Un Golden Ticket es un ticket Kerberos falsificado que otorga acceso total y persistente a todo un dominio de Active Directory. El atacante se hace pasar por cualquier usuario, incluido el administrador del dominio, sin necesidad de volver a robar contraseñas. El golden ticket es uno de los ataques de persistencia de red más temidos porque, una vez ejecutado, un active directory hack de este tipo sobrevive a cambios de contraseña, reinicios y hasta a la mayoría de auditorías rutinarias. Si trabajas en seguridad corporativa, entender el ticket Kerberos y cómo se falsifica no es opcional: es la diferencia entre expulsar a un intruso en una tarde o descubrir un año después que llevaba viviendo en tu red desde antes de las últimas Navidades.
Qué es Kerberos y por qué es el corazón de Active Directory
Kerberos es el protocolo de autenticación que usa Active Directory desde Windows 2000. Su lógica es sencilla: en lugar de enviar la contraseña en cada acceso, reparte "tickets" que demuestran quién eres.
El componente central se llama KDC (Key Distribution Center), y vive en cada controlador de dominio. Cuando inicias sesión, el KDC te entrega un TGT (Ticket Granting Ticket). Con ese TGT pides tickets de servicio para acceder a recursos concretos: un servidor de ficheros, una base de datos, lo que sea.
Aquí está la joya que buscan los atacantes: todos los TGT del dominio se firman con una única clave, la del cuenta KRBTGT. Es una cuenta de servicio oculta que casi nadie toca. Su hash NTLM es, literalmente, la llave maestra del reino.
Cómo funciona el ataque Golden Ticket paso a paso
Un ataque a Kerberos de tipo Golden Ticket no explota una vulnerabilidad de software concreta. Explota el diseño del protocolo. Si tienes el hash de KRBTGT, puedes fabricar TGT válidos tú mismo, sin preguntarle nada al KDC.
El flujo habitual es este:
- Compromiso inicial. El atacante entra por phishing, credenciales robadas o una vulnerabilidad expuesta. Nada exótico todavía.
- Escalada a Domain Admin. Necesita privilegios sobre un controlador de dominio para lo siguiente.
- Extracción del hash KRBTGT. Con herramientas como Mimikatz (comando DCSync) o Impacket (secretsdump.py), vuelca el hash de la cuenta KRBTGT desde la base de datos NTDS.dit.
- Forja del ticket. Con ese hash, el SID del dominio y un nombre de usuario cualquiera, genera un TGT con la duración que le dé la gana. Diez años, por ejemplo. Kerberos no valida esa caducidad de forma estricta.
- Acceso total y persistente. El ticket falso pasa todos los controles porque está firmado con la clave legítima. El KDC lo acepta sin rechistar.
La parte perversa: el ticket Kerberos falsificado puede pertenecer a un usuario que ni siquiera existe. El atacante inventa "Administrador2" con los privilegios del grupo Domain Admins, y el dominio se lo cree.
Por qué el Golden Ticket es la pesadilla de la persistencia de red
Cambiar la contraseña del administrador comprometido no sirve de nada. El golden ticket no depende de esa contraseña, sino del hash de KRBTGT. Esa es la lección más incómoda de este active directory hack: la limpieza convencional no lo toca.
Para invalidar de verdad un Golden Ticket, hay que rotar la contraseña de KRBTGT dos veces. Dos, no una. La cuenta mantiene el hash actual y el anterior por compatibilidad, así que un solo cambio deja la puerta entreabierta. Microsoft publica un script oficial para esta rotación precisamente por lo delicado del asunto.
Casos reales lo confirman. Firmas como Mandiant y CrowdStrike han documentado múltiples incidentes en los que los atacantes usaron técnicas de forja de tickets para mantener acceso durante meses. El grupo APT29 (ligado a operaciones de inteligencia rusas) ha empleado manipulación de Kerberos en campañas de espionaje de larga duración.
Este ataque comparte familia con otras técnicas que conviene conocer. Si te interesan los métodos silenciosos de acceso a cuentas corporativas, tenemos un desglose del password spraying, el ataque silencioso a cuentas empresariales que suele preceder a la escalada de privilegios.
Golden Ticket vs Silver Ticket: no confundas a los primos
Se parecen, pero no son lo mismo. Aquí la comparativa rápida:
| Característica | Golden Ticket | Silver Ticket |
|---|---|---|
| Clave usada | Hash de KRBTGT | Hash de la cuenta del servicio |
| Tipo de ticket | TGT (acceso a todo) | TGS (acceso a un servicio) |
| Alcance | Todo el dominio | Un solo servicio |
| Contacto con el KDC | No necesario tras la forja | Ninguno, es más sigiloso |
| Detección | Difícil | Muy difícil |
El Silver Ticket es más limitado pero más discreto, porque nunca habla con el controlador de dominio. El Golden Ticket es la bomba nuclear: todo el dominio, para siempre, hasta que rotes KRBTGT.
Cómo detectar y defenderse de un Golden Ticket
La mala noticia ya la sabes: prevenir la forja del ticket en sí es imposible por diseño. La buena: puedes hacer que robar el hash KRBTGT sea muy difícil y detectar el uso anómalo de tickets.
Medidas concretas que funcionan:
- Protege los controladores de dominio como si fueran el Fort Knox. Nadie debería poder ejecutar DCSync salvo cuentas estrictamente controladas.
- Modelo de tiers administrativos. Separa cuentas de administración de estaciones de trabajo y servidores. Un admin de dominio jamás debería loguearse en un portátil de usuario.
- Rota KRBTGT periódicamente. Dos veces, con el intervalo recomendado entre cambios para no romper la replicación. Idealmente cada pocos meses.
- Vigila los eventos de Kerberos. Los IDs 4768 y 4769 registran solicitudes de tickets. Tickets con duraciones anómalas o usuarios inexistentes son banderas rojas.
- Despliega detección de comportamiento. Soluciones como Microsoft Defender for Identity (antes Azure ATP) buscan patrones típicos de forja de tickets.
- Tarjetas inteligentes y MFA para cuentas privilegiadas reducen la superficie de robo de credenciales inicial.
Si estás construyendo la defensa desde la base, empieza por el sistema operativo del servidor. Nuestra guía de hardening básico de Linux aplica los mismos principios de superficie mínima que necesitas también en entornos Windows: menos servicios expuestos, menos cuentas con privilegios, menos regalos para el atacante.
Y no olvides el eslabón humano. La mayoría de estos ataques empiezan con un correo. Aprender a reconocer un clone phishing y otros emails duplicados fraudulentos corta la cadena antes de que nadie pise un controlador de dominio. Aquí es donde un filtro de correo con IA como MataSpam se gana el sueldo: lo que no llega a la bandeja de entrada no se clica.
Preguntas frecuentes
¿Se puede eliminar un Golden Ticket sin reconstruir el dominio?
Sí, pero requiere rotar la contraseña de la cuenta KRBTGT dos veces seguidas, respetando el intervalo de replicación entre ambos cambios. Un solo cambio no invalida los tickets existentes por el mecanismo de doble clave del protocolo. Microsoft ofrece un script oficial para hacerlo con seguridad.
¿Cuánto dura un Golden Ticket falsificado?
El atacante decide la duración al forjarlo, y suele ponerla exageradamente larga (hasta diez años). Kerberos no valida de forma estricta esa caducidad en tickets forjados, así que solo la rotación de KRBTGT lo detiene realmente.
¿Necesito ser administrador del dominio para crear un Golden Ticket?
Para extraer el hash de KRBTGT sí, necesitas privilegios sobre un controlador de dominio, normalmente Domain Admin. Una vez tienes ese hash, ya no necesitas más credenciales: puedes fabricar tickets para cualquier usuario indefinidamente.
¿Detecta un antivirus normal un ataque Golden Ticket?
Un antivirus tradicional no. Detecta herramientas como Mimikatz si no están ofuscadas, pero el uso del ticket falso es tráfico Kerberos legítimo a ojos del sistema. Necesitas soluciones de detección de identidad como Microsoft Defender for Identity y análisis de logs 4768/4769.
¿Qué diferencia hay entre Golden Ticket y Pass-the-Hash?
Pass-the-Hash reutiliza el hash de una contraseña para autenticarse como ese usuario concreto. El Golden Ticket va un nivel más arriba: falsifica el propio mecanismo de tickets del dominio, permitiendo suplantar a cualquiera con persistencia total.
El siguiente paso
Abre el visor de eventos de tu controlador de dominio ahora mismo y busca los IDs 4768 y 4769. Revisa si hay solicitudes de TGT con duraciones anormalmente largas o para cuentas que no reconoces. Si ves algo raro, ya tienes el primer hilo del que tirar. Y si quieres blindar el punto de entrada más común de estos ataques —el correo—, échale un ojo a nuestros artículos sobre SPF, DKIM y DMARC y monta tu defensa antes de que alguien te forje un ticket con tu nombre.


