Una cuenta.
¿Todo perdido?
No necesariamente.
NIS2 Artículo 21 define diez medidas de gestión de riesgos, de las cuales dos determinan en la práctica si una empresa puede operar de nuevo en horas tras un ataque o en semanas. Managed Red Tenant y Dark Tenant cubren exactamente esas dos, técnicamente.
Lo llamativo del ataque a Stryker del 11 de marzo de 2026 no es el número de dispositivos afectados, aunque 80.000 dispositivos en 79 países es una cifra impresionante, sino la banalidad del método: ningún exploit, ningún zero-day, ningún ataque sofisticado sobre componentes de infraestructura que apenas conocen unos pocos. Bastó con una única cuenta de administrador de Intune comprometida, y el ataque parecía, visto desde fuera, una operación normal, porque técnicamente lo era, solo ejecutada por otra persona. Lo que ocurrió exactamente lo explicamos en el artículo sobre el ataque a Stryker.
La mayoría de las infraestructuras empresariales están construidas de tal manera que este daño es posible, no porque los responsables hayan sido negligentes, sino porque las cuentas privilegiadas con amplios permisos han sido consideradas prácticas durante años: una cuenta con acceso a todo ahorra tiempo en el trabajo diario, y el tiempo es, como es sabido, lo único más escaso que el presupuesto en los departamentos de IT. NIS2 Artículo 21 extrae las consecuencias de esta práctica: las identidades privilegiadas deben estar tan aisladas que su compromiso no arrastre consigo toda la infraestructura, y quien aun así resulte afectado debe ser capaz de operar de nuevo en horas.
Qué es NIS2 y a quién afecta la directiva lo explicamos aquí. Esta página trata sobre la implementación técnica de estos dos requisitos con Managed Red Tenant y Managed Dark Tenant.
Managed Red Tenant: para que una cuenta comprometida no se convierta en llave maestra
El patrón de ataque que funcionó en el incidente de Stryker no es nuevo: los atacantes comprometen una cuenta que les da acceso a sistemas privilegiados, se mueven desde allí al resto de la infraestructura y causan el daño que sus permisos les permiten. Funciona con tanta fiabilidad porque en la mayoría de las empresas no existe una separación estructural entre los entornos de trabajo habituales y los accesos administrativos que serían suficientes para tomar el control de toda la infraestructura.
Managed Red Tenant interrumpe este patrón trasladando las identidades administrativas y sus dispositivos asociados a un tenant de Microsoft completamente separado, con cuentas de Entra ID propias, dispositivos endurecidos dedicados y sin ninguna conexión de red al entorno de producción que un atacante pudiera aprovechar mediante lateral movement. Quien intente avanzar desde un puesto de trabajo estándar comprometido hacia los sistemas críticos se encontrará con un límite que antes no existía.
Managed Red Tenant
Managed Dark Tenant: el entorno preparado para el escenario que no debería ocurrir, pero puede
Tras un ataque masivo de ransomware, los problemas que una empresa debe gestionar se dividen en dos categorías: los técnicos, que son solucionables, aunque no rápidamente, y los organizativos, en los que nadie definió de antemano quién hace qué en una crisis, en qué orden se toman las decisiones y sobre qué base es posible comunicarse cuando la propia infraestructura ya no es de confianza. Coveware sitúa el tiempo de inactividad promedio tras un ataque de ransomware en 24 días, y la experiencia en incidentes muestra que el tiempo perdido no se debe principalmente a la falta de medios técnicos, sino a tener que inventar, bajo presión extrema, procesos que nunca se necesitaron durante la operación normal.
Managed Dark Tenant es un entorno de Microsoft preaprovisionado y completamente aislado que se activa en caso de crisis a través de una línea de atención 24/7 y proporciona al equipo de respuesta comunicación operativa, puestos de trabajo de Windows 365 y una pipeline de recuperación de AD en pocas horas, todo basado en Infrastructure as Code, todo definido y probado antes de que sea necesario. El principio arquitectónico subyacente se llama Minimum Viable Company: comunicación primero, luego documentos críticos, luego aplicaciones principales, en un orden definido de antemano y probado regularmente en Fire Drills.
Managed Dark TenantSiete de las diez medidas de gestión de riesgos del Artículo 21 de NIS2. Las cubrimos.
| Risk Measures | GK Services | NIS2 | CSOC | APT Response | Preventive Services | Managed Red Tenant | Managed Dark Tenant | Data Security | Workplace / Azure |
|---|---|---|---|---|---|---|---|---|
| Risk Analysis and Information System Security | 21.2 a) | |||||||
| Incident Handling | 21.2 b) | NEU | NEU | |||||
| Business Continuity | 21.2 c) | NEU | ||||||
| Supply Chain Security | 21.2 d) | NEU | ||||||
| Security in Network and Information Systems | 21.2 e) | |||||||
| Effectiveness of Cybersecurity Risk Management Measures | 21.2 f) | NEU | NEU | |||||
| Basic Computer Hygiene Practices and Cybersecurity Training | 21.2 g) | |||||||
| Cryptography | 21.2 h) | |||||||
| Human Resources Security, Access Control Policies and Asset Management | 21.2 i) | NEU | ||||||
| Multifactor Authentication or Secured Communication | 21.2 j) | NEU |
Así implantamos Red y Dark Tenant en tu empresa
- Assessment y arquitecturaAssessment y arquitecturaIdentificamos juntos qué identidades y cargas de trabajo pertenecen a Tier 0 y Tier 1, y definimos la Minimum Viable Company, es decir, los procesos críticos y canales de comunicación que deben restaurarse primero en una crisis. El resultado es un diseño de arquitectura para ambos tenants, ajustado a las licencias de Microsoft existentes, los procesos de gestión de incidentes actuales y la topología de Active Directory del cliente.
- Despliegue basado en Infrastructure as CodeDespliegue basado en Infrastructure as CodeAmbos tenants se aprovisionan a partir de nuestros blueprints probados. Cada configuración está definida como código, es auditable y trazable. Cada cambio pasa por un proceso de pruebas en múltiples etapas con pre-tenants dedicados antes de llegar al entorno de producción. Los cambios en producción requieren una aprobación explícita, porque en entornos de alta privilegio, el control sobre cada cambio no es burocracia, sino arquitectura de seguridad.
- Operaciones 24/7 y Fire DrillsOperaciones 24/7 y Fire DrillsEl CSOC monitoriza el Red Tenant las 24 horas del día. La línea de atención del Dark Tenant con Manager on Duty está disponible en todo momento. Los Fire Drills regulares ponen a prueba las rutas de recuperación en condiciones realistas, porque un entorno de recuperación ante desastres que nunca se ha activado es una hipótesis, no una solución.
