseñas filtradas.

Asegúrese de volver a ejecutar este análisis una vez a la semana o al mes, ya que añadiremos nuevas violaciones de seguridad de datos de forma periódica.

Situación 2: «Se han encontrado XX contraseñas de su dominio en violaciones de seguridad. Ninguna de estas contraseñas se encuentran en uso actualmente en su Active Directory».

Si los resultados de la prueba de contraseñas descifradas presentan esta conclusión, significa que la prueba ha detectado que uno o más de sus dominios se encuentran involucrados en violaciones de seguridad de datos. Sin embargo, las contraseñas que estaban asociadas a estas cuentas durante dicha violación no se encuentran en uso actualmente en su AD.

Este es un resultado positivo; sin embargo, las personas usuarias a menudo vuelven a usar contraseñas antiguas. Por tanto, asegúrese de ejecutar esta prueba con regularidad para mitigar de forma proactiva esta situación de vulnerabilidad. Le recomendamos que las personas usuarias reciban formación sobre concienciación en materia de seguridad, ya que aquellas que se han visto involucradas en violaciones de seguridad de datos son más propensas a convertirse en víctimas de ataques de ingeniería social y spear phishing (suplantación de identidad específica).

Situación 3: «XX cuentas usan en este momento contraseñas filtradas. Se han encontrado XX contraseñas de su dominio en violaciones de seguridad».

Si los resultados de la prueba muestran este mensaje, debería implementarse una llamada a la acción en las cuentas afectadas. La interfaz muestra las cuentas de Active Directory vulnerables que usan contraseñas que se han filtrado durante una violación de seguridad de datos. Cualquier ciberdelincuente podría encontrar estas contraseñas y utilizarlas contra las personas de su organización, lo que haría que su organización fuese más propensa a sufrir accesos no autorizados.

Le recomendamos encarecidamente que las personas usuarias afectadas cambien sus contraseñas cuanto antes. Debido a que las personas a menudo vuelven a usar contraseñas antiguas, una vez que haya corregido esta situación, incluya la prueba de contraseñas descifradas dentro de sus controles de seguridad continuos y ejecútela de manera periódica.

Exportación de los resultados

Puede ver los resultados en pantalla de forma inmediata, aunque también los puede descargar en el disco como hoja de cálculo Excel (.xlsx) o como archivo PDF. Si piensa volver a ejecutar la prueba, debería conservar los resultados.

Para guardar los resultados, haga clic en «Export to Excel» (Exportar a Excel) o «Export to PDF» (Exportar a PDF), como se muestra a continuación. Aparecerá una ventana que le permitirá ponerle nombre al archivo y elegir dónde guardarlo.

Preguntas frecuentes

1. ¿Puedo ver las contraseñas que se han filtrado?

   No, las contraseñas se presentan en un formato con hash y no se podrán visualizar.

2. ¿Se generan archivos de registro durante la prueba?

   Sí, la primera vez que ejecuta una prueba de contraseñas descifradas se genera un archivo de registro. Encontrará el archivo en C:\Program Data\KnowBe4\Breached Password Test.

3. Aparece un mensaje de error y la prueba no se ha ejecutado. ¿Qué debería hacer?

   Si ha visto un error y la prueba no se ha podido completar, consulte la siguiente tabla para analizar dónde podría estar el problema:

   Mensaje de error	Problema
   La cuenta de Active Directory con la que está intentando ejecutar la prueba no cuenta con los permisos Replicar cambios de directorio. Consulte los requisitos previos necesarios en nuestro manual. Encontrará un enlace a este más abajo.	La cuenta que está usando para la prueba no dispone de los permisos correctos. Asegúrese de que ha creado una cuenta con los siguientes dos permisos: Replicating Directory Changes (Replicar cambios de directorio) y Replicating Directory Changes All (Replicar todos los cambios de directorio). Consulte el apartado anterior para obtener más información.
   La prueba no se ha podido ejecutar debido a que el nombre de usuario o la contraseña no son válidos. Revise las credenciales e intente llevar a cabo la prueba de nuevo.	No hemos podido conectarnos a su AD con las credenciales que nos ha facilitado. Asegúrese de que su nombre de usuario y contraseña sean correctos e intente ejecutar la prueba de nuevo.
   El servidor no se encuentra disponible. Revise su nombre de DNS e intente llevar a cabo la prueba de nuevo.	Este error significa que su nombre de DNS no es correcto o está en un formato incorrecto. Asegúrese de estar usando el formato midominio.com o midominio.local e intente llevar a cabo la prueba de nuevo.
   El servidor no se encuentra disponible. Revise el controlador de dominio e intente llevar a cabo la prueba de nuevo.	Este error significa que el nombre o la dirección IP de su controlador de dominio (DC) es incorrecto o que no se puede acceder al DC. Revise el nombre o la dirección IP del DC e intente realizar la prueba de nuevo.
   Se ha producido un error al validar la licencia.	Es probable que este error refleje una de las siguientes situaciones: a) la clave de la licencia que está usando no es válida; b) está intentando validar la clave de licencia a través de un proxy y, debido a esto, se produce un error. Si el error se debe a un proxy, bastará con que permita las conexiones a este dominio en la configuración de su proxy para permitir que se valide su clave de licencia: https://bpt.knowbe4.com/*

4. ¿Puedo ejecutar esta prueba si estoy usando Azure AD?

   No. Esta herramienta solo funciona con un AD local.

5. Mi antivirus ha marcado la herramienta como peligrosa. ¿Se trata de una herramienta peligrosa?

   No, no se trata de una herramienta peligrosa. El comportamiento de la prueba de contraseñas descifradas podría imitar el de algunas herramientas usadas por hackers para descifrar contraseñas. Este es el motivo por el que es posible que su antivirus haya marcado esta herramienta como posiblemente peligrosa.

6. Varias personas utilizan contraseñas filtradas. ¿Qué debo hacer ahora?

   En primer lugar, pídales a estas personas que cambien sus contraseñas cuanto antes.

   En segundo lugar, enséñeles prácticas de contraseñas recomendadas a través de formación sobre concienciación en materia de seguridad y recuérdeselas con frecuencia. Es importante que les explique a estas personas que no reutilicen contraseñas en distintas cuentas. KnowBe4 ofrece una serie de cursos sobre prácticas recomendadas en materia de contraseñas con los que podrá formarlas.

   Aunque no podemos decirle exactamente cómo prevenir vulnerabilidades de contraseñas en su organización, sí podemos indicarle una serie de recursos excelentes que le resultarán de gran ayuda.

   • TechNet: Configuring Password Policies (Configuración de las políticas de contraseñas) Configuring Password Policies (Configuración de las políticas de contraseñas) (el enlace se abrirá en una nueva ventana)
   • TechNet: Best Practices for Enforcing Password Policies (Prácticas recomendadas para el cumplimiento de las políticas de contraseñas) Best Practices for Enforcing Password Policies (Prácticas recomendadas para el cumplimiento de las políticas de contraseñas) (el enlace se abrirá en una nueva ventana)
   • Microsoft: Password Guidance (Orientación sobre contraseñas) (PDF descargable)Password Guidance (Orientación sobre contraseñas) (PDF descargable) (el enlace se abrirá en una nueva ventana)

7. ¿De dónde obtiene la herramienta los datos filtrados? ¿Puedo verlos?

   Los datos que se usan para la prueba de contraseñas descifradas se obtienen investigando información sobre violaciones de seguridad de datos disponibles de manera pública. Por motivos de privacidad y seguridad, la base de datos de la prueba de contraseñas descifradas constituye información confidencial. Asimismo, KnowBe4 colabora con Spycloud.com en busca de violaciones de seguridad pasadas. Spycloud es un recurso en línea de gran prestigio que está especializado en facilitar que las personas busquen sus direcciones de correo para comprobar si sus datos han aparecido en violaciones de seguridad de datos en el pasado.

8. ¿Hay alguna forma de saber quiénes son las personas usuarias de mi dominio cuyos datos se han filtrado?

   Por motivos de privacidad y seguridad, la prueba de contraseñas descifradas no puede facilitar datos sobre la cuenta original vulnerada asociada a su dominio. Sin embargo, si se registra registra (el enlace se abrirá en una nueva ventana) o revisa los resultados de EEC Pro, es posible que encuentre más información sobre las vulneraciones de seguridad de datos específicas en las que se han visto involucradas estas personas.