{"id":166001,"date":"2025-11-10T06:13:09","date_gmt":"2025-11-10T14:13:09","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=166001"},"modified":"2025-11-19T07:12:14","modified_gmt":"2025-11-19T15:12:14","slug":"authentication-coercion","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/","title":{"rendered":"\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando"},"content":{"rendered":"<h2><a id=\"post-166001-_heading=h.rxh9d4dm9cga\"><\/a>Resumen ejecutivo<\/h2>\n<p>Imagine un escenario en el que los actores maliciosos no necesitan enga\u00f1arlo para que revele su contrase\u00f1a. No necesitan realizar sofisticados ataques de ingenier\u00eda social ni explotar vulnerabilidades en su sistema operativo. En su lugar, pueden simplemente obligar a su computadora a autenticarse en un sistema controlado por el atacante, y ordenar efectivamente a su m\u00e1quina que entregue credenciales valiosas. Este m\u00e9todo de ataque se denomina coacci\u00f3n de autenticaci\u00f3n.<\/p>\n<p>Aunque los ataques de coacci\u00f3n de autenticaci\u00f3n como <a href=\"https:\/\/unit42.paloaltonetworks.com\/cve-2021-34527-printnightmare\/\" target=\"_blank\" rel=\"noopener\">PrintNightmare<\/a> se hicieron muy conocidos en los \u00faltimos a\u00f1os, recientemente hemos observado una tendencia creciente de un nuevo tipo de ataque de coacci\u00f3n de autenticaci\u00f3n. Estos ataques se centran en explotar protocolos poco utilizados y pueden atravesar las defensas dise\u00f1adas espec\u00edficamente para los exploits conocidos.<\/p>\n<p>Ofrecemos una gu\u00eda pr\u00e1ctica para comprender y defenderse mejor contra esta amenaza tan extendida y altamente eficaz. Los ataques de coacci\u00f3n de autenticaci\u00f3n hacen un uso indebido de una caracter\u00edstica fundamental de Windows que permite a las computadoras ejecutar procedimientos en m\u00e1quinas remotas. Los atacantes manipulan esta caracter\u00edstica para obligar a las m\u00e1quinas, incluidos los activos m\u00e1s cr\u00edticos de nivel 0, como los controladores de dominio, a autenticarse en sistemas controlados por los atacantes. Este ataque aprovecha el dise\u00f1o de los protocolos de autenticaci\u00f3n leg\u00edtimos en entornos Microsoft Windows y no requiere permisos especiales.<\/p>\n<p>Analizamos ejemplos reales de actores de amenazas que hacen un uso indebido de estos mecanismos de autenticaci\u00f3n inherentes a Windows. Nuestro an\u00e1lisis exhaustivo cubre el flujo de la coacci\u00f3n de autenticaci\u00f3n e incluye un estudio de caso de un ataque real en el que los actores de amenazas explotaron una interfaz de llamada a procedimiento remoto (RPC) poco conocida y rara vez supervisada.<\/p>\n<p>Investigadores de seguridad, <a href=\"https:\/\/unit42.paloaltonetworks.com\/manic-menagerie-targets-web-hosting-and-it\/\" target=\"_blank\" rel=\"noopener\">entre ellos Unit 42<\/a>, han documentado el uso de herramientas de coacci\u00f3n como <a href=\"https:\/\/github.com\/topotam\/PetitPotam\" target=\"_blank\" rel=\"noopener\">PetitPotam<\/a> (CVE-2021-36942) en ataques reales. Microsoft ha publicado <a href=\"https:\/\/support.microsoft.com\/en-gb\/topic\/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429\" target=\"_blank\" rel=\"noopener\">avisos de seguridad<\/a> en los que reconoce el potencial de explotaci\u00f3n de este CVE.<\/p>\n<p>Ofrecemos estrategias pr\u00e1cticas de supervisi\u00f3n, detecci\u00f3n y prevenci\u00f3n que las organizaciones deben implementar para ayudar a identificar anomal\u00edas de comportamiento y paquetes RPC sospechosos, con el fin de lograr una detecci\u00f3n y respuesta m\u00e1s eficaces.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit42-managed-detection-and-response\" target=\"_blank\" rel=\"noopener\">Servicio de detecci\u00f3n y respuesta administradas de Unit 42<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 99.4847%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 224.729%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/privilege-escalation-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Escalada de privilegios<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/windows-es-la\/\" target=\"_blank\" rel=\"noopener\">Windows<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-166001-_heading=h.x7tn07j6lbfx\"><\/a>Descripci\u00f3n general de la coacci\u00f3n de autenticaci\u00f3n<\/h2>\n<p>En esencia, la coacci\u00f3n de autenticaci\u00f3n consiste en manipular el equipo del objetivo para que inicie un intento de autenticaci\u00f3n en un servidor controlado por el atacante. Cuando un equipo Windows intenta conectarse a un recurso, como un directorio compartido o una impresora, necesita autenticarse autom\u00e1ticamente en el recurso remoto. Los atacantes aprovechan este comportamiento de autenticaci\u00f3n autom\u00e1tica. Al configurar un receptor malicioso, pueden enga\u00f1ar a una m\u00e1quina objetivo para que crea que el sistema del atacante es un recurso leg\u00edtimo al que debe conectarse. Cuando la m\u00e1quina objetivo intenta conectarse, env\u00eda sus credenciales cifradas al atacante. En la Figura 1 se muestra un escenario simplificado.<\/p>\n<figure id=\"attachment_166101\" aria-describedby=\"caption-attachment-166101\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166101 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-2566_Authentication-Coercion-Graphics-2-786x301.png\" alt=\"Diagrama que muestra la secuencia de un ataque de ciberseguridad. De izquierda a derecha: un atacante compromete una m\u00e1quina interna, inicia una llamada a procedimiento remoto a un recurso, que luego se autentica autom\u00e1ticamente en un centro de comando y control, lo que lleva al atacante a robar los datos de autenticaci\u00f3n.\" width=\"1000\" height=\"383\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-2566_Authentication-Coercion-Graphics-2-786x301.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-2566_Authentication-Coercion-Graphics-2-768x294.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-2566_Authentication-Coercion-Graphics-2.png 852w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-166101\" class=\"wp-caption-text\">Figura 1. Escenario simplificado de ataque de coacci\u00f3n de autenticaci\u00f3n.<\/figcaption><\/figure>\n<p>Los ataques de coacci\u00f3n de autenticaci\u00f3n exitosos pueden dar lugar a un compromiso total del dominio. Esto permite a los atacantes robar datos confidenciales, implementar malware en las redes y establecer un acceso persistente que puede permanecer sin detectar durante largos per\u00edodos de tiempo.<\/p>\n<p>Lo que hace que este m\u00e9todo de ataque sea especialmente preocupante es la amplia disponibilidad de repositorios de c\u00f3digo de prueba de concepto (PoC) en plataformas como GitHub, lo que reduce significativamente la barrera de entrada para los posibles atacantes. La disponibilidad de c\u00f3digo de explotaci\u00f3n listo para usar y su integraci\u00f3n en marcos de pruebas de penetraci\u00f3n como <a href=\"https:\/\/github.com\/rapid7\/metasploit-framework\/blob\/master\/modules\/exploits\/windows\/dcerpc\/cve_2021_1675_printnightmare.rb\" target=\"_blank\" rel=\"noopener\">Metasploit<\/a>, as\u00ed como su uso con herramientas como <a href=\"https:\/\/x.com\/gentilkiwi\/status\/1411792763478233091\" target=\"_blank\" rel=\"noopener\">Mimikatz<\/a>, han dado lugar a m\u00e9todos de ataque pr\u00e1cticos. Ahora, incluso los adversarios con conocimientos t\u00e9cnicos m\u00ednimos pueden implementar estos ataques.<\/p>\n<p>Se han documentado varias t\u00e9cnicas de coacci\u00f3n de autenticaci\u00f3n en escenarios de ataque reales. En mayo de 2022, la Agencia de Seguridad Cibern\u00e9tica y de Infraestructuras (CISA) <a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa22-074a\" target=\"_blank\" rel=\"noopener\">inform\u00f3<\/a> sobre un grupo patrocinado por el Estado ruso que estaba explotando <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2021\/06\/30\/printnightmare-critical-windows-print-spooler-vulnerability\" target=\"_blank\" rel=\"noopener\">PrintNightmare<\/a>, <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2021-34527\" target=\"_blank\" rel=\"noopener\">CVE-2021-34527<\/a>. Este exploit permit\u00eda al actor de amenazas acceder a cuentas de correo electr\u00f3nico y en la nube y extraer documentos. La CISA incluye este CVE en su <a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener\">cat\u00e1logo de vulnerabilidades explotadas conocidas<\/a>. Lo que este cat\u00e1logo no muestra es que los atacantes ahora se inclinan por explotar funciones RPC poco comunes y desconocidas para evitar la detecci\u00f3n por parte de los mecanismos de defensa tradicionales.<\/p>\n<h2><a id=\"post-166001-_heading=h.cficmmo1xtjq\"><\/a>An\u00e1lisis en profundidad: T\u00e9cnicas de coacci\u00f3n para la autenticaci\u00f3n<\/h2>\n<h3><a id=\"post-166001-_heading=h.w7bcwpi1l3cv\"><\/a><strong>RPC: la columna vertebral de Windows y Active Directory<\/strong><\/h3>\n<p>Para comprender la coacci\u00f3n de autenticaci\u00f3n, debemos examinar los conceptos b\u00e1sicos de los mensajes RPC. RPC es un mecanismo fundamental de comunicaci\u00f3n entre procesos (IPC) profundamente integrado en todos los sistemas operativos Windows. RPC es un mecanismo fundamental de comunicaci\u00f3n entre procesos (IPC) profundamente integrado en todos los sistemas operativos Windows. RPC suele ser accesible para cuentas de usuario de dominio est\u00e1ndar o con pocos privilegios. Las funciones RPC se ejecutan llamando a m\u00e9todos espec\u00edficos en las interfaces disponibles, lo que implica que un cliente env\u00ede una solicitud a un servidor. Cada uno de estos m\u00e9todos tiene un n\u00famero de operaci\u00f3n \u00fanico (opnum) dentro de su interfaz que define la acci\u00f3n espec\u00edfica que realiza la operaci\u00f3n.<\/p>\n<p>Muchos protocolos de Windows utilizan la funcionalidad RPC como marco de comunicaci\u00f3n subyacente. Algunas funciones pueden operar localmente dentro de un sistema, mientras que otras est\u00e1n dise\u00f1adas para su ejecuci\u00f3n remota. Las llamadas a funciones remotas pueden aceptar una ruta de convenci\u00f3n de nomenclatura universal (UNC) como par\u00e1metro para facilitar la comunicaci\u00f3n con una m\u00e1quina remota, por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">\\\\share\\path\\to\\file<\/span>. En la Figura 2 se muestra un ejemplo de una funci\u00f3n RPC que toma un par\u00e1metro de formato UNC (ShareName).<\/p>\n<figure id=\"attachment_166013\" aria-describedby=\"caption-attachment-166013\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166013 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-743876-166001-2.png\" alt=\"Captura de pantalla de la documentaci\u00f3n de 3.1.4.9 IsPathSupported (Opnum 8). El opnum LPWSTR ShareName aparece resaltado en rojo.\" width=\"800\" height=\"361\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-743876-166001-2.png 923w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-743876-166001-2-786x354.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-743876-166001-2-768x346.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-166013\" class=\"wp-caption-text\">Figura 2. Documentaci\u00f3n sobre IsPathSupported opnum del protocolo <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-fsrvp\/dae107ec-8198-4778-a950-faa7edad125b\"><em>MS-FSRVP<\/em><\/a><em>.<\/em> Fuente: <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-fsrvp\/f0f0166f-0795-4b2f-8567-ff6a6cfb71cb\"><em>Microsoft<\/em><\/a>.<\/figcaption><\/figure>\n<h3><a id=\"post-166001-_heading=h.3bl1dooh44ai\"><\/a><strong>Uso indebido de interfaces RPC poco comunes<\/strong><\/h3>\n<p>En los \u00faltimos a\u00f1os, varias funciones RPC se han asociado estrechamente con t\u00e9cnicas de coacci\u00f3n. Por ejemplo, el exploit PrintNightmare que utiliza la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">RpcRemoteFindFirstPrinterChangeNotificationEx<\/span> es <a href=\"https:\/\/unit42.paloaltonetworks.com\/cve-2021-34527-printnightmare\/\" target=\"_blank\" rel=\"noopener\">muy conocido<\/a> y ya est\u00e1 cubierto de forma habitual por las herramientas de seguridad. Sin embargo, existen otras herramientas de explotaci\u00f3n y prueba de concepto disponibles p\u00fablicamente que simplifican la ejecuci\u00f3n de estos complejos ataques. Esto ha provocado que los equipos de seguridad se centren con frecuencia en supervisar las interfaces y funciones a las que se dirigen esas herramientas. Pero a medida que los defensores refuerzan estos vectores conocidos, los atacantes se inclinan cada vez m\u00e1s por opnums menos conocidos que es poco probable que sean supervisados. Por ejemplo, un <a href=\"https:\/\/github.com\/p0dalirius\/windows-coerced-authentication-methods\" target=\"_blank\" rel=\"noopener\">repositorio de m\u00e9todos de autenticaci\u00f3n forzada de Windows<\/a> enumera 16 funciones operativas en cinco protocolos que los actores de amenazas pueden utilizar para lanzar un ataque de coacci\u00f3n. El autor de este repositorio se\u00f1ala que a\u00fan quedan por probar m\u00e1s de 240 funciones, que podr\u00edan explotarse de la misma manera. Comprender el alcance de las superficies de ataque que son potencialmente vulnerables a estas herramientas de ataque comunes es fundamental para implementar defensas b\u00e1sicas.<\/p>\n<p>En la Tabla 1 se muestran las herramientas de ataque de coacci\u00f3n de autenticaci\u00f3n m\u00e1s conocidas y los protocolos RPC que son vulnerables a ellas.<\/p>\n<table style=\"width: 91.6173%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 32.9897%;\"><strong>Herramienta com\u00fan de exploit\/ataque<\/strong><\/td>\n<td style=\"text-align: center; width: 85.7732%;\"><strong>Protocolo<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 32.9897%;\">PrinterBug (PrintNightmare)<\/td>\n<td style=\"width: 85.7732%;\">MS-RPRN<\/p>\n<p>(Protocolo remoto del sistema de impresi\u00f3n)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 32.9897%;\">PetitPotam<\/td>\n<td style=\"width: 85.7732%;\">MS-EFSR<\/p>\n<p>(Protocolo remoto del sistema de cifrado de archivos)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 32.9897%;\">DFSCoerce<\/td>\n<td style=\"width: 85.7732%;\">MS-DFSNM<\/p>\n<p>(Protocolo de administraci\u00f3n de espacios de nombres de sistemas de archivos distribuidos)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 32.9897%;\">ShadowCoerce<\/td>\n<td style=\"width: 85.7732%;\">MS-FSRVP<\/p>\n<p>(Protocolo VSS remoto de servidor de archivos)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 32.9897%;\">PrintNightmare<\/td>\n<td style=\"width: 85.7732%;\">MS-PAR<\/p>\n<p>(Protocolo remoto as\u00edncrono del sistema de impresi\u00f3n)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 32.9897%;\">CheeseOunce<\/td>\n<td style=\"width: 85.7732%;\">MS-EVEN<\/p>\n<p>(Protocolo remoto de registro de eventos)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a01. Vulnerabilidades de coacci\u00f3n y herramientas de ataque conocidas p\u00fablicamente, y su correspondiente protocolo RPC.<\/span><\/p>\n<h2><a id=\"post-166001-_heading=h.cn4w1pifcn5m\"><\/a>Caso pr\u00e1ctico real: uso de funciones RPC poco comunes<\/h2>\n<p>En esta secci\u00f3n se analiza un ataque real en el que los actores de amenazas utilizaron funciones RPC poco comunes para llevar a cabo ataques de coacci\u00f3n de autenticaci\u00f3n.<\/p>\n<p>En marzo de 2025, detectamos una posible actividad de coacci\u00f3n en varios servidores de la red de una organizaci\u00f3n del sector sanitario. La alerta indicaba que un equipo de la red estaba intentando coaccionar al servidor local para que se pusiera en contacto con una direcci\u00f3n IP externa a trav\u00e9s de RPC. El atacante explot\u00f3 la interfaz de registro de eventos remotos (<a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-even\/55b13664-f739-4e4e-bd8d-04eeda59d09f\" target=\"_blank\" rel=\"noopener\">MS-EVEN<\/a>) con una herramienta de ataque disponible p\u00fablicamente. MS-EVEN expone los m\u00e9todos RPC para leer eventos tanto en registros de eventos en vivo como en copias de seguridad en equipos remotos. La combinaci\u00f3n de esta interfaz y funci\u00f3n es poco com\u00fan en la organizaci\u00f3n, ya que ning\u00fan otro equipo hab\u00eda utilizado ese protocolo espec\u00edfico en los 30 d\u00edas anteriores. En la Figura 3 se muestra la alerta que desencaden\u00f3 este ataque.<\/p>\n<figure id=\"attachment_166024\" aria-describedby=\"caption-attachment-166024\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166024 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-746190-166001-3.png\" alt=\"Captura de pantalla de un informe de an\u00e1lisis forense digital de Cortex XDR con la pesta\u00f1a Informaci\u00f3n general seleccionada. En rojo se destaca el nombre de la alerta que indica Coerci\u00f3n de autenticaci\u00f3n. En ella se enumeran una serie de par\u00e1metros t\u00e9cnicos y sugerencias relativas a una posible brecha de seguridad que implica acceso no autorizado y t\u00e1cticas de coerci\u00f3n. Parte de la informaci\u00f3n ha sido censurada. \" width=\"600\" height=\"878\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-746190-166001-3.png 994w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-746190-166001-3-301x440.png 301w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-746190-166001-3-479x700.png 479w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-746190-166001-3-768x1123.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-166024\" class=\"wp-caption-text\">Figura 3. Datos de la alerta \u201cPosible coacci\u00f3n de autenticaci\u00f3n\u201d tal y como se ve en Cortex XDR.<\/figcaption><\/figure>\n<p>La alerta \u201cPosible coacci\u00f3n de autenticaci\u00f3n\u201d de Cortex XDR que se muestra en la Figura 3 revel\u00f3 los siguientes artefactos:<\/p>\n<ul>\n<li>La direcci\u00f3n IP interna que inici\u00f3 el RPC remoto: <span style=\"font-family: 'courier new', courier, monospace;\">172.17.XX.XX<\/span><\/li>\n<li>Dos cuentas de usuario que iniciaron sesi\u00f3n en la direcci\u00f3n IP interna comprometida ese d\u00eda.<\/li>\n<li>La direcci\u00f3n IP que se analiz\u00f3 a partir de los par\u00e1metros del RPC.<\/li>\n<\/ul>\n<p>El actor de amenazas utiliz\u00f3 la funci\u00f3n <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-even\/4db1601c-7bc2-4d5c-8375-c58a6f8fc7e1\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">ElfrOpenBELW<\/span><\/a> para ejecutar el ataque de coacci\u00f3n. En la Figura 4 se muestra una explicaci\u00f3n detallada del opnum.<\/p>\n<figure id=\"attachment_166035\" aria-describedby=\"caption-attachment-166035\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166035 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-749249-166001-4.png\" alt=\"Captura de pantalla de la documentaci\u00f3n de ElfrOpenBELW Opnum 9) 3.14.1, en la que se describe una operaci\u00f3n del protocolo relacionada con el acceso a un registro de eventos de respaldo con par\u00e1metros de funci\u00f3n espec\u00edficos resaltados en rojo.\" width=\"800\" height=\"379\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-749249-166001-4.png 1099w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-749249-166001-4-786x372.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-749249-166001-4-768x363.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-166035\" class=\"wp-caption-text\">Figura 4. Documentaci\u00f3n de Microsoft sobre <span style=\"font-family: 'courier new', courier, monospace;\">ElfrOpenBELW<\/span> opnum del protocolo <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-even\/55b13664-f739-4e4e-bd8d-04eeda59d09f\"><em>MS-EVEN<\/em><\/a><em>.<\/em><\/figcaption><\/figure>\n<p>En la Figura 5 se muestra el uso leg\u00edtimo de MS-EVEN al conectarse a un servidor remoto en la consola \u201cVisor de eventos\u201d.<\/p>\n<figure id=\"attachment_166046\" aria-describedby=\"caption-attachment-166046\" style=\"width: 691px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166046 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-751573-166001-5.png\" alt=\"Captura de pantalla de la aplicaci\u00f3n Visor de eventos en un sistema operativo Windows, en la que se muestran opciones de men\u00fa como \u00abArchivo\u00bb, \u00abAcci\u00f3n\u00bb y \u00abVer\u00bb, y la opci\u00f3n \u00abConectarse a otra computadora\u00bb resaltada.\" width=\"691\" height=\"556\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-751573-166001-5.png 691w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-751573-166001-5-547x440.png 547w\" sizes=\"(max-width: 691px) 100vw, 691px\" \/><figcaption id=\"caption-attachment-166046\" class=\"wp-caption-text\">Figura 5. Conexi\u00f3n a una consola remota del \u201cVisor de eventos\u201d para ver los registros de eventos en equipos remotos.<\/figcaption><\/figure>\n<p>En este ejemplo, la direcci\u00f3n IP utilizada en la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">ElfrOpenBELW<\/span> era externa a la organizaci\u00f3n. La primera autenticaci\u00f3n exitosa de ese d\u00eda se produjo a las 5 de la ma\u00f1ana desde una m\u00e1quina Kali Linux externa. La ausencia de actividad maliciosa en la cuenta del usuario indica que el actor de amenazas hab\u00eda comprometido la cuenta del usuario antes del ataque. Despu\u00e9s de estas conexiones iniciales, la direcci\u00f3n IP interna intent\u00f3 <a href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-server\/windows-security\/ntlm-user-authentication\" target=\"_blank\" rel=\"noopener\">autenticarse mediante NTLM<\/a> en una amplia gama de servidores cr\u00edticos dentro de la organizaci\u00f3n, entre los que se incluyen:<\/p>\n<ul>\n<li>Controladores de dominio<\/li>\n<li>Controladores de dominio de solo lectura (RODC)<\/li>\n<li>Servidores RADIUS<\/li>\n<li>Servidores Citrix<\/li>\n<\/ul>\n<p>Todos estos intentos de autenticaci\u00f3n se produjeron en un breve intervalo de tiempo y todos fracasaron. A continuaci\u00f3n, el actor hizo que esos servidores cr\u00edticos iniciaran la autenticaci\u00f3n en una m\u00e1quina controlada por el atacante, rob\u00f3 los hash NTLM de los servidores, se desplaz\u00f3 lateralmente y escal\u00f3 privilegios. En la Figura 6 se muestran las acciones RPC realizadas por el host comprometido en una amplia variedad de servidores de la organizaci\u00f3n.<\/p>\n<figure id=\"attachment_166057\" aria-describedby=\"caption-attachment-166057\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166057 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-753929-166001-6.png\" alt=\"Captura de pantalla de una interfaz de computadora que muestra una tabla con columnas que incluyen el ID del agente y la IP remota del actor. Cada fila contiene datos que representan diversos identificadores relacionados con la red, como n\u00fameros de serie, direcciones IP y nombres de host de dispositivos, parcialmente ocultos por motivos de privacidad.\" width=\"1000\" height=\"366\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-753929-166001-6.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-753929-166001-6-786x288.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-753929-166001-6-1911x700.png 1911w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-753929-166001-6-768x281.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-753929-166001-6-1536x563.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-166057\" class=\"wp-caption-text\">Figura 6. La m\u00e1quina comprometida que obliga a la autenticaci\u00f3n en los servidores.<\/figcaption><\/figure>\n<p>Este comportamiento destac\u00f3 por varias razones:<\/p>\n<ul>\n<li>La rareza del uso de esta interfaz RPC y opnum.<\/li>\n<li>El n\u00famero de mensajes RPC y protocolos iniciados por la m\u00e1quina en un breve per\u00edodo de tiempo.<\/li>\n<li>Los par\u00e1metros de los mensajes RPC.<\/li>\n<li>La rareza del tr\u00e1fico de red hacia la direcci\u00f3n IP desde el par\u00e1metro UNC.<\/li>\n<\/ul>\n<p>Este comportamiento es similar al funcionamiento de las herramientas de ataque autom\u00e1tico y activ\u00f3 una alerta en la organizaci\u00f3n para indicar que podr\u00eda estar produci\u00e9ndose un ataque.<\/p>\n<p>Dado que la coacci\u00f3n de autenticaci\u00f3n RPC no requiere permisos especiales y se puede realizar desde cualquier m\u00e1quina con acceso de red al servidor remoto, el atacante utiliz\u00f3 este m\u00e9todo como la forma principal de obtener credenciales. Observamos que el atacante envi\u00f3 RPCS maliciosos a m\u00e1s de 10 recursos remotos. Todas las llamadas proced\u00edan de la misma m\u00e1quina y todas fallaron al autenticarse a trav\u00e9s de NTLM.<\/p>\n<p>En la Figura 7 se muestra el registro de la regla del agente que impidi\u00f3 la ejecuci\u00f3n del ataque.<\/p>\n<figure id=\"attachment_166068\" aria-describedby=\"caption-attachment-166068\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166068 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-757553-166001-7.png\" alt=\"Captura de pantalla de una interfaz de c\u00f3digo inform\u00e1tico en la que se destacan los ajustes de seguridad, mostrando espec\u00edficamente el \u00abataque de retransmisi\u00f3n NTLM de Printer Bug\u00bb en modo de prevenci\u00f3n, donde est\u00e1 configurado como \u00abbloqueado\u00bb.\" width=\"700\" height=\"283\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-757553-166001-7.png 1542w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-757553-166001-7-786x318.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-757553-166001-7-768x311.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-757553-166001-7-1536x622.png 1536w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-166068\" class=\"wp-caption-text\">Figura 7. El agente impidi\u00f3 el ataque PrinterBug en la estaci\u00f3n de trabajo interna.<\/figcaption><\/figure>\n<p>El atacante logr\u00f3 eludir algunas de las medidas de prevenci\u00f3n del agente y oblig\u00f3 a un servidor Citrix y a un RODC a autenticarse en sus servidores de comando y control (C2).<\/p>\n<p>Una hora m\u00e1s tarde, el atacante realiz\u00f3 un rel\u00e9 NTLM desde la misma direcci\u00f3n IP interna. El atacante utiliz\u00f3 el hash de la cuenta de m\u00e1quina de los servidores Citrix y RODC comprometidos para atacar los servidores de la autoridad de certificaci\u00f3n (CA). En la Figura 8 se muestra la autenticaci\u00f3n retransmitida desde una cuenta de m\u00e1quina DC a un servidor CA desde la direcci\u00f3n IP comprometida por el atacante. El atacante tambi\u00e9n intent\u00f3 iniciar un ataque DCSync con los hash DC robados.<\/p>\n<figure id=\"attachment_166079\" aria-describedby=\"caption-attachment-166079\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166079 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-760301-166001-8.png\" alt=\"Imagen que muestra una interfaz de usuario con cuatro secciones etiquetadas: carga de sesi\u00f3n, nombre de host invitado, nombre de host actual de la sesi\u00f3n e identidad, cada una de las cuales muestra datos representados en forma de texto. Parte de la informaci\u00f3n ha sido censurada. \" width=\"1000\" height=\"94\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-760301-166001-8.png 1860w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-760301-166001-8-786x74.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-760301-166001-8-768x72.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-760301-166001-8-1536x144.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-166079\" class=\"wp-caption-text\">Figura 8. Autenticaci\u00f3n procedente de la direcci\u00f3n IP del atacante a un servidor CA a trav\u00e9s de una cuenta de m\u00e1quina DC.<\/figcaption><\/figure>\n<p>En la Figura 9 se muestra un resumen de las acciones del atacante.<\/p>\n<figure id=\"attachment_166113\" aria-describedby=\"caption-attachment-166113\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-166113 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-22566_Authentication-Coercion-Graphics-782x440.png\" alt=\"Diagrama que ilustra una secuencia de ataque a la ciberseguridad en la que un atacante compromete una m\u00e1quina interna, inicia m\u00faltiples llamadas RPC a recursos valiosos, el recurso se autentica autom\u00e1ticamente en el C2, el atacante recopila hash NTLM e intenta diversas estrategias para acceder a datos y recursos confidenciales dentro de una infraestructura de red. \" width=\"1000\" height=\"563\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-22566_Authentication-Coercion-Graphics-782x440.png 782w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-22566_Authentication-Coercion-Graphics-768x432.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-LA-22566_Authentication-Coercion-Graphics.png 960w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-166113\" class=\"wp-caption-text\">Figura 9. Resumen de las etapas del ataque observadas en la red de un cliente.<\/figcaption><\/figure>\n<p>El uso de protocolos poco utilizados en este tipo de ataques es una tendencia al alza. Nuestra telemetr\u00eda interna revela un aumento de los ataques de coacci\u00f3n de autenticaci\u00f3n contra organizaciones, en los que los actores de amenazas hacen un uso indebido de protocolos y funciones \u00fanicos. Una de las principales razones de este aumento es que, a medida que las herramientas de defensa evolucionan y mejoran, los atacantes encuentran formas m\u00e1s diversas y a\u00fan no detectadas de ejecutar sus ataques. Este ciclo significa que los defensores deben crear enfoques m\u00e1s avanzados para la detecci\u00f3n.<\/p>\n<h2><a id=\"post-166001-_heading=h.3f592qbytbw4\"><\/a>No se deje coaccionar: mecanismos de detecci\u00f3n y prevenci\u00f3n<\/h2>\n<p>La supervisi\u00f3n del tr\u00e1fico RPC es un primer paso crucial para detectar actividades sospechosas. Sin embargo, dicha supervisi\u00f3n presenta retos importantes, debido al gran volumen y la complejidad de las comunicaciones RPC. Los defensores pueden filtrar mejor el tr\u00e1fico RPC benigno e identificar actividades de coacci\u00f3n maliciosas siguiendo los consejos que se indican a continuaci\u00f3n.<\/p>\n<h3><a id=\"post-166001-_heading=h.kd5aju4p3t48\"><\/a><strong>Supervisi\u00f3n y detecci\u00f3n gen\u00e9ricas de RPC<\/strong><\/h3>\n<p>Una detecci\u00f3n gen\u00e9rica eficaz de RPC implica identificar atributos sospechosos y su relevancia para diversos recursos. Para mejorar el rendimiento y la eficacia en el an\u00e1lisis de eventos RPC, es esencial filtrar los mensajes no relevantes. Y lo que es m\u00e1s importante, los equipos de seguridad deben buscar anomal\u00edas en el tr\u00e1fico RPC. Esto podr\u00eda incluir:<\/p>\n<ul>\n<li><strong>Par\u00e1metros de ruta UNC:<\/strong> diversas t\u00e9cnicas de coacci\u00f3n explotan las rutas UNC. Dado que el tr\u00e1fico RPC local es menos susceptible de ser sospechoso, considere la posibilidad de filtrar las llamadas que se realizan localmente. Investigue los par\u00e1metros RPC que puedan parecer maliciosos o que apunten a una direcci\u00f3n IP sospechosa.<\/li>\n<li><strong>Origen y destino:<\/strong> realice un seguimiento de los RPC que tengan combinaciones inusuales de origen o destino, o llamadas que tengan como objetivo activos cr\u00edticos.<\/li>\n<li><strong>GUID de interfaz y opnum:<\/strong> cada protocolo RPC tiene varios opnums que los atacantes pueden utilizar para forzar la autenticaci\u00f3n en un servidor remoto. Para ayudar a identificar estos intentos, supervise las llamadas a interfaces poco comunes y vulnerables conocidas (por ejemplo, MS-RPRN, MS-EFSR, MS-DFSNM, MS-FSRVP) y sus opnums espec\u00edficos.<\/li>\n<\/ul>\n<h3><a id=\"post-166001-_heading=h.phqpafsw9nus\"><\/a><strong>Prevenci\u00f3n y refuerzo de RPC<\/strong><\/h3>\n<p>Mejorar la estrategia de detecci\u00f3n de la comunicaci\u00f3n RPC es un factor clave para eliminar los ataques de coacci\u00f3n. Los protocolos cr\u00edticos que deben permanecer habilitados requieren detecciones m\u00e1s personalizadas, mientras que otros protocolos basados en RPC pueden gestionarse de una manera m\u00e1s gen\u00e9rica. Las siguientes medidas pueden ayudar a prevenir los ataques de coacci\u00f3n en una fase temprana:<\/p>\n<ul>\n<li><strong>Filtros RPC de Windows:<\/strong> Windows ofrece mecanismos integrados para filtrar el tr\u00e1fico RPC, que los defensores pueden aprovechar para bloquear las t\u00e9cnicas de coacci\u00f3n conocidas. Los administradores pueden utilizar la utilidad <span style=\"font-family: 'courier new', courier, monospace;\">netsh rpc<\/span> filter para controlar y bloquear mejor el tr\u00e1fico RPC en funci\u00f3n de diversas condiciones.<\/li>\n<li><strong>Aplicaci\u00f3n de la firma SMB:<\/strong> refuerce la seguridad aplicando la firma SMB en todo el dominio. Aunque no se trata de una mitigaci\u00f3n directa de RPC, dificulta a los actores de amenazas la retransmisi\u00f3n de autenticaciones coaccionadas.<\/li>\n<li><strong>Protecci\u00f3n ampliada para la autenticaci\u00f3n (EPA):<\/strong> EPA es una caracter\u00edstica de seguridad de Windows dise\u00f1ada para proteger mejor las credenciales de autenticaci\u00f3n durante las conexiones de red. <a href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/framework\/wcf\/feature-details\/extended-protection-for-authentication-overview\" target=\"_blank\" rel=\"noopener\">La documentaci\u00f3n de Microsoft<\/a> proporciona m\u00e1s detalles sobre la implementaci\u00f3n de esta caracter\u00edstica.<\/li>\n<li><strong>Deshabilitar los servicios RPC no utilizados:<\/strong> minimice la superficie de ataque de los activos deshabilitando los servicios basados en RPC que no se utilicen en ellos. Permita solo los servicios necesarios que se ajusten al prop\u00f3sito del activo.<\/li>\n<\/ul>\n<p>En la Tabla 2 se ofrece informaci\u00f3n detallada para detectar ataques de coerci\u00f3n conocidos.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"width: 16%; text-align: center;\"><b>Protocolo<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>Barra vertical SMB<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>GUID de interfaz<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>Funciones clave (Opnums)<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>Exploit com\u00fan\/<\/b><b><br \/>\n<\/b><b>Herramienta de ataque<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>Mitigaci\u00f3n primaria<\/b><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-RPRN<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Protocolo remoto del sistema de impresi\u00f3n)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\pipe\\spoolss<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">12345678-1234-abcd-ef00-0123456789ab<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RpcRemoteFindFirstPrinterChangeNotification<\/span> <span style=\"font-weight: 400;\">(opnum 62)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RpcRemoteFindFirstPrinterChangeNotificationEx <\/span><span style=\"font-weight: 400;\">(opnum 65)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">PrinterBug (PrintNightmare)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Deshabilitar el servicio Cola de impresi\u00f3n en los controladores de dominio; aplicar la firma SMB.<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-EFSR<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Protocolo remoto del sistema de cifrado de archivos)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\efsrpc<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\\PIPE\\lsarpc, \\PIPE\\samr, \\PIPE\\lsass, \\PIPE\\netlogon<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">c681d488-d850-11d0-8c52-00c04fd90f7e\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">df1941c5-fe89-4e79-bf10-463657acf44d<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcOpenFileRaw<\/span><span style=\"font-weight: 400;\"> (opnum 0)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcEncryptFileSrv<\/span><span style=\"font-weight: 400;\"> (opnum 4)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcDecryptFileSrv <\/span><span style=\"font-weight: 400;\">(opnum 5)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcQueryUsersOnFile <\/span><span style=\"font-weight: 400;\">(opnum 6)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcQueryRecoveryAgents<\/span><span style=\"font-weight: 400;\"> (opnum 7)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcFileKeyInfo<\/span><span style=\"font-weight: 400;\"> (opnum 12)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcDuplicateEncryptionInfoFile <\/span><span style=\"font-weight: 400;\">(opnum 13)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcAddUsersToFileEx<\/span><span style=\"font-weight: 400;\"> (opnum 15)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcFileKeyInfoEx <\/span><span style=\"font-weight: 400;\">(opnum 16)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">PetitPotam<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Habilitar la protecci\u00f3n ampliada para la autenticaci\u00f3n (EPA) y deshabilitar HTTP en los servidores AD CS; deshabilitar NTLM en los servidores AD CS; deshabilitar el servicio EFSRPC si no es necesario.<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-DFSNM<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Protocolo de administraci\u00f3n de espacios de nombres de sistemas de archivos distribuidos)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\netdfs<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">4fc742e0-4a10-11cf-8273-00aa004ae673<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">NetrDfsAddStdRoot<\/span><span style=\"font-weight: 400;\"> (opnum 12)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">NetrDfsRemoveStdRoot <\/span><span style=\"font-weight: 400;\">(opnum 13)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">DFSCoerce<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Aplicar la firma SMB\/LDAP; deshabilitar la autenticaci\u00f3n NTLMv1; limitar la delegaci\u00f3n sin restricciones de Kerberos.\u00a0 <\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-FSRVP<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Protocolo VSS remoto de servidor de archivos)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\FssagentRpc<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">a8e0653c-2744-4389-a61d-7373df8b2292<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">IsPathSupported<\/span><span style=\"font-weight: 400;\"> (opnum 8)\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">IsPathShadowCopied <\/span><span style=\"font-weight: 400;\">(opnum 9)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">ShadowCoerce<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Deshabilitar el Servicio de agente VSS del servidor de archivos si no es necesario.\u00a0 <\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-PAR<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Protocolo remoto as\u00edncrono del sistema de impresi\u00f3n)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\spoolss<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">76f03f96-cdfd-44fc-a22c-64950a001209<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RpcAsyncOpenPrinter<\/span><span style=\"font-weight: 400;\"> (opnum 0)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">PrintNightmare<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Deshabilitar el servicio Cola de impresi\u00f3n en los controladores de dominio; aplicar la firma SMB.\u00a0 <\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-EVEN<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Protocolo remoto de registro de eventos)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\even<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">82273fdc-e32a-18c3-3f78-827929dc23ea<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ElfrOpenBELW<\/span><span style=\"font-weight: 400;\"> (opnum 9)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">CheeseOunce<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Deshabilitar el registro de eventos remoto en los controladores de dominio; se aplican las protecciones generales de retransmisi\u00f3n NTLM.\u00a0 <\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 2. Protocolos RPC, interfaces y opnums para detectar t\u00e9cnicas de ataque de coacci\u00f3n conocidas p\u00fablicamente.<\/span><\/p>\n<h2><a id=\"post-166001-_heading=h.orgf54ute8it\"><\/a>Conclusi\u00f3n<\/h2>\n<p>La coacci\u00f3n de autenticaci\u00f3n, especialmente mediante el uso indebido de interfaces RPC que rara vez se supervisan, representa un reto importante y en constante evoluci\u00f3n para la seguridad de los entornos Windows y Active Directory. Aunque las defensas tradicionales contra la coacci\u00f3n proporcionan una protecci\u00f3n suficiente contra las t\u00e9cnicas conocidas, estas protecciones ya no son suficientes. Los atacantes utilizan ahora funciones RPC poco frecuentes y no supervisadas, por lo que los defensores deben buscar estos m\u00e9todos de coacci\u00f3n dif\u00edciles de detectar.<\/p>\n<p>La dependencia de RPC en toda la infraestructura de Windows crea una amplia superficie de ataque. Para adelantarse a las posibles amenazas, las organizaciones deben ir m\u00e1s all\u00e1 de la supervisi\u00f3n de herramientas de ataque y PoC espec\u00edficas disponibles p\u00fablicamente y adoptar una supervisi\u00f3n RPC gen\u00e9rica y sensible al contexto. Esto significa buscar activamente anomal\u00edas, no solo en vectores de coacci\u00f3n conocidos, sino tambi\u00e9n en interfaces y funciones RPC menos utilizadas. Pr\u00e1cticas como el establecimiento de bases de referencia de comportamiento y la recopilaci\u00f3n y el aprovechamiento de an\u00e1lisis avanzados ya no son opcionales, sino esenciales.<\/p>\n<p>Al identificar y responder de forma proactiva a estos sutiles cambios en la metodolog\u00eda de los atacantes, las organizaciones pueden mejorar significativamente su postura de seguridad y crear defensas m\u00e1s resistentes contra los adversarios.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a>\n<ul>\n<li>El an\u00e1lisis del comportamiento de usuarios y entidades (UEBA) est\u00e1 dise\u00f1ado para detectar amenazas basadas en la autenticaci\u00f3n y las credenciales mediante el an\u00e1lisis de la actividad de los usuarios a partir de m\u00faltiples fuentes de datos, incluidos los endpoints, los firewalls de red, Active Directory, las soluciones de gesti\u00f3n de identidades y accesos, y las cargas de trabajo en la nube. Cortex crea perfiles de comportamiento de la actividad de los usuarios a lo largo del tiempo mediante el aprendizaje autom\u00e1tico. Al comparar la actividad nueva con la actividad pasada, la actividad de los pares y el comportamiento esperado de la entidad, Cortex detecta mejor las actividades an\u00f3malas que indican ataques basados en credenciales.<\/li>\n<\/ul>\n<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit42-managed-detection-and-response\" target=\"_blank\" rel=\"noopener\">El servicio de detecci\u00f3n y respuesta gestionadas de Unit 42<\/a> ofrece detecci\u00f3n, investigaci\u00f3n y respuesta\/remediaci\u00f3n de amenazas de forma continua, las 24 horas del d\u00eda, los 7 d\u00edas de la semana, a clientes de todos los tama\u00f1os en todo el mundo.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-166001-_heading=h.z2fv49glfk8f\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.blackhat.com\/eu-22\/briefings\/schedule\/#searching-for-rpc-functions-to-coerce-authentications-in-microsoft-protocols-29154\" target=\"_blank\" rel=\"noopener\">B\u00fasqueda de funciones RPC para forzar autenticaciones en protocolos de Microsoft<\/a> - Remi Gascou, Black Hat 2022<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/rpc\/how-rpc-works\" target=\"_blank\" rel=\"noopener\">C\u00f3mo funciona RPC<\/a> - Documentaci\u00f3n de Microsoft<\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener\">Cat\u00e1logo de vulnerabilidades explotadas conocidas<\/a> - Agencia de Seguridad Cibern\u00e9tica y de Infraestructuras de EE. UU.<\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa22-074a\" target=\"_blank\" rel=\"noopener\">Los ciberdelincuentes patrocinados por el Estado ruso obtienen acceso a la red aprovechando los protocolos de autenticaci\u00f3n multifactor predeterminados y la vulnerabilidad \u201cPrintNightmare\u201d<\/a> - Agencia de Seguridad Cibern\u00e9tica y de Infraestructuras de EE. UU.<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/manic-menagerie-targets-web-hosting-and-it\/\" target=\"_blank\" rel=\"noopener\">Manic Menagerie 2.0: la evoluci\u00f3n de un actor de amenazas altamente motivado<\/a> - Unit 42<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/cve-2021-34527-printnightmare\/\" target=\"_blank\" rel=\"noopener\">Threat Brief: vulnerabilidad RCE del administrador de cola de impresi\u00f3n de Windows (CVE-2021-34527, tambi\u00e9n conocida como PrintNightmare)<\/a> - Unit 42<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.<\/p>\n","protected":false},"author":366,"featured_media":165012,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8856],"tags":[9791,9792,9793,9781],"product_categories":[8932,8934,8935,8890],"coauthors":[9775,9786],"class_list":["post-166001","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-vulnerabilities-es-la","tag-mimikatz-es-la","tag-printnightmare-es-la","tag-privilege-escalation-es-la","tag-windows-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando<\/title>\n<meta name=\"description\" content=\"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando\" \/>\n<meta property=\"og:description\" content=\"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-11-10T14:13:09+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-19T15:12:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Bar Maor, Hila Cohen\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando","description":"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/","og_locale":"es_LA","og_type":"article","og_title":"\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando","og_description":"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/","og_site_name":"Unit 42","article_published_time":"2025-11-10T14:13:09+00:00","article_modified_time":"2025-11-19T15:12:14+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Bar Maor, Hila Cohen","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando","datePublished":"2025-11-10T14:13:09+00:00","dateModified":"2025-11-19T15:12:14+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/"},"wordCount":4063,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","keywords":["Mimikatz","PrintNightmare","privilege escalation","Windows"],"articleSection":["Investigaci\u00f3n de amenazas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/","name":"\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","datePublished":"2025-11-10T14:13:09+00:00","dateModified":"2025-11-19T15:12:14+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of an authentication coercion attack. Panoramic view of a city skyline at night, featuring vibrant light beams from skyscrapers and a deep blue sky."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/authentication-coercion\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"\u00bfPensaba que se hab\u00eda acabado? La coacci\u00f3n de la autenticaci\u00f3n sigue evolucionando"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/166001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=166001"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/166001\/revisions"}],"predecessor-version":[{"id":166124,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/166001\/revisions\/166124"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/165012"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=166001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=166001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=166001"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=166001"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=166001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}