Passwordless Windows Hello For Business

 Estimados amigos de Inseguros !!!

Hoy quiero explicarte una idea que parece “teórica”, pero en realidad es la base de muchísimos ataques y defensas en entornos corporativos: Kerberos. Si entiendes bien Kerberos, entiendes mejor Active Directory, el SSO, los tickets, y por qué muchas intrusiones acaban girando alrededor de credenciales y sesiones.

La idea de Kerberos es muy sencilla si la visualizas como un sistema con tres partes: el usuario, el servicio al que quieres acceder, y el KDC (Key Distribution Center), que casi siempre es el controlador de dominio. Cuando tú haces logon en la red, tu equipo habla con el KDC y obtiene un TGT (Ticket Granting Ticket). Ese TGT es tu “carnet”: la prueba de que eres quien dices ser.

A partir de ahí, viene lo importante. Si tú quieres acceder a un recurso (por ejemplo, un file share SMB), no vas por la vida enviando tu contraseña al servidor cada vez. En lugar de eso, vuelves al KDC, le presentas parte de tu TGT y le pides un ticket para ese servicio. El KDC te devuelve un ticket de servicio (TGS) y tú se lo presentas al servidor. Ese ticket lleva una parte cifrada con la “clave” del servicio (en la práctica, su secreto/contraseña), para que el servicio pueda verificarlo y confiar en ti sin que tu contraseña vaya rebotando por la red.

Esto, en el fondo, es el SSO de toda la vida: autenticarse una vez y luego ir “pidiendo tickets” para servicios sin repetir credenciales. Y por eso Kerberos es tan relevante cuando hablamos de ataques a identidad, movimiento lateral, robo de tickets y abusos de sesión. Si estás trabajando en defensa, esto no es opcional.

Y ahora viene la parte moderna que mucha gente mezcla: Windows Hello for Business. A nivel marketing te lo venden como “biometría”, pero por debajo lo relevante es que es un modelo passwordless. La biometría (cara, huella, PIN) no es “la autenticación” en sí, es la forma de desbloquear el material criptográfico que se usa para autenticarte.

Windows Hello for Business tiene tres sabores: Cloud Kerberos Trust, Key Trust y Certificate Trust. Microsoft suele recomendar Cloud Kerberos Trust porque es el más fácil de desplegar, Key Trust es auto-firmado y Certificate Trust depende de PKI existente. Y aquí entra un concepto clave: PKINIT (Public Key Cryptography for Initial Authentication in Kerberos). En vez de “demostrar” quién eres solo con un secreto compartido, puedes firmar/validar parte del proceso usando criptografía de clave pública, y eso cambia mucho el juego.

Con Cloud Kerberos Trust, el flujo se parece bastante a lo que ya conocemos en Entra ID: el dispositivo firma un reto (nonce) con su clave privada, Entra verifica con la clave pública, y te devuelve el PRT (y claves de sesión) para operar. La gracia es que además se integra con Kerberos, y aparece el concepto de “partial TGT” (un TGT parcial). Una analogía útil es pensar en los Read-Only Domain Controllers: no quieres replicar “todo” a sitios donde no confías al 100%, pero sí quieres que puedan operar. Pues aquí la idea va por una línea parecida: habilitar funcionalidad sin tener que exponer o mover más secretos de los necesarios.

Y seguro que te estás haciendo la pregunta que se hace todo el mundo en empresa: vale, muy bonito lo passwordless, ¿y qué pasa con lo legacy y con NTLM? Aquí viene un detalle interesante: aunque tú no uses “la contraseña” de forma interactiva, la identidad sigue teniendo material derivado del password (por ejemplo, el NT hash) porque hay compatibilidad hacia atrás. En algunos flujos ese material adicional puede viajar para cubrir escenarios donde todavía se necesita NTLM. Por eso yo siempre digo que “passwordless” significa que tú no dependes del password para autenticarte en el día a día, no que mágicamente el concepto de password desaparezca de toda la capa de compatibilidad del sistema.

¿Y por qué te cuento todo esto? Porque si trabajas en ciberseguridad real de empresas, entender Kerberos, tickets, PRT, Hello for Business y el encaje con Entra ID te ayuda a defender mejor, a auditar mejor y a montar una arquitectura de identidad más resistente al phishing. Esto es exactamente lo que se trabaja cuando hablamos de hardening de Active Directory, gobierno de Entra ID y autenticación moderna en entornos corporativos.

Si te interesa aprenderlo bien, con mentalidad práctica, pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!