Cada cierto tiempo alguien anuncia la muerte de Active Directory. Y cada cierto tiempo entras a una empresa —grande o chica— y ahí está, en el corazón de todo: es lo que valida a la gente cuando prende su computadora, lo que decide a qué carpeta compartida llega cada quien, lo que aplica las políticas de seguridad de los equipos. Nació en el año 2000 y en 2026 sigue siendo la columna vertebral de la identidad en la mayoría de los entornos Windows. Vale la pena entender qué es de verdad y por qué no se va.
Qué es Active Directory, sin rodeos
Active Directory (AD) es un servicio de directorio: una base de datos central que guarda las cuentas de usuarios, equipos y grupos de una organización, y que responde dos preguntas todo el día —¿este usuario es quien dice ser? y ¿a qué tiene derecho?—. Vive en servidores llamados controladores de dominio (DC), y para autenticar usa principalmente el protocolo Kerberos (tickets en vez de mandar la contraseña una y otra vez) y LDAP para consultar el directorio. Cuando un empleado inicia sesión en su laptop de la oficina, es AD quien dice "sí, pasa" —o no—.
Las piezas que vas a oír nombrar
- Dominio: el límite administrativo, la "organización" lógica. Un bosque (forest) puede agrupar varios dominios.
- Unidad organizativa (OU): las carpetas dentro del dominio para ordenar usuarios y equipos —por área, por sitio— y aplicarles reglas.
- Directiva de grupo (GPO): las reglas que se empujan a los equipos y usuarios: qué pueden instalar, qué contraseña se exige, qué se bloquea. Administración masiva sin tocar máquina por máquina.
- Unir al dominio (domain join): el acto por el que una computadora pasa a ser gestionada por AD y confía en él para autenticar.
Por qué sigue vivo (y no es nostalgia)
AD persiste por razones concretas, no por inercia. Sigue siendo insuperable para el mundo on-premise: autenticar equipos Windows en una red local, gobernar carpetas compartidas y servidores de archivos, y sostener las aplicaciones internas heredadas —esas de línea de negocio que hablan LDAP o Kerberos y que no van a migrar pronto—. Para una planta, una oficina con servidores propios o un entorno mixto, AD hace un trabajo que la nube todavía no reemplaza limpiamente. Por eso la mayoría de las organizaciones no lo apagan: lo conectan a la nube.
Y por eso mismo, es el objetivo número uno
Aquí viene la otra cara, y hay que decirla claro: como AD es quien manda sobre toda la identidad de la red, comprometerlo es ganar el juego completo. Si un atacante obtiene una cuenta de administrador de dominio, deja de necesitar hackear nada más —ya es dios en ese entorno—. Por eso las técnicas de ataque más temidas en redes corporativas (robo de tickets Kerberos, movimiento lateral con credenciales reutilizadas) apuntan justamente a AD. No es un servicio más: es la caja fuerte con todas las llaves adentro, y se protege en consecuencia —con separación de privilegios y las prácticas que veremos en PAM—.
Lo que AD no es
Un malentendido caro: AD no te da inicio de sesión único (SSO) a las miles de aplicaciones SaaS modernas ni administra tu Microsoft 365 por sí solo. Fue diseñado para la red local, con sus protocolos, no para el mundo de aplicaciones web en la nube. Ese trabajo es de otra pieza —que confusamente comparte apellido— y que casi todos terminan usando junto con AD. Ahí es donde entra Entra ID, y por qué no es "el Active Directory en la nube".
La idea que se queda
Active Directory es el directorio que autentica y gobierna tu mundo Windows on-premise, y sigue vivo porque ese mundo sigue existiendo. Entenderlo es el punto de partida para entender toda la identidad como perímetro —y para protegerlo con el respeto que merece la caja fuerte de la organización—.