Una cuenta.
¿Todo perdido?
No necesariamente.
NIS2 establece diez medidas de gestión de riesgos. Con Managed Red Tenant y Dark Tenant, apoyamos su implementación técnica — para un riesgo de ataque significativamente reducido y la certeza de volver a ser operativo en horas cuando sea necesario.
Lo llamativo del ataque a Stryker del 11 de marzo de 2026 no es el número de dispositivos afectados, aunque 80.000 dispositivos en 79 países es una cifra impresionante, sino la banalidad del método: ningún exploit, ningún zero-day, ningún ataque sofisticado sobre componentes de infraestructura que apenas conocen unos pocos. Bastó con una única cuenta de administrador de Intune comprometida, y el ataque parecía, visto desde fuera, una operación normal, porque técnicamente lo era, solo ejecutada por otra persona. Lo que ocurrió exactamente lo explicamos en el artículo sobre el ataque a Stryker.
La mayoría de las infraestructuras empresariales están construidas de tal manera que este daño es posible, no porque los responsables hayan sido negligentes, sino porque las cuentas privilegiadas con amplios permisos han sido consideradas prácticas durante años: una cuenta con acceso a todo ahorra tiempo en el trabajo diario, y el tiempo es, como es sabido, lo único más escaso que el presupuesto en los departamentos de IT. NIS2 Artículo 21 extrae las consecuencias de esta práctica: las identidades privilegiadas deben estar tan aisladas que su compromiso no arrastre consigo toda la infraestructura, y quien aun así resulte afectado debe ser capaz de operar de nuevo en horas.
Qué es NIS2 y a quién afecta la directiva lo explicamos aquí. Esta página trata sobre el apoyo en la implementación técnica de las medidas de riesgo con Managed Red Tenant y Managed Dark Tenant.
Managed Red Tenant: para que una cuenta comprometida no se convierta en llave maestra
El patrón de ataque que funcionó en el incidente de Stryker no es nuevo: los atacantes comprometen una cuenta que les da acceso a sistemas privilegiados, se mueven desde allí al resto de la infraestructura y causan el daño que sus permisos les permiten. Funciona con tanta fiabilidad porque en la mayoría de las empresas no existe una separación estructural entre los entornos de trabajo habituales y los accesos administrativos que serían suficientes para tomar el control de toda la infraestructura.
Managed Red Tenant interrumpe este patrón trasladando las identidades administrativas y sus dispositivos asociados a un tenant de Microsoft completamente separado, con cuentas de Entra ID propias, dispositivos endurecidos dedicados y sin ninguna conexión de red al entorno de producción que un atacante pudiera aprovechar mediante lateral movement. Quien intente avanzar desde un puesto de trabajo estándar comprometido hacia los sistemas críticos se encontrará con un límite que antes no existía.
Managed Red Tenant
Managed Dark Tenant: el entorno preparado para el escenario que no debería ocurrir, pero puede
Tras un ataque masivo de ransomware, los problemas que una empresa debe gestionar se dividen en dos categorías: los técnicos, que son solucionables, aunque no rápidamente, y los organizativos, en los que nadie definió de antemano quién hace qué en una crisis, en qué orden se toman las decisiones y sobre qué base es posible comunicarse cuando la propia infraestructura ya no es de confianza. Coveware sitúa el tiempo de inactividad promedio tras un ataque de ransomware en 24 días, y la experiencia en incidentes muestra que el tiempo perdido no se debe principalmente a la falta de medios técnicos, sino a tener que inventar, bajo presión extrema, procesos que nunca se necesitaron durante la operación normal.
Managed Dark Tenant es un entorno de Microsoft preaprovisionado y completamente aislado que se activa en caso de crisis a través de una línea de atención 24/7 y proporciona al equipo de respuesta comunicación operativa, puestos de trabajo de Windows 365 y una pipeline de recuperación de AD en pocas horas, todo basado en Infrastructure as Code, todo definido y probado antes de que sea necesario. El principio arquitectónico subyacente se llama Minimum Viable Company: comunicación primero, luego documentos críticos, luego aplicaciones principales, en un orden definido de antemano y probado regularmente en Fire Drills.
Managed Dark TenantApoyamos la implementación técnica
| Risk Measures | GK Services | NIS2 | CSOC | APT Response | Preventive Services | Managed Red Tenant | Managed Dark Tenant | Data Security | Workplace / Azure |
|---|---|---|---|---|---|---|---|---|
| Risk Analysis and Information System Security | 21.2 a) | |||||||
| Incident Handling | 21.2 b) | NEU | NEU | |||||
| Business Continuity | 21.2 c) | NEU | ||||||
| Supply Chain Security | 21.2 d) | NEU | ||||||
| Security in Network and Information Systems | 21.2 e) | |||||||
| Effectiveness of Cybersecurity Risk Management Measures | 21.2 f) | NEU | NEU | |||||
| Basic Computer Hygiene Practices and Cybersecurity Training | 21.2 g) | |||||||
| Cryptography | 21.2 h) | |||||||
| Human Resources Security, Access Control Policies and Asset Management | 21.2 i) | NEU | ||||||
| Multifactor Authentication or Secured Communication | 21.2 j) | NEU |
Dos servicios, una respuesta al Artículo 21 de NIS2
Managed Red Tenant
Identidades y dispositivos privilegiados en un tenant de Microsoft completamente separado y sin conexión de red al entorno de producción. Sin lateral movement, sin que una cuenta estándar comprometida se convierta en llave maestra de toda la infraestructura.
Managed Dark Tenant
Un entorno de Microsoft preaprovisionado y aislado que se activa en una crisis a través de una línea de atención 24/7. Comunicación, puestos de trabajo de Windows 365 y una pipeline de recuperación de AD definidos y probados antes de ser necesarios.
MRT & MDT juntos
Red Tenant reduce la probabilidad de que un ataque comprometa toda la infraestructura. Dark Tenant reduce el tiempo de inactividad si lo hace. Con NIS2 o sin él: ambos juntos tienen sentido independientemente de la presión regulatoria.
