Las amenazas que acechan a la identidad corporativa no dejan de evolucionar y, cuando un atacante se cuela por el eslabón de la identidad, el impacto es duradero y costoso. En este contexto, auditar y reforzar Active Directory (AD) y su contraparte en la nube, Entra ID/Azure AD, se ha convertido en una necesidad cotidiana para TI y seguridad. Elegir bien las herramientas y entender qué aporta cada una es el primer paso para cerrar brechas antes de que alguien las explote.
Entre las opciones gratuitas más conocidas sobresalen Purple Knight (Semperis) y PingCastle (originada por Vincent Le Toux y actualmente vinculada al ecosistema de Netwrix). Ambas se ejecutan sin levantar polvo y aportan diagnósticos muy valiosos, pero su enfoque, su metodología y su público ideal difieren. Compararlas con lupa, sin pasar por alto sus límites y sus puntos fuertes, permite decidir cuándo usar una u otra o por qué combinarlas para sacarles más partido.
Seguridad de identidad: por qué centrarse en Active Directory y Entra ID
AD y Entra ID suelen concentrar el control de cuentas, permisos, autenticación y relaciones de confianza; si fallan, lo hace el corazón del acceso empresarial. Las intrusiones en estos sistemas pueden permanecer invisibles durante meses, exponer activos críticos y facilitar movimientos laterales. Por eso, reforzar la seguridad de la identidad pasa por priorizar AD y su capa en la nube. Herramientas de evaluación puntuales ayudan a obtener una foto clara del riesgo, mientras que las de seguimiento continuo permiten atajar desviaciones a tiempo.
PingCastle: radiografía basada en madurez del entorno AD
PingCastle nació como una herramienta de evaluación de Active Directory desarrollada en C# por Vincent Le Toux y consolidada en el mercado con una edición básica gratuita desde 2017. Su propósito es medir el riesgo y la madurez de seguridad de AD a partir de modelos y reglas, generando un informe de salud y riesgo muy enfocado a decisiones prácticas.
Qué hace bien PingCastle
Una de sus virtudes es traducir datos técnicos en información contextual: analiza subprocesos de AD, relaciones de confianza, cuentas privilegiadas y objetos obsoletos, entre otros. El resultado es una puntuación de riesgo y un informe detallado que puede consolidarse con otros para facilitar comparativas en el tiempo. Además, incorpora un mapa de Active Directory para visualizar jerarquías y trusts, lo cual agiliza la comprensión de entornos complejos y descubre dominios olvidados.
- Evaluación de riesgo y salud basada en modelos y reglas internas, con puntuación e informe de riesgos.
- Visibilidad de privilegios y rutas potenciales hacia objetos críticos, con foco en cuentas con acceso elevado.
- Mapeado de dominios y trusts para visualizar relaciones, incluidas consideraciones sobre la confianza con Azure AD/Entra ID.
- Consolidación de informes para benchmarking, KPIs y dashboards de gestión (en ediciones superiores).
PingCastle también va más allá del directorio y realiza escaneos de estaciones de trabajo en busca de prácticas inseguras. Detecta administradores locales excesivos, recursos compartidos mal protegidos, vulnerabilidades como WannaCry e incluso irregularidades en el tiempo de arranque, lo que ayuda a destapar puertas traseras y debilidades de delegación que podrían facilitar el movimiento lateral.
Cómo funciona y qué entrega
El motor de PingCastle recopila datos mediante consultas LDAP sin privilegios y WMI, y puede integrarse con scripts de PowerShell, y aplica un modelo de riesgos agrupado por categorías: objetos obsoletos, cuentas privilegiadas, trusts y anomalías. El informe resultante destaca problemas críticos (por ejemplo, protocolos de confianza desfasados, delegaciones frágiles, configuraciones Kerberos débiles o rutas de control inseguras) y otorga una puntuación de salud de AD: cuanto más baja, mejor.
En entornos híbridos, PingCastle puede informar sobre si la relación de confianza con Azure AD está bien asegurada. La vista del mapa y la consolidación de resultados son especialmente útiles para organizaciones con muchos dominios o múltiples relaciones de confianza, donde perder el hilo es sencillo.
Ediciones, licencia y alcance
La edición básica es gratuita para auditar tu propio entorno, mientras que las ediciones Auditor/Standard y Professional añaden capacidades avanzadas y soporte comercial. Se comercializan suscripciones como Auditor (alrededor de 3.449 $/año) y Professional (en el orden de 10.347 $ por dominio y año), además de una edición Enterprise con funcionalidades de consolidación y visión global para grandes compañías. El proyecto firma sus binarios y publica el código bajo la licencia OSL 3.0 (Non‑Profit), con restricciones para uso comercial sin licencia.
Limitaciones conocidas de PingCastle
En despliegues con muchos dominios, los informes pueden ser densos y algo difíciles de recorrer si no se establecen procesos y vistas de consolidación. La edición gratuita no incluye informes avanzados ni guías detalladas de remediación, y el enfoque se centra en indicadores de exposición y riesgo, no en señales de compromiso ya materializadas.
Purple Knight: indicadores de exposición y compromiso a golpe de clic
Semperis lanzó Purple Knight en 2021 como herramienta gratuita de evaluación de seguridad para AD y entornos híbridos. Desde entonces, se ha convertido en una de las opciones favoritas por su enfoque en Indicadores de Exposición (IOE) e Indicadores de Compromiso (IOC). Su objetivo es descubrir configuraciones riesgosas y evidencias de intrusión en AD, Entra ID/Azure AD e incluso Okta.
Indicadores, categorías y marcos de referencia
Purple Knight agrupa resultados en cinco grandes bloques: Delegación de AD, Seguridad de la infraestructura de AD, Seguridad de cuentas, Seguridad de directivas de grupo (GPO) y Seguridad Kerberos. El informe usa un “boletín” con nota por categorías y un porcentaje global, ofreciendo remedios priorizados, severidad (Informativo, Advertencia o Crítico) y mapeos a marcos como MITRE ATT&CK y ANSSI, además de referencias al modelo MITRE D3FEND.
- Más de un centenar de indicadores (y versiones recientes superan con holgura esa cifra) cubriendo vectores de ataque habituales.
- Diferencia entre IOE e IOC para separar mala configuración potencial de evidencia de compromiso activo.
- Guías de corrección prescriptivas y priorizadas por riesgo y probabilidad de explotación.
- Cobertura híbrida con AD local, Entra ID/Azure AD y soporte para Okta.
Experiencia de uso y reporting
La herramienta es portable y de interfaz gráfica. Descargas un ZIP, lo extraes y ejecutas el binario; al iniciarse, detecta bosques y dominios y permite seleccionar qué IOE/IOC ejecutar, una granularidad que agradecen tanto equipos azules como rojos. El escaneo suele completarse en minutos y genera un informe HTML que incluye un checklist de IOE críticos y explicaciones claras con enlaces a documentación.
La presentación tipo “tarjeta de calificaciones” resulta cómoda: una letra y un porcentaje, con peso distinto por categoría. Las descripciones incluyen el porqué, el impacto, el encaje en marcos de seguridad y pasos de remediación. Purple Knight se ejecuta en modo lectura, no realiza cambios en AD, y no “llama a casa”; puede repetirse periódicamente sin riesgo para producción.
Registro, versión comunitaria y desarrollo
Para descargar la herramienta, Semperis solicita un registro y proporciona el enlace; además, notifica nuevas versiones y mejora continua. La edición Community se actualiza con frecuencia y mantiene un pulido notable pese a su juventud, con mejoras basadas en feedback de la comunidad.
Limitaciones y cómo se complementa
Purple Knight realiza evaluaciones puntuales; no es una solución de monitorización continua ni automatiza mitigación por sí mismo. Esa capa la aporta Directory Services Protector (DSP) de Semperis, que es de pago y está orientado a detección y respuesta de amenazas de identidad (ITDR) en tiempo real, con alertas y reversión de cambios maliciosos.
Purple Knight vs PingCastle: qué comparten y en qué se diferencian
Aunque ambas herramientas sirven para evaluar la seguridad de AD y dan soporte a entornos híbridos con Entra ID/Azure AD, su foco no es idéntico. PingCastle prioriza una metodología de madurez y un informe de “health check” con puntuación de riesgo; Purple Knight se centra en IOE/IOC y en ofrecer una guía de remediación muy accionable. La primera mira mucho el “modelo” y el estado del ecosistema AD, mientras que la segunda entrega una instantánea muy rica para corregir rápido.
En facilidad de uso, Purple Knight destaca por su interfaz y por la selección granular de pruebas; en PingCastle, el mapa de dominios y la consolidación de informes brillan en organizaciones con muchos bosques y trusts. En reporting, Purple Knight califica por categorías con nota y %, y PingCastle ofrece una puntuación de salud global donde una cifra más baja es mejor.
Para cobertura, Purple Knight abarca AD, Entra ID/Azure AD y Okta y mapea hallazgos a MITRE ATT&CK y ANSSI, priorizando la corrección. PingCastle, por su parte, ofrece análisis de delegaciones, objetos obsoletos, privilegios locales y vulnerabilidades en endpoints, y puede evaluar la seguridad de la confianza con Azure AD. La capacidad de descubrir dominios olvidados y unificar resultados es un plus cuando el perímetro se ha vuelto difuso.
En licenciamiento, Purple Knight se ofrece como herramienta gratuita (previo registro); las capacidades continuas y correctivas residen en Semperis DSP, que es comercial. PingCastle dispone de una edición básica gratuita para uso propio y de ediciones de pago (Auditor/Standard, Professional, Enterprise) con funcionalidades extendidas, soporte y posibilidades de explotación a escala.
¿Cuál elegir? Si buscas una evaluación rápida, clara y con instrucciones de arreglo priorizadas, Purple Knight encaja como anillo al dedo. Si lo que necesitas es un método de madurez con mapeo de dominios y consolidación de riesgos para cientos o miles de segmentos, PingCastle puede encajar mejor, especialmente con sus ediciones de pago. En la práctica, muchas organizaciones utilizan ambas: la combinación ofrece validación cruzada y cobertura más profunda.
Detalles prácticos de ejecución y resultados
Ambas herramientas son portables y pueden ejecutarse con credenciales de usuario estándar en la mayoría de contextos, recabando datos principalmente por medio de lectura. Esto facilita su adopción por equipos con recursos limitados y evita fricciones con sistemas de producción, dado que no realizan cambios.
Purple Knight guarda sus resultados en HTML con una estructura lógica y enlaces a documentación, además de un checklist que destaca lo urgente. El desglose por severidad y la referencia a marcos aporta contexto a CISO y equipos técnicos. PingCastle, por su lado, entrega un informe con puntuaciones, hallazgos priorizados y, si se desea, vistas consolidadas para facilitar KPIs y seguimiento trimestral.
Advertencias y consideraciones operativas
Con PingCastle, en entornos multi-bosque o con docenas de dominios, los informes pueden requerir un trabajo adicional para navegar y priorizar. La edición básica carece de funciones avanzadas y guías extensas de corrección; estas llegan con las licencias de pago. Purple Knight, al ser una evaluación puntual, no sustituye a un sistema de monitorización continua, y sus capacidades de mitigación automática no están en la herramienta gratuita.
Ninguna de las dos pretende ser un IDS/IPS para AD; son complementos de diagnóstico que alimentan planes de remediación y madurez. En escenarios con necesidades de alerta y respuesta en tiempo real, soluciones ITDR como Semperis DSP u ofertas de auditoría continua entran en juego.
Otras herramientas que complementan el ecosistema
Cuando el interés está en la continuidad y en registrar cada cambio con contexto, Netwrix Auditor aporta control de cambios en Active Directory y otros sistemas (Exchange, SQL Server, SharePoint, Microsoft 365, Teams, etc.). Su foco es avisar de modificaciones sospechosas (por ejemplo, si se añade un usuario al grupo de Administradores de dominio) y mantener un historial de configuración con vistas útiles para gobernanza.
Para comprender rutas de ataque y relaciones de control, BloodHound es un clásico de código abierto (GPL‑3.0) que modela objetos, relaciones y permisos en AD, con recopiladores como SharpHound y AzureHound. Es clave para red teams y también para blue teams que quieren visualizar el “camino más corto” hacia objetivos críticos y cerrar vías de escalada.
En el terreno de la respuesta y monitorización en tiempo real, Directory Services Protector (DSP) de Semperis ofrece vigilancia continua, alertas e incluso reversión automatizada ante cambios maliciosos, tanto en AD como en Entra ID. Actúa como la capa de ITDR que falta en una evaluación puntual y acelera la contención de incidentes de identidad.
La ANSSI francesa dispone de utilidades como ORADAD para AD y ORADAZ para Azure/Entra, utilizadas en auditorías avanzadas. Aunque la recopilación es pública, el procesamiento completo requiere herramientas no publicadas. Son referencias valiosas para equipos que siguen guías gubernamentales o desean alinear auditorías con buenas prácticas reconocidas.
En algunas comparativas del mercado aparecen ofertas con hosting y despliegues variados (servicio Windows, portable, on‑prem o SaaS), correlación con MITRE ATT&CK, exportación a CSV, capacidad multi‑tenant y opciones de aceptar riesgos de forma documentada. En la práctica, la elección se reduce al equilibrio entre auditoría puntual, detección de incidentes y gobierno continuo, teniendo en cuenta presupuestos, licenciamiento (gratuito para uso personal en algunos casos) y soporte de partners.
Cuestiones frecuentes: ¿puedo impedir que un usuario ejecute estas herramientas?
Es una duda habitual cuando se descubre que herramientas portables pueden ejecutarse sin permisos de administrador. En general, Purple Knight y PingCastle funcionan en modo lectura con permisos de usuario para consultar el directorio. Si tu objetivo es restringir su ejecución, entra en juego el control de aplicaciones: políticas como AppLocker o Windows Defender Application Control (WDAC), o reglas de restricción de software, ayudan a limitar binarios no autorizados. Complementariamente, el hardening de permisos en AD reduce la exposición de datos sensibles a usuarios estándar.
Dicho esto, el modelo de seguridad de AD asume que cierta información es legible por usuarios autenticados porque muchas aplicaciones dependen de ello. La mitigación eficaz pasa por endurecer delegaciones, auditar rutas de control y reducir privilegios, utilizando estas herramientas para detectar y corregir lo que no debería estar visible o habilitado. La prevención no debe basarse solo en bloquear ejecutables, sino en suprimir la superficie de ataque en la configuración.
Casos de uso habituales y combinación inteligente
Un equipo pequeño de TI que necesita un diagnóstico rápido y una guía clara de arreglos agradecerá Purple Knight. La priorización por severidad y su mapeo a marcos facilitadores permite preparar pruebas de penetración, demostrar avances y comunicar riesgos a la dirección. Por su parte, auditorías internas recurrentes y consultoras que prestan servicios a múltiples dominios sacan partido del modelo de madurez, del mapeo de dominios y de la consolidación de PingCastle.
Muchas organizaciones ejecutan ambas herramientas en ciclos distintos para obtener visión complementaria: primero un “snapshot” con IOE/IOC, seguido de una revisión de procesos y madurez con health checks consolidados. La validación cruzada disminuye falsos negativos y mejora la priorización de remediaciones, acelerando el cierre de brechas críticas y elevando la higiene de identidad a medio plazo.
No hay bala de plata. Elegir bien implica alinear necesidades con capacidades: ¿instantánea con guías prescriptivas o modelos de madurez y mapas? ¿Evaluación puntual o vigilancia continua con ITDR? La respuesta suele ser un “sí, y…” en lugar de un “o” rotundo, combinando evaluación gratuita con soluciones de monitorización según el riesgo y el presupuesto.
Si se persigue elevar la seguridad de identidad de forma sostenida, conviene calendarizar evaluaciones periódicas, revisar delegaciones y trusts, y mantener la higiene de cuentas, GPO (y archivos ADMX) y Kerberos. El uso combinado de Purple Knight y PingCastle, más una capa de auditoría de cambios y/o ITDR, ofrece el equilibrio adecuado entre detección temprana, corrección priorizada y control continuo del estado de AD y Entra ID.