Por qué el hardening post-incidente es distinto
En entorno comprometido, el atacante dejó persistencia (Cobalt Strike Beacon, AnyDesk silencioso, cuentas admin creadas, tareas programadas, golden ticket Kerberos). Restaurar sin limpieza solo reactiva esos mecanismos. El hardening post-incidente combina: rotación total de credenciales, revisión de privilegios, eliminación de persistencia, cierre de vectores y despliegue de detección. Sin ello, el atacante vuelve por la misma puerta.
Errores que invalidan el hardening
- 1.Restaurar VM o backup previo sin pasos 1-3 primero. El backup previo puede contener persistencia. Las contraseñas/tickets previos siguen válidos sin reset.
- 2.Aplicar hardening sin re-verificar a los 30 días. Las configuraciones se revierten por automatización o GPO. La auditoría es proceso continuo.
- 3.Saltar el paso 1 (reset KRBTGT). Sin eso, el golden ticket sigue válido. El atacante vuelve sin detección.
Checklist de 10 ítems en secuencia
- 1
Reset KRBTGT 2 veces (24h de intervalo)
La cuenta KRBTGT es la llave maestra de Kerberos. Resetearla invalida todos los tickets golden/silver. El reset 2× es obligatorio por diseño del protocolo.
- 2
Reset de todas las contraseñas de admin
Domain Admin, Enterprise Admin, cuentas locales admin en cada servidor. No confíe en contraseñas previas al incidente.
- 3
MFA universal en acceso remoto
RDP, VPN, RMM (Atera, ConnectWise), paneles web. Sin excepción.
- 4
EDR moderno en todos los servidores
CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint. No Windows Defender gratuito.
- 5
Parches críticos aplicados
Exchange, Fortinet, Citrix NetScaler, Cisco AnyConnect, VMware vCenter. Verifique CVEs de los últimos 24 meses.
- 6
Deshabilitar SMBv1 en todos los hosts
WannaCry y variantes lo usan. Comando: Set-SmbServerConfiguration -EnableSMB1Protocol $false en cada host.
- 7
LSASS Protected Process Light (PPL)
Impide a Mimikatz volcar credenciales. Registry: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1.
- 8
Segmentación de red
VLAN separada para servidores, reglas de firewall internas negando tráfico lateral SMB/RDP entre estaciones.
- 9
Backup inmutable obligatorio
S3 Object Lock o Veeam Hardened. La reinfección sin backup inmutable es catastrófica.
- 10
Logging centralizado + alertas
Sentinel, Splunk o Wazuh. Sin log centralizado, la próxima invasión queda invisible hasta el cifrado.
Preguntas frecuentes
¿Cuánto tarda el hardening completo?
Para entorno de 50-200 servidores: 2-4 semanas con equipo dedicado. Los pasos 1-3 pueden hacerse en 24-48h. Los demás requieren más ventanas de mantenimiento.
¿El reset KRBTGT rompe alguna aplicación?
Típicamente no, si se hace correctamente. Aplicaciones con caché de ticket pueden necesitar reinicio. Documente el impacto antes en ambiente de prueba.
¿Puedo hacer hardening sin haber sido atacado?
Sí y se recomienda. Estos 10 ítems son baseline para cualquier Windows Server corporativo en 2026, no solo post-incidente. Saltar el reset KRBTGT si no hay indicio de compromiso.
¿EDR pago vale para PYME?
Sí. CrowdStrike Falcon Go o Microsoft Defender for Endpoint Plan 1 cuestan US$10-20/host/mes. ROI defensivo enorme comparado con el impacto de un ataque.
¿Necesita apoyo en hardening post-incidente?
Consultoría de hardening + auditoría + capacitación.