¿Pentesting legal o arma para hackers? DonPwner: la nueva herramienta para atacar Active Directory
Una herramienta de código abierto desata polémica entre expertos en seguridad.
Se ha publicado en acceso público la nueva herramienta DonPwner — una utilidad para el análisis de credenciales y la automatización de ataques contra infraestructuras basadas en roles de Active Directory, construida sobre la base DonPAPI y destinada a facilitar las tareas de pruebas autorizadas. La herramienta está orientada a la verificación masiva de contraseñas con retardos controlados, la generación de diccionarios dirigidos desde la base y la comparación con volcados de credenciales, lo que hace al proyecto útil para auditores de seguridad, pero al mismo tiempo subraya los problemas de doble uso de este tipo de soluciones.
El repositorio contiene scripts para extraer listas, módulos de integración con NetExec (anteriormente CrackMapExec) y comandos auxiliares para la «pulverización» segura de contraseñas con parámetros de retardo y variación aleatoria de la latencia, que ayudan a reducir el riesgo de bloqueos y a disminuir la visibilidad de la actividad. Entre las capacidades se incluyen la eliminación automática de cuentas que se han autenticado con éxito de rondas posteriores y la opción de comparar hashes desde secretsdump para verificar coincidencias con secretos encontrados.
El proyecto se distribuye bajo una licencia no comercial que exige atribución y limita el uso comercial: el autor indica claramente la necesidad de obtener permisos antes de emplear la herramienta en redes ajenas. Los autores de la documentación destacan el carácter educativo y de prueba del código y advierten sobre las consecuencias legales de un uso indebido.
La publicación genera un debate sobre el equilibrio entre la utilidad de estas herramientas para evaluadores de penetración y el riesgo de su uso por parte de actores malintencionados; por ello, los equipos de seguridad recomiendan controlar cuidadosamente el acceso a dichos repositorios y aplicar las herramientas únicamente en entornos autorizados.
DonPwner sigue siendo un ejemplo de software de doble uso: a la vez una herramienta para mejorar la resiliencia de las redes y un posible vector de abuso si se ignoran las exigencias de la licencia y las normas de uso.