{"id":163745,"date":"2025-10-24T07:16:37","date_gmt":"2025-10-24T14:16:37","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=163745"},"modified":"2025-11-03T11:21:05","modified_gmt":"2025-11-03T19:21:05","slug":"threat-actor-misuse-of-azurehound","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/","title":{"rendered":"Detecci\u00f3n en la nube con AzureHound"},"content":{"rendered":"<h2><a id=\"post-163745-_heading=h.wbn4aygbqwnh\"><\/a>Resumen ejecutivo<\/h2>\n<p>AzureHound es una herramienta de recopilaci\u00f3n de datos para realizar pruebas de infiltraci\u00f3n que forma parte de la suite BloodHound. Los actores de amenazas usan indebidamente esta herramienta para enumerar los recursos de Azure y trazar posibles rutas de ataque, lo que permite realizar m\u00e1s operaciones maliciosas. Aqu\u00ed ayudamos a los defensores a entender la herramienta y a protegerse contra su uso ileg\u00edtimo.<\/p>\n<p>En este an\u00e1lisis de AzureHound, se discutir\u00e1n sus capacidades y uso com\u00fan, y se mapear\u00e1 el uso de la herramienta con el marco ATT&amp;CK de MITRE. Centr\u00e1ndonos en las t\u00e9cnicas ATT&amp;CK relevantes, brindamos ejemplos de ejecuci\u00f3n de herramientas y destacamos c\u00f3mo aparece la actividad en las fuentes de registro de Azure y en Cortex XDR.<\/p>\n<p>Herramientas como AzureHound permiten a los actores de amenazas operar con rapidez y eficacia en entornos de nube. Los actores de amenazas que usan estas herramientas suelen dejar pruebas detectables para los defensores que saben d\u00f3nde buscar. En este art\u00edculo, se brinda informaci\u00f3n pr\u00e1ctica para afinar las detecciones, mejorar los procesos de respuesta ante incidentes, llevar a cabo la b\u00fasqueda de amenazas y gestionar una funci\u00f3n de seguridad.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas aqu\u00ed descritas gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">Cortex XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/apps\/pan\/public\/downloadResource?pagePath=\/content\/pan\/en_US\/resources\/datasheets\/prisma-access-browser\" target=\"_blank\" rel=\"noopener\">Prisma Browser<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 98.6162%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 169.863%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/azure-es-la\/\" target=\"_blank\" rel=\"noopener\"><strong>Azure<\/strong><\/a><strong>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/control-plane-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>plano de control<\/b><\/a><b>, <\/b><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/data-plane-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>plano de datos<\/b><\/a><b>, <\/b><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/security-logging-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>registro de seguridad<\/b><\/a>\u00a0<\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-163745-_heading=h.18sbuzalg1pn\"><\/a>Fondo de la herramienta AzureHound<\/h2>\n<p><a href=\"https:\/\/github.com\/SpecterOps\/AzureHound\" target=\"_blank\" rel=\"noopener\">AzureHound<\/a> es una herramienta de recopilaci\u00f3n de datos de c\u00f3digo abierto escrita en el lenguaje de programaci\u00f3n Go. Est\u00e1 disponible de modo precompilado para Windows, Linux y macOS.<\/p>\n<p>Esta herramienta recopila datos utilizando las interfaces de programaci\u00f3n de aplicaciones (API) de Microsoft Graph y Azure REST. Se dise\u00f1\u00f3 para enumerar un entorno de Entra\u00a0ID y Azure y recopilar informaci\u00f3n sobre identidades y otros recursos diversos. El objetivo de esta enumeraci\u00f3n es usar los datos recopilados para identificar posibles rutas de ataque para la escalada de privilegios dentro del entorno Azure objetivo.<\/p>\n<p>AzureHound puede enviar su resultado a archivos JSON, que <a href=\"https:\/\/github.com\/SpecterOps\/BloodHound\" target=\"_blank\" rel=\"noopener\">BloodHound<\/a> luego puede ingerir. BloodHound es una herramienta de visualizaci\u00f3n dise\u00f1ada para revelar gr\u00e1ficamente relaciones ocultas e identificar rutas de ataque dentro de un entorno de Entra\u00a0ID, Azure o Active Directory (AD).<\/p>\n<p>La <a href=\"https:\/\/learn.microsoft.com\/en-us\/graph\/use-the-api\" target=\"_blank\" rel=\"noopener\">API de Microsoft Graph<\/a> brinda a los desarrolladores acceso program\u00e1tico a datos organizativos e identidades dentro de <a href=\"https:\/\/learn.microsoft.com\/en-us\/microsoft-365\/enterprise\/microsoft-365-overview?view=o365-worldwide\" target=\"_blank\" rel=\"noopener\">Microsoft\u00a0365<\/a> y <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/fundamentals\/whatis\" target=\"_blank\" rel=\"noopener\">Microsoft Entra\u00a0ID<\/a>.<\/p>\n<p>Operando en la capa de infraestructura, la API de REST de Azure brinda acceso al <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/azure-resource-manager\/management\/overview\" target=\"_blank\" rel=\"noopener\">Gestor de recursos de Azure<\/a> (ARM), el plano de control de todos los recursos de Azure, como el almacenamiento, las m\u00e1quinas virtuales y las redes.<\/p>\n<p>AzureHound no necesita ejecutarse desde el entorno de la v\u00edctima. Esto se debe a que tanto Microsoft Graph como las API de REST de Azure est\u00e1n disponibles externamente.<\/p>\n<h2><a id=\"post-163745-_heading=h.zhq6jd3z8rni\"><\/a>Uso de AzureHound por parte de los actores de amenazas<\/h2>\n<p>AzureHound se cre\u00f3 para que lo usen los profesionales de la seguridad, como defensores y equipos rojos, para encontrar y corregir proactivamente vulnerabilidades en la nube. Sin embargo, los actores de amenazas tambi\u00e9n pueden usarlo para la detecci\u00f3n, despu\u00e9s de obtener acceso al entorno Azure de una v\u00edctima.<\/p>\n<p>Los actores de amenazas usan AzureHound para automatizar complejos procedimientos de detecci\u00f3n en entornos de Azure. Esto los ayuda a descubrir jerarqu\u00edas de usuarios e identificar objetivos de alto valor.<\/p>\n<p>La recopilaci\u00f3n de informaci\u00f3n interna de Azure ayuda a los actores de amenazas a descubrir errores de configuraci\u00f3n y oportunidades indirectas de escalada de privilegios que podr\u00edan no resultar obvias sin esta visi\u00f3n completa del entorno de Azure objetivo.<\/p>\n<p>Los actores de amenazas tambi\u00e9n ejecutan la herramienta despu\u00e9s de obtener el acceso inicial al entorno de la v\u00edctima, descargando y ejecutando AzureHound en los activos a los que obtuvieron acceso.<\/p>\n<p>A\u00fan en agosto de 2025, la actividad de los actores de amenazas con esta herramienta pone de relieve un enfoque continuo en los entornos de nube como una superficie de ataque cr\u00edtica. Las investigaciones disponibles p\u00fablicamente identifican a AzureHound como parte de varias operaciones posteriores a la vulneraci\u00f3n:<\/p>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/iranian-cyberattacks-2025\/\">Unit\u00a042<\/a> sigue la pista del grupo Curious Serpens (alias <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/09\/14\/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets\/\" target=\"_blank\" rel=\"noopener\">Peach Sandstorm<\/a>), respaldado por Ir\u00e1n, que est\u00e1 activo al menos desde 2013. El grupo ha evolucionado para hacer un uso indebido de los entornos de nube de Azure en su cadena de ataque, incluido el uso de AzureHound para llevar a cabo la detecci\u00f3n interna del entorno Microsoft Entra\u00a0ID del objetivo.<\/li>\n<li>En mayo de 2025, Microsoft inform\u00f3 sobre un presunto actor de amenazas de un Estado naci\u00f3n al que denomin\u00f3 <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/05\/27\/new-russia-affiliated-actor-void-blizzard-targets-critical-sectors-for-espionage\/\" target=\"_blank\" rel=\"noopener\">Void Blizzard<\/a> que aprovechaba AzureHound durante la fase de detecci\u00f3n de sus ataques para enumerar las configuraciones de Entra\u00a0ID.<\/li>\n<li>En agosto de 2025, Microsoft inform\u00f3 sobre una campa\u00f1a de un operador de ransomware que identific\u00f3 como <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/08\/27\/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware\/\" target=\"_blank\" rel=\"noopener\">Storm-0501<\/a>. Operando en las instalaciones locales dentro de un entorno h\u00edbrido y de varios tenants de Azure, el actor de amenazas us\u00f3 AzureHound para enumerar los tenants de Entra\u00a0ID del objetivo.<\/li>\n<\/ul>\n<h2><a id=\"post-163745-_heading=h.ic7tvp7l2umq\"><\/a>Detecci\u00f3n de t\u00e1cticas de MITRE<\/h2>\n<p>El <a href=\"https:\/\/attack.mitre.org\/matrices\/enterprise\/\" target=\"_blank\" rel=\"noopener\">marco ATT&amp;CK de MITRE<\/a> es una base de conocimientos de los profesionales de la seguridad y de la comunidad sobre los comportamientos de los actores de amenazas que describe las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) de los ciberataques. El marco proporciona un vocabulario com\u00fan para compartir inteligencia e investigaci\u00f3n. Ayuda con el an\u00e1lisis estructurado de los ciberataques y el seguimiento de las tendencias en la actividad de los actores de amenazas.<\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/tactics\/TA0007\/\" target=\"_blank\" rel=\"noopener\">La detecci\u00f3n en el marco ATT&amp;CK de MITRE<\/a> se refiere a las t\u00e9cnicas que los actores de amenazas usan para aprender sobre su entorno objetivo despu\u00e9s de obtener el acceso inicial. ATT&amp;CK de MITRE reconoce que las t\u00e9cnicas y los procedimientos de la nube difieren de sus hom\u00f3logos de endpoints e identifica este subconjunto centrado en la nube de la <a href=\"https:\/\/attack.mitre.org\/matrices\/enterprise\/\" target=\"_blank\" rel=\"noopener\">Matriz de Enterprise<\/a> como <a href=\"https:\/\/attack.mitre.org\/matrices\/enterprise\/cloud\/\" target=\"_blank\" rel=\"noopener\">Matriz de la nube<\/a>. Nos centraremos en las t\u00e9cnicas de detecci\u00f3n de la Matriz de la nube.<\/p>\n<p>En Azure, la detecci\u00f3n implica reunir detalles sobre lo siguiente:<\/p>\n<ul>\n<li>Usuarios<\/li>\n<li>Grupos<\/li>\n<li>Principales de servicios<\/li>\n<li>Funciones<\/li>\n<li>Dispositivos<\/li>\n<li>Cuentas de almacenamiento<\/li>\n<li>Aplicaciones<\/li>\n<li>Permisos<\/li>\n<\/ul>\n<p>Los actores de amenazas tratan de comprender los recursos y las relaciones dentro del entorno Azure para facilitar su ataque.<\/p>\n<p>AzureHound acelera este proceso al brindar a los actores de amenazas un medio eficaz para recopilar datos, que luego utilizan para trazar posibles rutas de ataque contra el entorno Azure objetivo. Estas rutas de ataque incluyen lo siguiente:<\/p>\n<ul>\n<li>Oportunidades de escalada de privilegios<\/li>\n<li>Rutas de movimiento lateral<\/li>\n<li>Relaciones de cuentas de alto valor como <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/role-based-access-control\/permissions-reference#global-administrator\" target=\"_blank\" rel=\"noopener\">administradores globales<\/a> u otras funciones privilegiadas<\/li>\n<\/ul>\n<h2><a id=\"post-163745-_heading=h.sc06syvbymp9\"><\/a>T\u00e9cnicas de detecci\u00f3n de MITRE<\/h2>\n<p>Desde la perspectiva de un actor de amenazas que usa AzureHound, cada t\u00e9cnica de detecci\u00f3n representa un paso en el desarrollo de una comprensi\u00f3n integral del entorno de nube de un objetivo.<\/p>\n<p>Para comprender una herramienta de l\u00ednea de comandos como AzureHound, los usuarios suelen consultar la documentaci\u00f3n en l\u00ednea, as\u00ed como el resultado de los par\u00e1metros <span style=\"font-family: 'courier new', courier, monospace;\">-h<\/span>, <span style=\"font-family: 'courier new', courier, monospace;\">--help<\/span> u otro par\u00e1metro de uso de la herramienta. En comparaci\u00f3n con la <a href=\"https:\/\/bloodhound.specterops.io\/collect-data\/ce-collection\/azurehound-flags\" target=\"_blank\" rel=\"noopener\">documentaci\u00f3n en l\u00ednea<\/a>, un listado completo a trav\u00e9s del par\u00e1metro de <span style=\"font-family: 'courier new', courier, monospace;\">lista -h<\/span> en la versi\u00f3n\u00a02.6.0 de AzureHound revela opciones de detecci\u00f3n adicionales que son \u00fatiles en el contexto del an\u00e1lisis de posibles usos maliciosos. Esto incluye algunos comandos de particular inter\u00e9s para un actor de amenazas, como los siguientes:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">function-apps<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">function-app-role-assignments<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">storage-accounts<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">storage-containers<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">subscription-user-access-admins<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">web-apps<\/span><\/li>\n<\/ul>\n<p>Los comandos anteriores brindan a los actores de amenazas informaci\u00f3n b\u00e1sica sobre los servicios que suelen explotarse en entornos de nube. Los comandos detallados en este an\u00e1lisis se basan en el resultado directo de la herramienta.<\/p>\n<h3><a id=\"post-163745-_heading=h.t1r0fekevamy\"><\/a>T1087.004: Detecci\u00f3n de cuenta: Nube<img  class=\"alignnone wp-image-163922 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/1-ES-AzureHound-786x122.png\" alt=\"AzureHound puede enumerar usuarios, dispositivos y principales de servicio dentro de un tenant de Entra\u00a0ID para recopilar informaci\u00f3n de identidad.\" width=\"1000\" height=\"155\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/1-ES-AzureHound-786x122.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/1-ES-AzureHound-768x119.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/1-ES-AzureHound.png 1382w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/h3>\n<p>Para establecer un conocimiento b\u00e1sico del entorno objetivo, un actor de amenazas podr\u00eda localizar primero las identidades que operan en \u00e9l. Esta enumeraci\u00f3n inicial proporciona una lista de objetivos potenciales para el robo o la suplantaci\u00f3n de credenciales. La herramienta automatiza la recopilaci\u00f3n de todas las identidades, incluidos usuarios, dispositivos y principales de servicio, junto con sus relaciones de propiedad. Esto proporciona un panorama detallado de las identidades presentes en el tenant.<\/p>\n<p>Par\u00e1metros de AzureHound que facilitan la detecci\u00f3n de cuentas de la t\u00e9cnica de MITRE: la <a href=\"https:\/\/attack.mitre.org\/techniques\/T1087\/004\/\" target=\"_blank\" rel=\"noopener\">cuenta en la nube<\/a> incluye lo siguiente:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list users<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list devices<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list device-owners<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list service-principals<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list service-principal-owners<\/span><\/li>\n<\/ul>\n<p>AzureHound admite m\u00faltiples medios de autenticaci\u00f3n, entre los que se incluyen lo siguientes:<\/p>\n<ul>\n<li>Nombre de usuario y contrase\u00f1a<\/li>\n<li>Actualizaci\u00f3n de tokens<\/li>\n<li>Tokens web JSON (JWT)<\/li>\n<li>Secretos de principales de servicio<\/li>\n<li>Certificados de principales de servicio<\/li>\n<\/ul>\n<p>La documentaci\u00f3n de Entra\u00a0ID de Microsoft ofrece un an\u00e1lisis completo de <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity-platform\/security-tokens\" target=\"_blank\" rel=\"noopener\">tipos de token de Azure<\/a>. Para nuestro ejemplo, usaremos un token de actualizaci\u00f3n de Azure que generamos con un <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity-platform\/v2-oauth2-device-code\" target=\"_blank\" rel=\"noopener\">flujo de c\u00f3digo de dispositivo<\/a> siguiendo las indicaciones en los <a href=\"https:\/\/bloodhound.specterops.io\/collect-data\/ce-collection\/azurehound\" target=\"_blank\" rel=\"noopener\">documentos de referencia de <\/a><a href=\"https:\/\/docs.an\">AzureHound\u00a0CE<\/a>.<\/p>\n<p>Los actores de amenazas utilizar\u00e1n cualquier medio de autenticaci\u00f3n disponible. Podr\u00edan combinar un nombre de usuario y una contrase\u00f1a robados con la <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/\" target=\"_blank\" rel=\"noopener\">fatiga de autenticaci\u00f3n multifactor (MFA)<\/a> para perjudicar el inicio de sesi\u00f3n exitoso. Otra posibilidad es que inicien sesi\u00f3n con un token robado. Infostealers como <a href=\"https:\/\/attack.mitre.org\/software\/S1148\/\" target=\"_blank\" rel=\"noopener\">Racoon Stealer<\/a> o <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">Redline<\/a> pueden extraer cookies, credenciales y tokens de sesi\u00f3n del navegador de un usuario. Investigadores de Flare descubrieron que los tokens de sesi\u00f3n adquiridos de infostealers tienen <a href=\"https:\/\/thehackernews.com\/2025\/05\/from-infection-to-access-24-hour.html\" target=\"_blank\" rel=\"noopener\">tokens expuestos de Azure<\/a>.<\/p>\n<p>Como se muestra en la solicitud de <span style=\"font-family: 'courier new', courier, monospace;\">list users<\/span> de la Figura 1, el resultado de la detecci\u00f3n de la l\u00ednea de comandos de AzureHound puede revelar informaci\u00f3n de inter\u00e9s para un actor de amenazas. Este ejemplo de invocaci\u00f3n del comando enumera todos los usuarios de Entra ID y env\u00eda el resultado a un archivo llamado <span style=\"font-family: 'courier new', courier, monospace;\">users.json<\/span>.<\/p>\n<figure id=\"attachment_163757\" aria-describedby=\"caption-attachment-163757\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163757 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-85221-163745-2.png\" alt=\"Texto en una pantalla de computadora que muestra el resultado de la herramienta AzureHound\u00a02.6.0, con una lista de todos los usuarios de un tenant de Azure. El resultado indica que el proceso se complet\u00f3 y que el software se ha apagado correctamente.\" width=\"1000\" height=\"237\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-85221-163745-2.png 1310w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-85221-163745-2-786x186.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-85221-163745-2-768x182.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163757\" class=\"wp-caption-text\">Figura 1. Ejecuci\u00f3n de AzureHound para enumerar usuarios.<\/figcaption><\/figure>\n<p>Los siguientes datos se encuentran entre los campos devueltos por defecto para cada usuario si est\u00e1n disponibles en el registro de usuarios de Entra\u00a0ID:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">displayName<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">jobTitle<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lastPasswordChangeDateTime<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mail<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">userPrincipalName<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">userType<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tenantId<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tenantName<\/span><\/li>\n<\/ul>\n<p>En la Figura\u00a02, se muestra una captura de pantalla del resultado en bruto de AzureHound con algunos de los campos enumerados anteriormente.<\/p>\n<figure id=\"attachment_163768\" aria-describedby=\"caption-attachment-163768\" style=\"width: 773px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163768 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-87436-163745-3.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo relacionado con la estructura de datos de una cuenta de usuario, que incluye campos para el ID de cuenta, la fecha de creaci\u00f3n, el correo electr\u00f3nico y otros atributos.\" width=\"773\" height=\"677\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-87436-163745-3.png 773w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-87436-163745-3-502x440.png 502w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-87436-163745-3-768x673.png 768w\" sizes=\"(max-width: 773px) 100vw, 773px\" \/><figcaption id=\"caption-attachment-163768\" class=\"wp-caption-text\">Figura 2. Resultado en bruto de la lista de usuarios de AzureHound.<\/figcaption><\/figure>\n<p>Estos datos ayudan a los actores de amenazas a dirigirse a los usuarios clave de la organizaci\u00f3n objetivo durante las sucesivas fases del ataque. Por ejemplo, un actor de amenazas podr\u00eda volcar todos los usuarios a un archivo JSON y buscar en \u00e9l t\u00edtulos de puestos que indiquen objetivos de alto valor, incluidos aquellos que contengan palabras como las siguientes:<\/p>\n<ul>\n<li>Administrador<\/li>\n<li>Aplicaci\u00f3n<\/li>\n<li>Identidad<\/li>\n<li>Nube<\/li>\n<\/ul>\n<p>Estos objetivos se consideran de alto valor porque estos puestos laborales tendr\u00edan privilegios elevados dentro del tenant de Azure.<\/p>\n<h3><a id=\"post-163745-_heading=h.ixmu5fx2l83\"><\/a>T1069.003: Detecci\u00f3n de grupos de permisos: grupos en la nube<img  class=\"alignnone wp-image-163933 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/2-ES-AzureHound-786x123.png\" alt=\"AzureHound puede descubrir membres\u00edas de funciones administrativas y grupos de seguridad para mapear potenciales rutas de escalada de privilegios.\" width=\"1000\" height=\"157\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/2-ES-AzureHound-786x123.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/2-ES-AzureHound-768x121.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/2-ES-AzureHound.png 1362w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/h3>\n<p>Una vez que los actores de amenazas conocen las identidades dentro del entorno objetivo, necesitan comprender las relaciones entre las identidades con el descubrimiento de las estructuras de permisos.<\/p>\n<p>Esta t\u00e9cnica se centra en el mapeo de funciones administrativas y membres\u00edas de grupo para encontrar rutas de escalada de privilegios explotables. Esto se consigue recopilando no solo los grupos y las funciones en s\u00ed, sino la red de asignaciones de funciones espec\u00edficas que conectan las identidades con los recursos, lo que revela qui\u00e9n tiene acceso a qu\u00e9.<\/p>\n<p>Para la <a href=\"https:\/\/attack.mitre.org\/techniques\/T1069\/003\/\" target=\"_blank\" rel=\"noopener\">Detecci\u00f3n de grupos de permisos: cuentas en la nube<\/a>, AzureHound tiene las siguientes capacidades:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list groups<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list roles<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list group-members<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list group-owners<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list role-assignments<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list app-role-assignments<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list key-vault-access-policies<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list management-group-role-assignments<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list resource-group-role-assignments<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list subscription-role-assignments<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list virtual-machine-role-assignments<\/span><\/li>\n<\/ul>\n<p>Los datos que devuelven las opciones anteriores dependen de la identidad que AzureHound utilice para autenticarse. AzureHound recopila informaci\u00f3n en funci\u00f3n de los permisos concedidos a la cuenta bajo la que se ejecuta en Azure. Estas cuentas solo pueden enumerar definiciones de pol\u00edticas y asignaciones si tienen funciones como Lector o superiores en el nivel de suscripci\u00f3n o grupo de recursos.<\/p>\n<p>En la Figura\u00a03, se muestra el resultado de un comando para enumerar grupos dentro de un tenant.<\/p>\n<figure id=\"attachment_163790\" aria-describedby=\"caption-attachment-163790\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163790 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92289-163745-5.png\" alt=\"Captura de pantalla de un terminal que muestra mensajes de registro de AzureHound, incluidas marcas de tiempo y notificaciones sobre el listado de cuentas de almacenamiento y la duraci\u00f3n del proceso de recopilaci\u00f3n, que finaliza con un mensaje de apagado.\" width=\"1000\" height=\"226\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92289-163745-5.png 1341w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92289-163745-5-786x178.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92289-163745-5-768x174.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163790\" class=\"wp-caption-text\">Figura 3. Ejecuci\u00f3n de AzureHound para enumerar grupos.<\/figcaption><\/figure>\n<p>Los actores de amenazas enumeran los grupos, las funciones y las asignaciones de funciones de Entra\u00a0ID porque definen colectivamente c\u00f3mo se distribuyen el acceso y los permisos entre los usuarios, las aplicaciones y los recursos. Los actores de amenazas pueden identificar funciones altamente privilegiadas, como administrador global o administrador de funciones privilegiadas, y determinar qu\u00e9 usuarios o principales de servicio est\u00e1n asignados a ellos. Esta informaci\u00f3n tambi\u00e9n puede revelar rutas de escalada privilegiada a trav\u00e9s de membres\u00edas a grupos aislados.<\/p>\n<p>La asignaci\u00f3n de funciones puede revelar permisos excesivos o mal configurados. Esta informaci\u00f3n ayuda a los actores de amenazas a descubrir oportunidades para la escalada de privilegios, el movimiento lateral y la recopilaci\u00f3n de datos adicionales.<\/p>\n<p>AzureHound se integra con BloodHound para crear gr\u00e1ficos que mapean visualmente la posible escalada de privilegios y el plano de arquitectura. Para ello, utiliza una enorme cantidad de datos en bruto, como listas de usuarios, grupos, aplicaciones y suscripciones y sus permisos.<\/p>\n<p>Conectar manualmente estos puntos es un proceso lento y propenso a errores. De este modo, la interfaz de usuario gr\u00e1fica de BloodHound se convierte en una herramienta anal\u00edtica \u00fatil para los actores de amenazas.<\/p>\n<p>Al importar los datos recopilados, la herramienta transforma l\u00edneas de texto en un mapa vivo de relaciones importantes. Esta informaci\u00f3n sobre usuarios con privilegios elevados brinda al actor de amenazas una lista de usuarios a los que atacar para el robo de credenciales. En la Figura\u00a04, se muestran los usuarios que tienen asignada directamente la funci\u00f3n de administrador global o que la heredaron a trav\u00e9s de su membres\u00eda en un grupo.<\/p>\n<figure id=\"attachment_163801\" aria-describedby=\"caption-attachment-163801\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163801 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-94758-163745-6.png\" alt=\"Pantalla que muestra la interfaz en el administrador global con varios nodos interconectados, algunos resaltados en rosa y azul, que representan diferentes entidades y sus relaciones.\" width=\"1000\" height=\"489\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-94758-163745-6.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-94758-163745-6-786x384.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-94758-163745-6-1432x700.png 1432w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-94758-163745-6-768x375.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-94758-163745-6-1536x751.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163801\" class=\"wp-caption-text\">Figura 4. Trayectos de BloodHound para el administrador global.<\/figcaption><\/figure>\n<p>En aras de la confidencialidad, hemos ocultado u oscurecido las etiquetas de usuarios y grupos, as\u00ed como la informaci\u00f3n de los tenants.<\/p>\n<h3><a id=\"post-163745-_heading=h.aqgi2360cwm3\"><\/a>T1619: Detecci\u00f3n de objetos de almacenamiento en la nube<img  class=\"alignnone wp-image-163944 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/3-ES-AzureHound-786x118.png\" alt=\"AzureHound puede descubrir las cuentas de almacenamiento de Azure y los contenedores de blobs que contienen, identificando d\u00f3nde se almacenan los datos.\" width=\"1000\" height=\"151\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/3-ES-AzureHound-786x118.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/3-ES-AzureHound-768x116.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/3-ES-AzureHound.png 1420w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/h3>\n<p>Uno de los objetivos de los actores de amenazas es la exfiltraci\u00f3n de datos, por lo que es fundamental identificar d\u00f3nde se almacenan los datos. Esta t\u00e9cnica consiste en descubrir recursos de almacenamiento en la nube. Un actor de amenazas puede usar AzureHound para apuntar y enumerar espec\u00edficamente las cuentas de almacenamiento de Azure y los contenedores de blobs dentro de ellas, revelando las ubicaciones de los datos potencialmente confidenciales.<\/p>\n<p>AzureHound tiene dos opciones para detectar objetos de almacenamiento, que cubren tanto las cuentas de almacenamiento de Azure como los contenedores:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list storage-accounts<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list storage-containers<\/span><\/li>\n<\/ul>\n<p>En la Figura\u00a05, se muestra un ejemplo de detecci\u00f3n de cuentas de almacenamiento a trav\u00e9s de AzureHound, enumerando todas las cuentas de almacenamiento a las que tiene acceso la identidad introducida en el comando.<\/p>\n<figure id=\"attachment_163823\" aria-describedby=\"caption-attachment-163823\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163823 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-100365-163745-8.png\" alt=\"Interfaz de l\u00ednea de comandos donde la herramienta AzureHound enumera los grupos de Azure AD. El proceso concluye cerr\u00e1ndose correctamente, con la sugerencia de pulsar Ctrl+C para forzar la salida.\" width=\"1000\" height=\"204\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-100365-163745-8.png 1557w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-100365-163745-8-786x161.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-100365-163745-8-768x157.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-100365-163745-8-1536x314.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163823\" class=\"wp-caption-text\">Figura 5. Ejecuci\u00f3n de AzureHound para enumerar las cuentas de almacenamiento.<\/figcaption><\/figure>\n<p>El resultado del comando <span style=\"font-family: 'courier new', courier, monospace;\">list storage-account<\/span> podr\u00eda revelar informaci\u00f3n importante sobre la configuraci\u00f3n de la cuenta de almacenamiento. El resultado comprende toda la definici\u00f3n de recursos de la cuenta de almacenamiento, incluido lo siguiente:<\/p>\n<ul>\n<li>Nombre<\/li>\n<li>Ubicaci\u00f3n<\/li>\n<li>Propiedades de Key Vault<\/li>\n<li>Tipo de replicaci\u00f3n<\/li>\n<li>Endpoints de DNS<\/li>\n<li>Listas de control de acceso a la red (ACL)<\/li>\n<\/ul>\n<p>La p\u00e1gina de referencia de Microsoft muestra <a href=\"https:\/\/learn.microsoft.com\/en-us\/rest\/api\/storagerp\/storage-accounts\/get-properties\" target=\"_blank\" rel=\"noopener\">ejemplos de configuraciones de cuentas de almacenamiento completas<\/a>.<\/p>\n<p>Dentro de estos datos, el nombre de la cuenta de almacenamiento es muy importante y est\u00e1 vinculado a sus endpoints de servicio, que son nombres DNS p\u00fablicamente resolubles usados para conectarse a la cuenta de almacenamiento. Por ejemplo, un contenedor de blobs de cuenta de almacenamiento usa por defecto los nombres de cuenta de almacenamiento, contenedor y blob para definir el endpoint del servicio de la siguiente manera:<\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/mystorageaccount.blob.core.windows[.]net\/mycontainername\/myblobname<\/span><\/p>\n<p>Las cuentas de almacenamiento tambi\u00e9n pueden vincularse a nombres de dominio personalizados, que estar\u00edan en el par clave-valor customDomain del resultado. Consulte la <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/storage\/common\/storage-account-overview\" target=\"_blank\" rel=\"noopener\">descripci\u00f3n general de cuenta de almacenamiento<\/a> de Microsoft para obtener m\u00e1s informaci\u00f3n sobre dominios personalizados y otros detalles.<\/p>\n<p>Los actores de amenazas buscan acceder a los datos de las cuentas de almacenamiento para la exfiltraci\u00f3n de datos. Sin embargo, estos endpoints de servicio pueden protegerse mediante ACL de red en <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/storage\/common\/storage-network-security\" target=\"_blank\" rel=\"noopener\">el firewall de la cuenta de almacenamiento<\/a>. Esta informaci\u00f3n brinda al actor de amenazas una comprensi\u00f3n de las listas de permitidos y denegados de la red que comprenden la configuraci\u00f3n del firewall.<\/p>\n<p>En la Figura\u00a06, se muestra que el servicio de cuenta de almacenamiento tiene una pol\u00edtica de denegaci\u00f3n predeterminada, que solo permite el acceso desde dos rangos de red \/24 y <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/storage\/common\/storage-network-security-trusted-azure-services\" target=\"_blank\" rel=\"noopener\">servicios de Azure de confianza<\/a>, como Azure Monitor, Backup y File Sync.<\/p>\n<figure id=\"attachment_163834\" aria-describedby=\"caption-attachment-163834\" style=\"width: 500px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163834 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-102831-163745-9.png\" alt=\"Captura de pantalla del fragmento de reglas de red en Azure Services, que muestra dos reglas\u00a0IP configuradas como \u201cPermitir\u201d con direcciones\u00a0IP espec\u00edficas.\" width=\"500\" height=\"172\" \/><figcaption id=\"caption-attachment-163834\" class=\"wp-caption-text\">Figura 6. ACL de red de cuentas de almacenamiento.<\/figcaption><\/figure>\n<p>Los servicios de confianza en Azure se refieren a una lista predefinida de servicios propiedad de Microsoft a los que, por defecto, se les conceden permisos y acceso a otros recursos de Azure, omitiendo las ACL de red est\u00e1ndar. Microsoft gestiona la lista y esta es espec\u00edfica para el tipo de recurso (por ejemplo, blobs de almacenamiento, b\u00f3vedas de claves).<\/p>\n<h3><a id=\"post-163745-_heading=h.6l1qrqe73vj\"><\/a>T1526: Detecci\u00f3n de servicios en la nube<\/h3>\n<p><img  class=\"alignnone wp-image-163955 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/4-ES-AzureHound-786x120.png\" alt=\"AzureHound puede identificar qu\u00e9 servicios de la plataforma Azure (por ejemplo, aplicaciones web, aplicaciones de funciones y aplicaciones de l\u00f3gica) est\u00e1n en uso.\" width=\"1000\" height=\"153\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/4-ES-AzureHound-786x120.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/4-ES-AzureHound-768x117.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/4-ES-AzureHound.png 1400w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<p>M\u00e1s all\u00e1 del almacenamiento y las identidades, un actor intentar\u00e1 comprender qu\u00e9 servicios de plataforma se usan, ya que pueden presentar v\u00edas de ataque \u00fanicas. Al enumerar servicios como aplicaciones web, aplicaciones de funciones y cl\u00fasteres Kubernetes (AKS), un actor de amenazas puede identificar plataformas de aplicaciones que podr\u00edan estar mal configuradas o ser vulnerables. Esto brinda al actor de amenazas un men\u00fa de objetivos potenciales de servicios de alto nivel.<\/p>\n<p>Para la <a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">detecci\u00f3n de servicios en la nube<\/a>, AzureHound tiene las siguientes capacidades:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list apps<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list web-apps<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list function-apps<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list logic-apps<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list automation-accounts<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list managed-clusters<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list vm-scale-sets<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list container-registries<\/span><\/li>\n<\/ul>\n<p>Con una lista de aplicaciones, la b\u00fasqueda del actor de amenazas se ampl\u00eda a los recursos subyacentes. Esto le permite trazar canalizaciones de automatizaci\u00f3n, cl\u00fasteres Kubernetes y registros de contenedores para las joyas de la corona de la nube. Una sola cuenta de automatizaci\u00f3n mal configurada podr\u00eda permitir la ejecuci\u00f3n de un c\u00f3digo propio del atacante con altos privilegios.<\/p>\n<p>Esta b\u00fasqueda tambi\u00e9n incluye la comprobaci\u00f3n de registros de contenedores expuestos p\u00fablicamente, la extracci\u00f3n de im\u00e1genes para su an\u00e1lisis fuera de l\u00ednea y la b\u00fasqueda de credenciales codificadas, claves de API o bibliotecas vulnerables. Tambi\u00e9n podr\u00eda descubrir recursos abandonados, proporcionando nuevas y poderosas estrategias de ataque.<\/p>\n<p>Por ejemplo, una vez que un actor de amenazas descubre una canalizaci\u00f3n de automatizaci\u00f3n de pruebas olvidada, puede explotar su poderosa identidad y sus derechos sobre un grupo de recursos. Luego, el atacante podr\u00eda usar esta identidad de confianza para inyectar c\u00f3digo malicioso en el manual de ejecuci\u00f3n de la automatizaci\u00f3n, esperando a que se dispare una canalizaci\u00f3n en la nube, para luego ejecutar el c\u00f3digo malicioso con esos permisos elevados.<\/p>\n<p>Para profundizar en las amenazas a las canalizaciones en la nube, consulte el an\u00e1lisis de Unit\u00a042 titulado <a href=\"https:\/\/www.paloaltonetworks.com\/cyberpedia\/anatomy-ci-cd-pipeline-attack\" target=\"_blank\" rel=\"noopener\">Anatomy of a Cloud Supply Pipeline Attack (Anatom\u00eda de un ataque a la canalizaci\u00f3n de suministro en la nube)<\/a>.<\/p>\n<h3><a id=\"post-163745-_heading=h.9bvs03sa9w92\"><\/a>T1580: Detecci\u00f3n de infraestructura en la nube<\/h3>\n<p><img  class=\"alignnone wp-image-163966 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/5-ES-AzureHound-786x118.png\" alt=\"AzureHound puede enumerar recursos de infraestructura fundamentales como m\u00e1quinas virtuales, almacenes de claves y grupos de gesti\u00f3n.\" width=\"1000\" height=\"151\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/5-ES-AzureHound-786x118.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/5-ES-AzureHound-768x116.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/5-ES-AzureHound.png 1420w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<p>Para comprender completamente la arquitectura del entorno objetivo, un actor de amenazas debe detectar los componentes fundacionales de la infraestructura. Esta t\u00e9cnica consiste en enumerar los recursos b\u00e1sicos y las construcciones de gesti\u00f3n que los contienen.<\/p>\n<p>Un actor de amenazas puede construir un mapa arquitect\u00f3nico completo de la implementaci\u00f3n en la nube enumerando lo siguiente:<\/p>\n<ul>\n<li>Virtual machines (m\u00e1quinas virtuales - VM)<\/li>\n<li>B\u00f3vedas de claves<\/li>\n<li>La jerarqu\u00eda de tenants, suscripciones y grupos de recursos<\/li>\n<\/ul>\n<p>Para la <a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">detecci\u00f3n de infraestructura en la nube<\/a>, AzureHound tiene las siguientes capacidades:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list tenants<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list subscriptions<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list resource-groups<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list management-groups<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list virtual-machines<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">list key-vaults<\/span><\/li>\n<\/ul>\n<p>De forma similar al mapeo de usuarios de BloodHound mostrado anteriormente, este caso de uso muestra c\u00f3mo los atacantes examinan visualmente los elementos de la infraestructura con BloodHound. En la Figura\u00a07, se muestran los resultados de la b\u00f3veda de claves. Hemos ocultado u oscurecido las etiquetas y la informaci\u00f3n de los tenants por motivos de confidencialidad.<\/p>\n<figure id=\"attachment_163867\" aria-describedby=\"caption-attachment-163867\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163867 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-109282-163745-12.png\" alt=\"Captura de pantalla de la interfaz del portal Microsoft AzureHound que muestra un diagrama de topolog\u00eda de red con iconos que representan tenant, suscripciones, grupos de recursos y b\u00f3vedas de claves. Los iconos est\u00e1n conectados por l\u00edneas que indican las relaciones. Una flecha a la derecha se\u00f1ala un elemento espec\u00edfico en un men\u00fa de navegaci\u00f3n.\" width=\"1000\" height=\"459\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-109282-163745-12.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-109282-163745-12-786x361.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-109282-163745-12-1525x700.png 1525w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-109282-163745-12-768x353.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-109282-163745-12-1536x705.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163867\" class=\"wp-caption-text\">Figura 7. Ilustraci\u00f3n de BloodHound de las b\u00f3vedas de claves disponibles.<\/figcaption><\/figure>\n<p>En lugar de desplazarse a trav\u00e9s de un resultado, el actor de amenazas tiene una visi\u00f3n general completa de las b\u00f3vedas de claves en la infraestructura del tenant. Puede navegar visualmente por la jerarqu\u00eda desde el tenant hasta los recursos individuales.<\/p>\n<p>Por ejemplo, adem\u00e1s de las b\u00f3vedas de claves, los atacantes pueden hacer clic en un nodo que representa la suscripci\u00f3n de Producci\u00f3n. A continuaci\u00f3n, pueden seleccionar m\u00e1quinas virtuales de la lista de objetos descendientes y ver al instante todas las m\u00e1quinas virtuales conectadas a ella.<\/p>\n<h2><a id=\"post-163745-_heading=h.8kkg6ps19hp2\"><\/a>Perspectiva del defensor<\/h2>\n<p>AzureHound se basa en Microsoft Graph y en las API de REST de Azure para enumerar usuarios, funciones y permisos. Esto significa que una defensa eficaz requiere un enfoque por capas que combine el control de acceso, la seguridad de los endpoints y la visibilidad de la actividad de la API. El objetivo es dificultar considerablemente la autenticaci\u00f3n, la ejecuci\u00f3n y la actuaci\u00f3n de los actores de amenazas en el entorno de una organizaci\u00f3n sin ser detectados.<\/p>\n<h3><a id=\"post-163745-_heading=h.a00xl41vspoc\"><\/a>Mitigaci\u00f3n<\/h3>\n<p>Desde el punto de vista de los defensores, las configuraciones seguras son esenciales. Como se indic\u00f3 anteriormente en el an\u00e1lisis de las t\u00e9cnicas de descubrimiento de MITRE, AzureHound se puede usar para obtener informaci\u00f3n sobre los usuarios y los recursos de Azure dentro de un tenant espec\u00edfico a trav\u00e9s de APIs documentadas p\u00fablicamente. Estas solicitudes de API tambi\u00e9n pueden descubrir vulnerabilidades de seguridad dentro de un tenant. Por su dise\u00f1o, esta informaci\u00f3n es accesible por tenant para los usuarios con una cuenta de Entra\u00a0ID con privilegios de lectura en ese tenant.<\/p>\n<p>Para reforzar la seguridad de su cuenta de Azure, recomendamos a los clientes que sigan <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/security\/fundamentals\/identity-management-best-practices\" target=\"_blank\" rel=\"noopener\">las pr\u00e1cticas recomendadas de Microsoft<\/a>. Adem\u00e1s, para ayudar a prevenir el acceso no autorizado necesario para que esta t\u00e9cnica tenga \u00e9xito, recomendamos a los administradores implementar <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/security\/fundamentals\/steps-secure-identity\" target=\"_blank\" rel=\"noopener\">medidas de seguridad adicionales<\/a>.<\/p>\n<p>Adem\u00e1s de las pr\u00e1cticas recomendadas de Microsoft y los pasos de seguridad adicionales, las siguientes medidas de mitigaci\u00f3n pueden ayudar a proteger a\u00fan m\u00e1s su organizaci\u00f3n. Algunas de ellas se superponen con las pr\u00e1cticas recomendadas y otras son controles complementarios o consideraciones de pol\u00edticas que podr\u00edan aplicarse para reforzar a\u00fan m\u00e1s su entorno.<\/p>\n<p>La primera l\u00ednea de defensa es un s\u00f3lido control de identidades y accesos, que controle lo que un usuario, un grupo o un principal de servicio puede hacer. Las organizaciones deber\u00edan implementar la MFA resistente al phishing para todas las cuentas, especialmente las que tienen acceso a datos confidenciales o funciones administrativas. Los usuarios que realicen tareas altamente privilegiadas, como administradores globales o administradores de funciones privilegiadas, deber\u00edan mantener cuentas separadas para esas tareas.<\/p>\n<p>Las soluciones de gesti\u00f3n de identidades privilegiadas (PIM), como la PIM de Microsoft Entra\u00a0ID o plataformas m\u00e1s amplias de gesti\u00f3n de acceso privilegiado (PAM), permiten a las organizaciones gestionar, controlar y supervisar el acceso a identidades privilegiadas. Estas soluciones ayudan a evitar que la vulneraci\u00f3n de las credenciales de usuario est\u00e1ndar conceda a un actor de amenazas un acceso elevado.<\/p>\n<p>Adem\u00e1s del control de identidades y accesos, las <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/conditional-access\/overview\" target=\"_blank\" rel=\"noopener\">pol\u00edticas de acceso condicional<\/a> (CAP) ayudan a mitigar la exposici\u00f3n a AzureHound al restringir el acceso de usuarios y aplicaciones. Las CAP forman parte de Entra\u00a0ID y se aplican durante la autenticaci\u00f3n. Funcionan aplicando los requisitos definidos por las CAP, incluida la MFA, la conformidad de los dispositivos, las ubicaciones de confianza y las restricciones de las aplicaciones del cliente. Debido a esto, las CAP pueden bloquear el acceso de AzureHound a Microsoft Graph y a las API de gesti\u00f3n de Azure, incluso si un atacante ha obtenido credenciales v\u00e1lidas.<\/p>\n<p>Otra medida eficaz es la vinculaci\u00f3n de tokens, que garantiza que los tokens de autenticaci\u00f3n est\u00e9n vinculados a un dispositivo espec\u00edfico. Esta funci\u00f3n se denomina <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/conditional-access\/concept-token-protection\" target=\"_blank\" rel=\"noopener\">protecci\u00f3n de token<\/a> en Entra\u00a0ID y pas\u00f3 a disponibilidad general en agosto de 2025.<\/p>\n<p>Como se coment\u00f3 anteriormente, Void Blizzard ha usado tokens de autenticaci\u00f3n robados. Estos tokens pueden usarse para autenticarse en el entorno de destino, incluido AzureHound en la API de Microsoft Graph. La vinculaci\u00f3n de tokens puede ayudar a mitigar los ataques de robo de tokens haciendo que el token robado no sea v\u00e1lido desde un dispositivo diferente.<\/p>\n<p>Adem\u00e1s, los navegadores seguros pueden brindar una protecci\u00f3n similar blindando el acceso a aplicaciones privadas o privilegiadas y garantizando que los tokens emitidos solo sean v\u00e1lidos desde el navegador seguro. Esto hace que los tokens no sean v\u00e1lidos desde la l\u00ednea de comandos, para herramientas como AzureHound.<\/p>\n<p>Adem\u00e1s de los controles de identidad, la visibilidad a nivel de endpoint sigue siendo esencial para detectar y prevenir las amenazas de AzureHound y otras amenazas. Aseg\u00farese de que las herramientas de detecci\u00f3n y respuesta de endpoints (EDR\/XDR) se implementen en todos los activos, incluidas las cargas de trabajo en la nube, como la detecci\u00f3n y respuesta en la nube (CDR).<\/p>\n<p>En <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">2025 Unit\u00a042 Global Incident Response Report<\/a> (Informe de respuesta ante incidentes global de Unit\u00a042 de 2025), se analiza c\u00f3mo los actores de amenazas atacan a los activos no gestionados. Estos activos son los que no disponen de herramientas de detecci\u00f3n y respuesta para endpoints (EDR\/XDR\/CDR), con una probabilidad reducida de que se descubran las amenazas.<\/p>\n<p>Tambi\u00e9n es vital que las organizaciones usen una combinaci\u00f3n de herramientas de gesti\u00f3n de la postura de seguridad en la nube (CSPM) y CDR para detectar a los atacantes que crean nuevas instancias de c\u00f3mputo (es decir, m\u00e1quinas virtuales, contenedores o funciones sin servidor). Esto tambi\u00e9n ayuda a garantizar que los agentes de endpoints en la nube est\u00e9n correctamente instalados y configurados para mantener las capacidades de supervisi\u00f3n sobre las instancias de computaci\u00f3n reci\u00e9n creadas. Cerrar las brechas de visibilidad reduce dr\u00e1sticamente la capacidad del actor de amenazas para eludir la detecci\u00f3n.<\/p>\n<p>AzureHound revela qu\u00e9 identidades pueden registrar aplicaciones dentro del tenant de Azure, por lo que controlar los registros de aplicaciones es otra mitigaci\u00f3n eficaz contra AzureHound. A menudo, los actores de amenazas se aprovechan de la configuraci\u00f3n predeterminada que permite a los usuarios registrar aplicaciones y concederse permisos elevados. Esto, a su vez, puede dar lugar a una amplia visibilidad del directorio sin inicios de sesi\u00f3n interactivos o MFA.<\/p>\n<p>Deshabilitar los registros de aplicaciones iniciados por el usuario y exigir un flujo de trabajo de consentimiento del administrador reduce las posibilidades de que un actor de amenazas cree principales de servicios maliciosos o eluda la AMF mediante la autenticaci\u00f3n basada en aplicaciones con token.<\/p>\n<h3><a id=\"post-163745-_heading=h.oscbo4dc0g71\"><\/a>Consideraciones de inicio de sesi\u00f3n<\/h3>\n<p>Los registros de actividad de Microsoft Graph est\u00e1n disponibles en versi\u00f3n preliminar desde <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/microsoft-entra-blog\/microsoft-graph-activity-log-is-now-available-in-public-preview\/3848269\" target=\"_blank\" rel=\"noopener\">octubre de 2023<\/a> y alcanzaron la disponibilidad general en <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/microsoft-entra-blog\/microsoft-graph-activity-logs-is-now-generally-available\/4094535\" target=\"_blank\" rel=\"noopener\">abril de 2024<\/a>. Esta importante capacidad permite a los defensores supervisar las solicitudes HTTP al servicio de Graph y detectar patrones de enumeraci\u00f3n sospechosos.<\/p>\n<p>Por defecto, los <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/microsoftsecurityexperts\/cloud-forensics-why-enabling-microsoft-azure-graph-activity-logs-matters\/4234632\" target=\"_blank\" rel=\"noopener\">registros de actividad de Microsoft Graph<\/a> no est\u00e1n activados. Los defensores deben configurar Entra\u00a0ID de Microsoft para exportar los registros de actividad de Microsoft Graph a destinos como Azure Event Hubs. Esto da lugar a la integraci\u00f3n con soluciones de gesti\u00f3n de eventos e informaci\u00f3n de seguridad (SIEM), as\u00ed como con herramientas EDR, XDR y CDR. Estos registros capturan detalles granulares de las llamadas a la API que han pasado por la API de Graph, incluidos los endpoints a los que se dirigen herramientas como AzureHound.<\/p>\n<p>Algunas solicitudes de AzureHound llaman a la API de REST de Azure en el endpoint de ARM <span style=\"font-family: 'courier new', courier, monospace;\">management.azure[.]com<\/span>. Estas <a href=\"https:\/\/learn.microsoft.com\/en-us\/rest\/api\/azure\/#request-uri\" target=\"_blank\" rel=\"noopener\">solicitudes al proveedor de ARM<\/a> se registran de forma diferente a las llamadas a la API de Graph y presentan problemas de visibilidad.<\/p>\n<p>Los <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/azure-monitor\/platform\/monitor-azure-resource#activity-log\" target=\"_blank\" rel=\"noopener\">registros de actividad<\/a> recopilan eventos a nivel de suscripci\u00f3n del proveedor de ARM, como la creaci\u00f3n de un nuevo recurso o la eliminaci\u00f3n de una cuenta de almacenamiento, que son eventos no asociados con las solicitudes de AzureHound. Las operaciones de lectura y listado (llamadas REST GET) que invoca AzureHound <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/azure-monitor\/platform\/activity-log?tabs=log-analytics#activity-log-entries\" target=\"_blank\" rel=\"noopener\">no constan en los registros de actividad<\/a>.<\/p>\n<p>Mientras que <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/azure-monitor\/platform\/monitor-azure-resource#diagnostic-settings\" target=\"_blank\" rel=\"noopener\">es posible habilitar expl\u00edcitamente los ajustes de diagn\u00f3stico<\/a> para varios tipos de recursos con el fin de capturar el registro a nivel de proveedor de recursos, esto solo registrar\u00e1 las operaciones de lectura del endpoint de servicio a <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/azure-resource-manager\/management\/control-plane-and-data-plane\" target=\"_blank\" rel=\"noopener\">nivel de plano de datos<\/a> (por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">mystorage.blob.core.windows[.]net<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">myvault.vault.azure[.]net<\/span>). Esto no ocurre en el plano de control, donde tienen lugar las solicitudes al proveedor de ARM. Como resultado, las llamadas de enumeraci\u00f3n de AzureHound a la API de REST de Azure, como la enumeraci\u00f3n de cuentas de almacenamiento (<span style=\"font-family: 'courier new', courier, monospace;\">azurehound list storage-accounts<\/span>) o de b\u00f3vedas de claves (<span style=\"font-family: 'courier new', courier, monospace;\">azurehound list key-vaults<\/span>), no aparecer\u00e1n en los registros de actividad o recursos.<\/p>\n<p>El <a href=\"https:\/\/github.com\/SpecterOps\/AzureHound\" target=\"_blank\" rel=\"noopener\">repositorio GitHub de AzureHound<\/a> brinda contexto adicional e informaci\u00f3n sobre qu\u00e9 API utiliza un comando de AzureHound y, en consecuencia, en qu\u00e9 registro buscar los eventos.<\/p>\n<p>Por ejemplo, los detalles sobre el comando azurehound <span style=\"font-family: 'courier new', courier, monospace;\">list storage-accounts<\/span> comentado anteriormente se pueden encontrar en el <a href=\"https:\/\/github.com\/SpecterOps\/AzureHound\/blob\/main\/client\/storage_accounts.go\" target=\"_blank\" rel=\"noopener\">c\u00f3digo de cliente de la API de AzureHound para cuentas de almacenamiento<\/a>. En la Figura\u00a08, se ilustra el c\u00f3digo de cliente de AzureHound que utiliza la API de REST de Azure para la enumeraci\u00f3n de cuentas de almacenamiento.<\/p>\n<figure id=\"attachment_163878\" aria-describedby=\"caption-attachment-163878\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163878 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-112154-163745-13.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo relacionado con la cuenta de almacenamiento de Microsoft Azure, con par\u00e1metros para el ID de suscripci\u00f3n y la fecha de la versi\u00f3n de la API.\" width=\"1000\" height=\"153\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-112154-163745-13.png 1652w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-112154-163745-13-786x120.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-112154-163745-13-768x117.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-112154-163745-13-1536x234.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163878\" class=\"wp-caption-text\">Figura 8. C\u00f3digo fuente de la enumeraci\u00f3n de cuentas de almacenamiento de AzureHound.<\/figcaption><\/figure>\n<p>En la Figura\u00a09, se ilustra el <a href=\"https:\/\/github.com\/SpecterOps\/AzureHound\/blob\/main\/client\/roles.go\" target=\"_blank\" rel=\"noopener\">c\u00f3digo de cliente de AzureHound para la enumeraci\u00f3n de funciones<\/a> mediante el comando de listado de funciones con la API de Graph.<\/p>\n<figure id=\"attachment_163889\" aria-describedby=\"caption-attachment-163889\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163889 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-114487-163745-14.png\" alt=\"Captura de pantalla de un script de codificaci\u00f3n usando Azure\u00a0AD y la API de Microsoft Graph con funciones y variables escritas en rojo y azul sobre fondo blanco.\" width=\"1000\" height=\"149\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-114487-163745-14.png 1502w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-114487-163745-14-786x117.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-114487-163745-14-768x115.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163889\" class=\"wp-caption-text\">Figura 9. C\u00f3digo fuente de la enumeraci\u00f3n de funciones de AzureHound.<\/figcaption><\/figure>\n<p>Entre los comandos de lista de AzureHound que pasan por el endpoint ARM de la API de REST de Azure y que, por tanto, pueden no ser visibles en los registros, se incluyen los siguientes:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">automation-accounts<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">container-registries<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">function-apps<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">key-vaults<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">logic-apps<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">managed-clusters<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">management-groups<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">resource-groups<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">storage-accounts<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">storage-containers<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">virtual-machines<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">vm-scale-sets<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">web-apps<\/span><\/li>\n<\/ul>\n<p>Este punto d\u00e9bil de registro revela un comportamiento inesperado de AzureHound. Todos los comandos de <span style=\"font-family: 'courier new', courier, monospace;\">azurehound list<\/span> van precedidos de llamadas de prueba de AzureHound a los endpoints y las API que utiliza la herramienta. Los <a href=\"https:\/\/github.com\/SpecterOps\/AzureHound\/blob\/main\/constants\/environments.go\" target=\"_blank\" rel=\"noopener\">endpoints y las <\/a>llamadas <a href=\"https:\/\/github.com\/SpecterOps\/AzureHound\/blob\/main\/constants\/environments.go\" target=\"_blank\" rel=\"noopener\">API<\/a> difieren en funci\u00f3n del <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity-platform\/authentication-national-cloud\" target=\"_blank\" rel=\"noopener\">entorno de Azure<\/a> (por ejemplo, Azure Cloud global, gobierno de EE.\u00a0UU., China).<\/p>\n<p>El entorno global de Azure Cloud usa los siguientes endpoints de autenticaci\u00f3n y API:<\/p>\n<ul>\n<li>Endpoint de la plataforma de identidad de Microsoft: <span style=\"font-family: 'courier new', courier, monospace;\">login.microsoftonline[.]com<\/span><\/li>\n<li>API de Graph de Microsoft: <span style=\"font-family: 'courier new', courier, monospace;\">graph.microsoft[.]com<\/span><\/li>\n<li>Endpoint de ARM de la API de REST de Azure: <span style=\"font-family: 'courier new', courier, monospace;\">management.azure[.]com<\/span><\/li>\n<\/ul>\n<p>En la Figura\u00a010, se muestra un extracto del resultado detallado de la ejecuci\u00f3n de AzureHound para estas llamadas de prueba.<\/p>\n<figure id=\"attachment_163900\" aria-describedby=\"caption-attachment-163900\" style=\"width: 826px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163900 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-116755-163745-15.png\" alt=\"Captura de pantalla de una interfaz de l\u00ednea de comandos que muestra registros de la versi\u00f3n\u00a02.6.0 de AzureHound, una herramienta del equipo BloodHound Enterprise, que indica conexiones de prueba y el inicio de procesos de recopilaci\u00f3n de datos en los que intervienen servicios de Microsoft Azure.\" width=\"826\" height=\"197\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-116755-163745-15.png 826w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-116755-163745-15-786x187.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-116755-163745-15-768x183.png 768w\" sizes=\"(max-width: 826px) 100vw, 826px\" \/><figcaption id=\"caption-attachment-163900\" class=\"wp-caption-text\">Figura 10. Solicitudes de prueba de la API de AzureHound.<\/figcaption><\/figure>\n<p>La llamada de AzureHound al endpoint de la plataforma de identidad de Microsoft <span style=\"font-family: 'courier new', courier, monospace;\">endpoint login.microsoftonline[.]com<\/span> se registra en los <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/monitoring-health\/concept-noninteractive-sign-ins\" target=\"_blank\" rel=\"noopener\">registros de inicio de sesi\u00f3n no interactivos de Entra\u00a0ID<\/a>. Si el registro de la API de Graph est\u00e1 activado como se describi\u00f3 anteriormente, la llamada de prueba a la API de Microsoft Graph (<span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/graph.microsoft[.]com\/v1.0\/organization<\/span>) ser\u00e1 visible en los registros de actividad de Microsoft Graph. Debido a las limitaciones de registro mencionadas anteriormente, no se registra la llamada de prueba a la API de REST de Azure en <span style=\"font-family: 'courier new', courier, monospace;\">management.azure[.]com<\/span>.<\/p>\n<p>En la Tabla 1, se muestra informaci\u00f3n de los registros para la solicitud de <span style=\"font-family: 'courier new', courier, monospace;\">list storage-accounts<\/span> realizada a las 10:57 PM y la solicitud de <span style=\"font-family: 'courier new', courier, monospace;\">list groups<\/span> realizada a las 11:25 PM. Recuerde que la enumeraci\u00f3n de cuentas de almacenamiento usa la API de REST de Azure.<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>L\u00ednea de comandos de AzureHound<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Llamadas a la API de AzureHound<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Tiempo registrado<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>RequestURI registrada<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Usuario-agente registrado<\/strong><\/td>\n<\/tr>\n<tr>\n<td rowspan=\"2\"><span style=\"font-family: 'courier new', courier, monospace;\">listar cuentas de almacenamiento<\/span><\/td>\n<td>Llamada de prueba de AzureHound a la API de Graph para determinar la accesibilidad<sup>[1]<\/sup><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">8\/1\/2025, 10:57:35.185 PM<\/span><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/graph.microsoft[.]com\/v1.0\/organization<\/span><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">azurehound\/v2.6.0<\/span><\/td>\n<\/tr>\n<tr>\n<td>Llamada a la API de REST de Azure para enumerar los datos de la cuenta de almacenamiento.<\/td>\n<td colspan=\"3\"><em>No se registra la llamada a la API de REST en <span style=\"font-family: 'courier new', courier, monospace;\">management.azure[.]com\/[...]Microsoft.Storage\/storageAccounts\/list<\/span><\/em><\/td>\n<\/tr>\n<tr>\n<td rowspan=\"2\"><span style=\"font-family: 'courier new', courier, monospace;\">listar grupos<\/span><\/td>\n<td>Llamada de prueba de AzureHound a la API de Graph para determinar la accesibilidad<sup>[1]<\/sup><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">8\/1\/2025, 11:25:45.561 PM<\/span><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/graph.microsoft[.]com\/v1.0\/organization<\/span><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">azurehound\/v2.6.0<\/span><\/td>\n<\/tr>\n<tr>\n<td>Llamada a la API de Microsoft Graph para enumerar los datos del grupo.<\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">8\/1\/2025, 11:25:45.651 PM<\/span><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/graph.microsoft[.]com\/v1.0\/groups?%24filter=securityEnabled+eq+true&amp;%24top=99<\/span><\/td>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">azurehound\/v2.6.0<\/span><\/td>\n<\/tr>\n<tr>\n<td colspan=\"5\">Aunque en la tabla solo incluimos la llamada de prueba a la API de Graph, las tres llamadas de prueba mencionadas antes se invocan cada vez.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a01. API de Microsoft Graph versus registro de solicitudes de la API de REST de Azure.<\/span><\/p>\n<p>Los datos muestran que, mientras que el comando de <span style=\"font-family: 'courier new', courier, monospace;\">listar grupos<\/span> registra la operaci\u00f3n de lectura para la enumeraci\u00f3n de grupos (API de Graph: <span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/graph.microsoft[.]com\/v1.0\/groups?[...]<\/span>), la solicitud de listar cuentas de almacenamiento no tiene ning\u00fan RequestURI asociado registrado para la operaci\u00f3n de lectura de las cuentas de almacenamiento (API de REST de Azure: <span style=\"font-family: 'courier new', courier, monospace;\">Microsoft.Storage\/storageAccounts\/list<\/span>). Este es el punto d\u00e9bil del registro de la API de REST que mencionamos anteriormente. Sin embargo, podemos cotejar estas llamadas de prueba con informaci\u00f3n de otros registros para tener m\u00e1s visibilidad de esta actividad.<\/p>\n<p>Para los comandos de listado de AzureHound que usan la API de REST de Azure, se registra la solicitud inicial <span style=\"font-family: 'courier new', courier, monospace;\">\/organization<\/span> de la API de Graph usada para probar la conexi\u00f3n. Se puede usar para correlacionar eventos cotejando campos como el ID de sesi\u00f3n, la direcci\u00f3n\u00a0IP, el ID de usuario y el agente-usuario con otra actividad de registro en los registros de actividad de Microsoft Graph y los registros de inicio de sesi\u00f3n de Entra\u00a0ID.<\/p>\n<p>Adem\u00e1s de los registros de actividad y recursos de la API de Microsoft Graph y la API de REST de Azure, los registros de inicio de sesi\u00f3n de Entra\u00a0ID y los registros de auditor\u00eda pueden proporcionar contexto adicional.<\/p>\n<p>Como su nombre indica, <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/monitoring-health\/concept-sign-ins\" target=\"_blank\" rel=\"noopener\">los registros de inicio de sesi\u00f3n de Entra\u00a0ID<\/a> registran los inicios de sesi\u00f3n exitosos y fallidos, pero estos registros tambi\u00e9n registran lo siguiente:<\/p>\n<ul>\n<li>Evaluaci\u00f3n de las pol\u00edticas CAP<\/li>\n<li>Emisi\u00f3n de tokens para llamadas a la API<\/li>\n<li>Agente-usuario y dispositivo<\/li>\n<li>Detalles de MFA<\/li>\n<\/ul>\n<p>La informaci\u00f3n contenida en estos registros puede ayudar a identificar patrones de inicio de sesi\u00f3n sospechosos, tales como:<\/p>\n<ul>\n<li>Geograf\u00eda ins\u00f3lita<\/li>\n<li>Viaje imposible<\/li>\n<li>Inicio de sesi\u00f3n en los recursos de Microsoft Graph y en las API de administraci\u00f3n de Azure en r\u00e1pida sucesi\u00f3n<\/li>\n<li>Cuentas que inician sesi\u00f3n sin MFA<\/li>\n<\/ul>\n<p>Los <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/monitoring-health\/concept-audit-logs\" target=\"_blank\" rel=\"noopener\">registros de auditor\u00eda de Entra<\/a> siguen los cambios de configuraci\u00f3n a nivel de directorio en Microsoft Entra\u00a0ID, incluido lo siguiente:<\/p>\n<ul>\n<li>Modificaci\u00f3n de usuarios y grupos (creaci\u00f3n, eliminaci\u00f3n, actualizaci\u00f3n)<\/li>\n<li>Asignaci\u00f3n y eliminaci\u00f3n de funciones<\/li>\n<li>Registro de aplicaciones y modificaci\u00f3n de principales de servicio<\/li>\n<li>Consentimiento de aplicaciones<\/li>\n<li>Cambios en la pol\u00edtica de acceso condicional<\/li>\n<li>Activaci\u00f3n y desactivaci\u00f3n de roles PIM<\/li>\n<\/ul>\n<p>Como tal, los registros de auditor\u00eda no son muy \u00fatiles para detectar directamente la actividad de AzureHound. Sin embargo, son \u00fatiles para encontrar actividad posterior despu\u00e9s de que un actor de amenazas haya escalado privilegios, como la creaci\u00f3n por parte del actor de un nuevo usuario para la persistencia y la asignaci\u00f3n de funciones privilegiadas.<\/p>\n<p>Tambi\u00e9n cabe se\u00f1alar que en julio de 2025, Defender\u00a0XDR introdujo una nueva tabla de b\u00fasqueda avanzada, <a href=\"https:\/\/learn.microsoft.com\/en-us\/defender-xdr\/advanced-hunting-graphapiauditevents-table\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">GraphApiAuditEvents<\/span><\/a>, en vista previa p\u00fablica. Se trata de una versi\u00f3n reducida de los registros de actividad de Microsoft Graph que brinda visibilidad de las llamadas a la API de Entra\u00a0ID Graph sin costes adicionales de ingesti\u00f3n o almacenamiento. El esquema est\u00e1 simplificado, e incluye campos clave como <span style=\"font-family: 'courier new', courier, monospace;\">RequestURI<\/span> e identificadores de token. Sin embargo, carece del campo <span style=\"font-family: 'courier new', courier, monospace;\">UserAgent<\/span> y se limita por defecto a 30\u00a0d\u00edas de <a href=\"https:\/\/learn.microsoft.com\/en-us\/defender-xdr\/data-privacy#data-retention\" target=\"_blank\" rel=\"noopener\">retenci\u00f3n de datos<\/a>.<\/p>\n<p>En la siguiente secci\u00f3n, veremos c\u00f3mo usamos esta informaci\u00f3n para buscar en Cortex XDR o XSIAM actividades relacionadas con actores de amenazas.<\/p>\n<h3><a id=\"post-163745-_heading=h.4rr4x4b3mna3\"><\/a>B\u00fasqueda de amenazas<\/h3>\n<p>Aunque Cortex Cloud incluye varias detecciones para la actividad de detecci\u00f3n en la nube de Azure, un respondedor ante incidentes o un buscador de amenazas tambi\u00e9n puede usar las consultas XQL de Cortex para profundizar en los datos y obtener m\u00e1s detalles sobre eventos individuales. En el nivel m\u00e1s b\u00e1sico, esto puede hacerse consultando el conjunto de datos <span style=\"font-family: 'courier new', courier, monospace;\">cloud_audit_logs<\/span> de Cortex en busca de solicitudes en las que el agente usuario contenga un identificador de AzureHound (por defecto: <span style=\"font-family: 'courier new', courier, monospace;\">azurehound\/&lt;version&gt;<\/span>).<\/p>\n<p>Las <a href=\"https:\/\/www.huntress.com\/blog\/threat-hunting-for-business-email-compromise-through-user-agents\" target=\"_blank\" rel=\"noopener\">observaciones de la industria<\/a> indican que, en muchos casos, los actores de amenazas usan herramientas con configuraciones predeterminadas, incluidas las cadenas de agente usuario, que brindan un par\u00e1metro f\u00e1cil para una consulta de b\u00fasqueda inicial.<\/p>\n<pre class=\"lang:default decode:true\">dataset = cloud_audit_logs\r\n\r\n| filter lowercase(user_agent) contains \"azurehound\"<\/pre>\n<p>Opcionalmente, se puede establecer un filtro para la operaci\u00f3n de la API para filtrar los resultados de esa operaci\u00f3n respectiva. El siguiente ejemplo busca la actividad de AzureHound (<span style=\"font-family: 'courier new', courier, monospace;\">azurehound list users<\/span>) que est\u00e1 consultando la API de Microsoft Graph para obtener una lista de usuarios de Entra\u00a0ID.<\/p>\n<pre class=\"lang:default decode:true\">dataset = cloud_audit_logs\r\n\r\n| filter lowercase(user_agent) contains \"azurehound\"\r\n\r\n| filter operation_name_orig contains \"1.0\/users\" or operation_name_orig contains \"beta\/users\"<\/pre>\n<p>Cortex ingiere datos de registro de Azure. La actividad en Azure se muestra a trav\u00e9s del registro de actividad de Microsoft Entra\u00a0ID y Microsoft Graph y se vincula a sus capacidades de auditor\u00eda y supervisi\u00f3n de inicio de sesi\u00f3n. Esto proporciona visibilidad de las solicitudes HTTP realizadas a la API de Microsoft Graph dentro de un tenant.<\/p>\n<p>En la Figura 11, se muestra una entrada de registro de actividad sin procesar de muestra que representa una solicitud para <span style=\"font-family: 'courier new', courier, monospace;\">list users<\/span> de AzureHound que se ha desinfectado para mantener el anonimato. Los defensores pueden utilizar muchos de los campos para crear consultas adicionales que se ajusten a la situaci\u00f3n que est\u00e1n investigando. Por ejemplo, filtrar por <span style=\"font-family: 'courier new', courier, monospace;\">signInActivityId<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">callerIpAddress<\/span> espec\u00edficos.<\/p>\n<figure id=\"attachment_163911\" aria-describedby=\"caption-attachment-163911\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163911 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-119119-163745-16.png\" alt=\"Captura de pantalla que muestra un fragmento de c\u00f3digo JSON relacionado con la API de Microsoft Graph, destacando detalles como el ID de la solicitud, el nombre de la operaci\u00f3n y las marcas de tiempo.\" width=\"1000\" height=\"865\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-119119-163745-16.png 1377w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-119119-163745-16-509x440.png 509w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-119119-163745-16-809x700.png 809w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-119119-163745-16-768x664.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163911\" class=\"wp-caption-text\">Figura 11. Extracto sin procesar del registro de actividad de Azure para los usuarios de la lista de AzureHound.<\/figcaption><\/figure>\n<p>Hay otros elementos \u00fatiles del extracto de registro:<\/p>\n<ul>\n<li>La cadena <span style=\"font-family: 'courier new', courier, monospace;\">user-agent<\/span> indica que lo m\u00e1s probable es que se haya usado AzureHound para realizar esta solicitud.<\/li>\n<li>El campo Request URI indica que AzureHound est\u00e1 extrayendo datos de usuario a trav\u00e9s de <span style=\"font-family: 'courier new', courier, monospace;\">GET \/users<\/span> con un gran conjunto de atributos (<span style=\"font-family: 'courier new', courier, monospace;\">accountEnabled, createdDateTime, displayName, mail, userPrincipalName<\/span>, etc.). Esto es consistente con el mapeo de detecci\u00f3n y escalada de privilegios.<\/li>\n<li>En el campo App\u00a0ID, el valor <span style=\"font-family: 'courier new', courier, monospace;\">1950a258-227b-4e31-a9cf-717495945fc2<\/span> es el ID de cliente de Microsoft Azure PowerShell. Es importante mencionarlo, ya que, a menudo, herramientas ofensivas y actores de amenazas usan PowerShell.<\/li>\n<li>Y por \u00faltimo, UserPrincipalObjectID (<span style=\"font-family: 'courier new', courier, monospace;\">454b1120-3507-4bbb-b559-87b7f64af7fa<\/span>) es el ID de objeto de Entra\u00a0ID del usuario cuyas credenciales se utilizaron. Para obtener m\u00e1s informaci\u00f3n, correlacione el ID de actividad de inicio de sesi\u00f3n (<span style=\"font-family: 'courier new', courier, monospace;\">frZ7H7lx8kSlDW0b-4MfAA<\/span>) con los registros de inicio de sesi\u00f3n de Entra\u00a0ID.<\/li>\n<\/ul>\n<p>La identificaci\u00f3n de un alto volumen de enumeraci\u00f3n de API por una \u00fanica identidad tambi\u00e9n es una estrategia \u00fatil para que los defensores ayuden a identificar actividades sospechosas de detecci\u00f3n. AzureHound puede generar r\u00e1fagas de llamadas a la API en un tiempo breve al consultar las API de REST de Microsoft Graph o Azure. Esto puede ocurrir durante solicitudes de recursos de gran volumen como usuarios, funciones, m\u00e1quinas virtuales o aplicaciones, o simplemente cuando se utiliza \u2018<span style=\"font-family: 'courier new', courier, monospace;\">azurehound list<\/span>\u2019 para enumerar todo el entorno Azure a la vez. Cuando se combina con cadenas de <span style=\"font-family: 'courier new', courier, monospace;\">user-agent<\/span> y la direcci\u00f3n IP de la entidad que llama, esto puede brindar una se\u00f1al para una amplia enumeraci\u00f3n de un entorno Azure.<\/p>\n<p>La siguiente consulta XQL ayuda a mostrar esta enumeraci\u00f3n. Los filtros <span style=\"font-family: 'courier new', courier, monospace;\">operation_name<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">operation_name_orig<\/span> limitar\u00e1n los resultados para limitar la b\u00fasqueda a las solicitudes GET de la API de Graph que AzureHound usa como se explic\u00f3 anteriormente.<\/p>\n<p>Las etapas <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Documentation\/bin\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">bin<\/span><\/a> y <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Documentation\/comp\" target=\"_blank\" rel=\"noopener\">comp<\/a><\/span> junto con la funci\u00f3n <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Documentation\/count\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">count()<\/span><\/a> se usan para agrupar los datos en cubos de 60\u00a0minutos a fin de compararlos con el umbral <span style=\"font-family: 'courier new', courier, monospace;\">apiCallCount<\/span> (500\u00a0llamadas cada 60\u00a0minutos en el ejemplo). El <span style=\"font-family: 'courier new', courier, monospace;\">apiCallCount<\/span> debe ajustarse al tama\u00f1o del entorno Azure. Es probable que las organizaciones m\u00e1s grandes reciban un mayor n\u00famero de solicitudes, ya que el n\u00famero de usuarios, funciones, m\u00e1quinas virtuales y aplicaciones suele ser mucho mayor que aquel de las organizaciones m\u00e1s peque\u00f1as.<\/p>\n<pre class=\"lang:default decode:true\">dataset = cloud_audit_logs\r\n\r\n| filter operation_name = \"GET\"\r\n\r\n| filter operation_name_orig contains \"graph.microsoft.com\"\r\n\r\n| bin _time span = 60m\r\n\r\n| comp count() as apiCallCount by identity_name, user_agent, caller_ip, _time\r\n\r\n| filter apiCallCount &gt; 500 \/\/ adjust to your environment\r\n\r\n| sort desc apiCallCount<\/pre>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Documentation\/Cortex-XSIAM-XQL\" target=\"_blank\" rel=\"noopener\">Las consultas de Cortex\u00a0XQL<\/a> permiten a los defensores profundizar en la telemetr\u00eda recopilada de fuentes como los registros de actividad de la API de Microsoft Graph para descubrir indicadores detallados de la actividad de AzureHound. Las consultas que correlacionan el volumen de solicitudes, la identidad del usuario, la IP de la persona que llama y el agente usuario durante ventanas de tiempo definidas pueden ayudar a los defensores a identificar patrones de enumeraci\u00f3n inusuales t\u00edpicos de AzureHound.<\/p>\n<h2><a id=\"post-163745-_heading=h.4qf4ej4kp0lw\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Los actores de amenazas utilizan las capacidades de AzureHound para la detecci\u00f3n selectiva de la nube. Su capacidad para enumerar usuarios, grupos, aplicaciones, permisos y relaciones de recursos se corresponde directamente con las TTP de ATT&amp;CK de MITRE. Esto brinda a los actores de amenazas como Curious Serpens y Void Blizzard un m\u00e9todo estructurado para mapear entornos, identificar cuentas para la escalada de privilegios y localizar las joyas de la corona de los entornos de nube.<\/p>\n<p>La detecci\u00f3n de esta actividad depende de la visibilidad de la telemetr\u00eda. Los registros de actividad de Microsoft Graph ofrecen un rico registro de las llamadas a la API, lo que permite a los defensores identificar patrones de detecci\u00f3n. Cuando se combinan con otros registros de Azure y Entra\u00a0ID, estas fuentes forman una capa de supervisi\u00f3n integral que eleva la detecci\u00f3n de amenazas y la respuesta ante incidentes.<\/p>\n<p>Consulte la gu\u00eda <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/detecting-threats-with-microsoft-graph-activity-logs\/\" target=\"_blank\" rel=\"noopener\">Detecting Threats with Microsoft Graph Activity Logs (Detecci\u00f3n de amenazas con los registros de actividad de Microsoft Graph)<\/a> para obtener informaci\u00f3n sobre la configuraci\u00f3n del registro de la API de Graph, la integraci\u00f3n con Cortex\u00a0XDR y el uso de Cortex para investigar la actividad de Microsoft Graph.<\/p>\n<p>Al alinear las detecciones con el marco de ATT&amp;CK de MITRE y aprovechar estas fuentes de registro, los defensores pueden combinar la visibilidad con el control proactivo. Todas las siguientes son acciones cr\u00edticas que refuerzan la capacidad de una organizaci\u00f3n para que los atacantes no tengan \u00e9xito:<\/p>\n<ul>\n<li>Adaptaci\u00f3n de las herramientas leg\u00edtimas de detecci\u00f3n a los escenarios de amenaza<\/li>\n<li>Correlaci\u00f3n de datos entre sistemas<\/li>\n<li>Aplicaci\u00f3n de pol\u00edticas de acceso condicional<\/li>\n<li>Respeto del principio de privilegios m\u00ednimos<\/li>\n<li>Seguimiento estrecho de las desviaciones del comportamiento normal<\/li>\n<\/ul>\n<h3><a id=\"post-163745-_heading=h.byrjj8tp0fg8\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/What-is-Cortex-Cloud-Identity-Security\" target=\"_blank\" rel=\"noopener\">La seguridad de identidad de Cortex Cloud engloba <\/a>la gesti\u00f3n de derechos de infraestructura en la nube (CIEM), la gesti\u00f3n de posturas de seguridad de identidad (ISPM), la gobernanza de acceso a datos (DAG) y la detecci\u00f3n y respuesta a amenazas de identidad (ITDR), y proporciona a los clientes las capacidades necesarias para mejorar sus requisitos de seguridad relacionados con la identidad. Proporciona visibilidad de las identidades y sus permisos dentro de los entornos de nube para detectar con precisi\u00f3n las configuraciones err\u00f3neas, el acceso no deseado a datos confidenciales y el an\u00e1lisis en tiempo real en torno a los patrones de uso y acceso.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/apps\/pan\/public\/downloadResource?pagePath=\/content\/pan\/en_US\/resources\/datasheets\/prisma-access-browser\" target=\"_blank\" rel=\"noopener\">Prisma Browser<\/a> incluye capacidades de protecci\u00f3n de tokens y puede ayudar blindando el acceso a aplicaciones privadas o privilegiadas y asegurando que los tokens emitidos sean v\u00e1lidos solo desde el navegador seguro.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<h2><a id=\"post-163745-_heading=h.mttnopz5gr54\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p>Cadenas de agente-usuario:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">azurehound\/&lt;version&gt;<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-163745-_heading=h.rjdutvwwup3z\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/iranian-cyberattacks-2025\/\" target=\"_blank\" rel=\"noopener\">Threat Brief: Escalation of Cyber Risk Related to Iran (Updated June 30)<\/a> (Resumen sobre amenazas: aumento del riesgo cibern\u00e9tico relacionado con Ir\u00e1n [actualizado el 30 de junio]), Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">2025 Unit 42 Global Incident Response Report: Social Engineering Edition<\/a> (Informe de respuesta ante incidentes de Unit\u00a042 de 2025: edici\u00f3n sobre ingenier\u00eda social), Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cyberpedia\/anatomy-ci-cd-pipeline-attack\" target=\"_blank\" rel=\"noopener\">Anatomy of a Cloud Supply Pipeline Attack<\/a> (Anatom\u00eda de un ataque a la cadena de suministro en la nube), Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/detecting-threats-with-microsoft-graph-activity-logs\/\" target=\"_blank\" rel=\"noopener\">Detecting Threats with Microsoft Graph Activity Logs<\/a> (Detecci\u00f3n de amenazas con los registros de actividad de Microsoft Graph), Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Documentation\/Cortex-XSIAM-XQL\" target=\"_blank\" rel=\"noopener\">Cortex XSIAM XQL<\/a> (XQL de Cortex XSIAM), Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/09\/14\/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets\/\" target=\"_blank\" rel=\"noopener\">Peach Sandstorm password spray campaigns enable intelligence collection at high-value targets<\/a> (Las campa\u00f1as de pulverizaci\u00f3n de contrase\u00f1as de Peach Sandstorm permiten la recopilaci\u00f3n de informaci\u00f3n en objetivos de alto valor), Microsoft<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/05\/27\/new-russia-affiliated-actor-void-blizzard-targets-critical-sectors-for-espionage\/\" target=\"_blank\" rel=\"noopener\">New Russia-affiliated actor Void Blizzard targets critical sectors for espionage<\/a> (El nuevo actor Void Blizzard, afiliado a Rusia, se dedica al espionaje de sectores cr\u00edticos), Microsoft<\/li>\n<li><a href=\"https:\/\/thehackernews.com\/2025\/05\/from-infection-to-access-24-hour.html\" target=\"_blank\" rel=\"noopener\">From Infection to Access: A 24-Hour Timeline of a Modern Stealer Campaign<\/a> (De la infecci\u00f3n al acceso: cronolog\u00eda de 24\u00a0horas de una campa\u00f1a de robo moderna), The Hacker News<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/08\/27\/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware\/\" target=\"_blank\" rel=\"noopener\">Storm-0501\u2019s evolving techniques lead to cloud-based ransomware<\/a> (La evoluci\u00f3n de las t\u00e9cnicas de Storm-0501 conduce al ransomware basado en la nube), Microsoft<\/li>\n<li><a href=\"https:\/\/github.com\/SpecterOps\/AzureHound\" target=\"_blank\" rel=\"noopener\">SpecterOps\/AzureHound<\/a>, GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/SpecterOps\/BloodHound\" target=\"_blank\" rel=\"noopener\">SpecterOps\/BloodHound<\/a>, GitHub<\/li>\n<li><a href=\"https:\/\/bloodhound.specterops.io\/collect-data\/ce-collection\" target=\"_blank\" rel=\"noopener\">BloodHound CE Collection<\/a> (Colecci\u00f3n BloodHound CE), Specter Ops, Inc.<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/matrices\/enterprise\/\" target=\"_blank\" rel=\"noopener\">ATT&amp;CK\u00ae Matrix for Enterprise<\/a> (Matriz de Enterprise de ATT&amp;CK\u00ae), MITRE<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/matrices\/enterprise\/cloud\/\" target=\"_blank\" rel=\"noopener\">ATT&amp;CK\u00ae Cloud Matrix<\/a> (Matriz de la nube de ATT&amp;CK\u00ae), MITRE<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/graph\/use-the-api\" target=\"_blank\" rel=\"noopener\">Use the Microsoft Graph API<\/a> (Utilizar la API de Microsoft Graph), Microsoft<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/azure-resource-manager\/management\/overview\" target=\"_blank\" rel=\"noopener\">What is Azure Resource Manager?<\/a>(\u00bfQu\u00e9 es Azure Resource Manager?), Microsoft<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Unit 42 analiza el uso indebido de la herramienta de pruebas de infiltraci\u00f3n AzureHound por parte de los actores de amenazas para la detecci\u00f3n en la nube. Aprenda a detectar esta actividad mediante telemetr\u00eda.<\/p>\n","protected":false},"author":366,"featured_media":162659,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8730],"tags":[9743,9273,9744,9745,9330,9537,9746],"product_categories":[8932,8933,8935,8945,8942,8890],"coauthors":[4054,8920,9524],"class_list":["post-163745","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","tag-control-plane-es-la","tag-curious-serpens-es-la","tag-data-plane-es-la","tag-logging-es-la","tag-microsoft-azure-es-la","tag-pentest-tool-es-la","tag-security-logging-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xsiam-es-la","product_categories-prisma-sase-es-la","product_categories-secure-access-service-edge-sase-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Detecci\u00f3n en la nube con AzureHound<\/title>\n<meta name=\"description\" content=\"Unit 42 analiza el uso indebido de la herramienta de pruebas de infiltraci\u00f3n AzureHound por parte de los actores de amenazas para la detecci\u00f3n en la nube. Aprenda a detectar esta actividad mediante telemetr\u00eda.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Detecci\u00f3n en la nube con AzureHound\" \/>\n<meta property=\"og:description\" content=\"Unit 42 analiza el uso indebido de la herramienta de pruebas de infiltraci\u00f3n AzureHound por parte de los actores de amenazas para la detecci\u00f3n en la nube. Aprenda a detectar esta actividad mediante telemetr\u00eda.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-24T14:16:37+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-03T19:21:05+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Margaret Kelley, Bill Batchelor, Eyal Rafian\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Detecci\u00f3n en la nube con AzureHound","description":"Unit 42 analiza el uso indebido de la herramienta de pruebas de infiltraci\u00f3n AzureHound por parte de los actores de amenazas para la detecci\u00f3n en la nube. Aprenda a detectar esta actividad mediante telemetr\u00eda.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/","og_locale":"es_LA","og_type":"article","og_title":"Detecci\u00f3n en la nube con AzureHound","og_description":"Unit 42 analiza el uso indebido de la herramienta de pruebas de infiltraci\u00f3n AzureHound por parte de los actores de amenazas para la detecci\u00f3n en la nube. Aprenda a detectar esta actividad mediante telemetr\u00eda.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/","og_site_name":"Unit 42","article_published_time":"2025-10-24T14:16:37+00:00","article_modified_time":"2025-11-03T19:21:05+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Margaret Kelley, Bill Batchelor, Eyal Rafian","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Detecci\u00f3n en la nube con AzureHound","datePublished":"2025-10-24T14:16:37+00:00","dateModified":"2025-11-03T19:21:05+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/"},"wordCount":8015,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["control plane","Curious Serpens","data plane","logging","Microsoft Azure","pentest tool","security logging"],"articleSection":["Investigaci\u00f3n de amenazas","Investigaci\u00f3n de ciberseguridad en la nube"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/","name":"Detecci\u00f3n en la nube con AzureHound","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-10-24T14:16:37+00:00","dateModified":"2025-11-03T19:21:05+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Unit 42 analiza el uso indebido de la herramienta de pruebas de infiltraci\u00f3n AzureHound por parte de los actores de amenazas para la detecci\u00f3n en la nube. Aprenda a detectar esta actividad mediante telemetr\u00eda.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of cloud discovery with AzureHound. A digital representation of a cloud composed of blue light particles, superimposed over a blurred background of server racks in a data center."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-actor-misuse-of-azurehound\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Detecci\u00f3n en la nube con AzureHound"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/163745","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=163745"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/163745\/revisions"}],"predecessor-version":[{"id":163977,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/163745\/revisions\/163977"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/162659"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=163745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=163745"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=163745"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=163745"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=163745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}