IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Active Directory on-premise: qué es y por qué sigue vivo en 2026

14/07/2026 4 min de lectura Rubén Espinoza

Cada cierto tiempo alguien anuncia la muerte de Active Directory. Y cada cierto tiempo entras a una empresa —grande o chica— y ahí está, en el corazón de todo: es lo que valida a la gente cuando prende su computadora, lo que decide a qué carpeta compartida llega cada quien, lo que aplica las políticas de seguridad de los equipos. Nació en el año 2000 y en 2026 sigue siendo la columna vertebral de la identidad en la mayoría de los entornos Windows. Vale la pena entender qué es de verdad y por qué no se va.

Qué es Active Directory, sin rodeos

Active Directory (AD) es un servicio de directorio: una base de datos central que guarda las cuentas de usuarios, equipos y grupos de una organización, y que responde dos preguntas todo el día —¿este usuario es quien dice ser? y ¿a qué tiene derecho?—. Vive en servidores llamados controladores de dominio (DC), y para autenticar usa principalmente el protocolo Kerberos (tickets en vez de mandar la contraseña una y otra vez) y LDAP para consultar el directorio. Cuando un empleado inicia sesión en su laptop de la oficina, es AD quien dice "sí, pasa" —o no—.

Las piezas que vas a oír nombrar

  • Dominio: el límite administrativo, la "organización" lógica. Un bosque (forest) puede agrupar varios dominios.
  • Unidad organizativa (OU): las carpetas dentro del dominio para ordenar usuarios y equipos —por área, por sitio— y aplicarles reglas.
  • Directiva de grupo (GPO): las reglas que se empujan a los equipos y usuarios: qué pueden instalar, qué contraseña se exige, qué se bloquea. Administración masiva sin tocar máquina por máquina.
  • Unir al dominio (domain join): el acto por el que una computadora pasa a ser gestionada por AD y confía en él para autenticar.

Por qué sigue vivo (y no es nostalgia)

AD persiste por razones concretas, no por inercia. Sigue siendo insuperable para el mundo on-premise: autenticar equipos Windows en una red local, gobernar carpetas compartidas y servidores de archivos, y sostener las aplicaciones internas heredadas —esas de línea de negocio que hablan LDAP o Kerberos y que no van a migrar pronto—. Para una planta, una oficina con servidores propios o un entorno mixto, AD hace un trabajo que la nube todavía no reemplaza limpiamente. Por eso la mayoría de las organizaciones no lo apagan: lo conectan a la nube.

Y por eso mismo, es el objetivo número uno

Aquí viene la otra cara, y hay que decirla claro: como AD es quien manda sobre toda la identidad de la red, comprometerlo es ganar el juego completo. Si un atacante obtiene una cuenta de administrador de dominio, deja de necesitar hackear nada más —ya es dios en ese entorno—. Por eso las técnicas de ataque más temidas en redes corporativas (robo de tickets Kerberos, movimiento lateral con credenciales reutilizadas) apuntan justamente a AD. No es un servicio más: es la caja fuerte con todas las llaves adentro, y se protege en consecuencia —con separación de privilegios y las prácticas que veremos en PAM—.

Lo que AD no es

Un malentendido caro: AD no te da inicio de sesión único (SSO) a las miles de aplicaciones SaaS modernas ni administra tu Microsoft 365 por sí solo. Fue diseñado para la red local, con sus protocolos, no para el mundo de aplicaciones web en la nube. Ese trabajo es de otra pieza —que confusamente comparte apellido— y que casi todos terminan usando junto con AD. Ahí es donde entra Entra ID, y por qué no es "el Active Directory en la nube".

La idea que se queda

Active Directory es el directorio que autentica y gobierna tu mundo Windows on-premise, y sigue vivo porque ese mundo sigue existiendo. Entenderlo es el punto de partida para entender toda la identidad como perímetro —y para protegerlo con el respeto que merece la caja fuerte de la organización—.

#active directory #ad #kerberos #ldap #gpo #identidad

Preguntas frecuentes

¿Qué es Active Directory y para qué sirve?

Active Directory es un servicio de directorio: una base de datos central que guarda las cuentas de usuarios, equipos y grupos de una organización y responde todo el día a dos preguntas, si un usuario es quien dice ser y a qué tiene derecho. Vive en servidores llamados controladores de dominio y autentica principalmente con el protocolo Kerberos. Es lo que valida a la gente cuando enciende su computadora en la oficina y lo que decide su acceso a carpetas compartidas y recursos de la red local.

¿Por qué sigue usándose Active Directory si todo se va a la nube?

Porque sigue siendo insuperable para el mundo on-premise: autenticar equipos Windows en una red local, gobernar servidores de archivos y sostener aplicaciones internas heredadas que hablan LDAP o Kerberos y no van a migrar pronto. Para una planta, una oficina con servidores propios o un entorno mixto, hace un trabajo que la nube todavía no reemplaza limpiamente. Por eso la mayoría de las organizaciones no lo apaga, sino que lo conecta a la nube en un modelo híbrido.

¿Por qué se dice que Active Directory es el objetivo número uno de los atacantes?

Porque manda sobre toda la identidad de la red: comprometerlo es ganar el juego completo. Si un atacante obtiene una cuenta de administrador de dominio, deja de necesitar hackear nada más, ya tiene control total del entorno. Por eso las técnicas de ataque más temidas en redes corporativas, como el robo de tickets Kerberos y el movimiento lateral con credenciales reutilizadas, apuntan justamente a él. Es la caja fuerte con todas las llaves adentro y debe protegerse con separación de privilegios y prácticas de acceso privilegiado.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

PAM: por qué las cuentas privilegiadas son otro juego
Entra ID (ex Azure AD): por qué no es "el Active Directory en la nube"
IAM en cristiano: RBAC, mínimo privilegio y el ciclo joiner-mover-leaver