Los analistas de seguridad y del SOC revisan periódicamente los registros de eventos de Windows para identificar posibles amenazas. Una de las alertas más comunes —y a menudo malinterpretadas— es el intento fallido de inicio de sesión, conocido como el ID de evento 4625 de Windows. Dada la gran variedad de métodos de autenticación que utilizan hoy en día los usuarios, los servicios y los sistemas, determinar la causa raíz puede resultar complicado tanto para los profesionales de TI en general como para los equipos de seguridad.
Por qué es importante prestar atención a los intentos fallidos de inicio de sesión
Los eventos de inicio de sesión fallido pueden parecer algo habitual, pero a menudo son indicio de problemas subyacentes relacionados con la seguridad, el funcionamiento o el cumplimiento normativo. La supervisión y la clasificación de estos eventos es importante por varias razones fundamentales:
- Seguridad: paradetectar ataques de fuerza bruta o relacionados con contraseñas, así como actividades maliciosas internas.
- Higiene informática:es necesario solucionar los problemasde dispositivos que no logran autenticarse, ya que las cuentas administrativas obsoletas o los usuarios con contraseñas caducadas pueden suponer un riesgo para la seguridad.
- Cumplimiento normativo: la mayoría delas normativas del sector exigen la supervisión de los registros y la auditoría de los intentos fallidos de inicio de sesión.
Tipos de inicio de sesión
Al analizar un evento de inicio de sesión fallido, una de las primeras preguntas que hay que responder es cómo se produjo el intento de autenticación. Windows asigna un tipo de inicio de sesión específico a cada intento de autenticación, lo que proporciona información importante sobre si la actividad fue interactiva, basada en red, impulsada por un servicio o automatizada. Comprender estos tipos de inicio de sesión ayuda a delimitar la investigación y a priorizar las medidas de respuesta.
En la siguiente tabla se describen los tipos de inicio de sesión de Windows más habituales que encontrará al investigar el ID de evento 4625:
| Tipo de inicio de sesión | Título de inicio de sesión | Descripción |
| 2 | Interactivo | Un usuario intentó iniciar sesión en el teclado y la pantalla locales de un ordenador con Windows. La causa más habitual es un error humano, concretamente, haber escrito mal el nombre de usuario o la contraseña. |
| 3 | Red | Un usuario o un equipo ha iniciado sesión en este equipo desde la red. Este inicio de sesión suele producirse al acceder a recursos compartidos de archivos o impresoras remotas. Si se utiliza IIS, los intentos de conexión a Internet Information Server también se registran como un inicio de sesión de red. |
| 4 | Lote | El tipo de inicio de sesión por lotes lo utilizan los servidores de lotes, en los que los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa. En este caso, el error más habitual se produce en las tareas programadas. |
| 5 | Servicio | El Administrador de control de servicios ha iniciado un servicio. El error más habitual se produce cuando los servicios y las cuentas de servicio intentan iniciar sesión para iniciar un servicio. |
| 7 | Desbloquear | Esta estación de trabajo estaba desbloqueada. Esto ocurre cuando intentas desbloquear tu sistema Windows. |
| 8 | Red de texto sin cifrar | Un usuario inició sesión en este equipo desde la red, y su contraseña se transmitió al módulo de autenticación sin cifrar (en texto sin cifrar). La mayoría de los intentos fallidos de inicio de sesión se producen en este caso, cuando un usuario utiliza la autenticación básica para autenticarse en un servidor IIS. |
| 9 | Nuevas credenciales | Un usuario clonó su token actual y especificó nuevas credenciales para las conexiones salientes. La nueva sesión de inicio de sesión tiene la misma identidad local, pero utiliza credenciales diferentes para otras conexiones de red. Los eventos fallidos en este caso se deben principalmente a que un usuario inicia un programa con RunAs /netonly. |
| 10 | RemoteInteractive | Un usuario ha iniciado sesión en este equipo de forma remota mediante Servicios de terminal o Escritorio remoto. |
| 11 | En cachéInteractivo | Un usuario ha iniciado sesión en este equipo con credenciales de red que estaban almacenadas localmente en el equipo. No se ha contactado con el controlador de dominio para verificar las credenciales. |
Según las observaciones del equipoRocketCyber , la mayoría de los intentos fallidos de inicio de sesión en las pequeñas y medianas empresas (pymes) corresponden a los tipos de inicio de sesión 2, 3, 4 y 5. En muchos casos, estos eventos no son maliciosos, pero pueden suponer un riesgo para la seguridad si no se abordan.
Tras investigar numerosos intentos fallidos de inicio de sesión procedentes del interior de la red, las causas más comunes son las siguientes:
- Inicios de sesión por error (introducción incorrecta de la contraseña o el nombre de usuario)
- Credenciales caducadas almacenadas en caché que acceden a unidades asignadas
- Tareas programadas con credenciales caducadas
- Archivos por lotes con cuentas caducadas
Los intentos fallidos de inicio de sesión son inevitables, pero nunca deben ignorarse. Una supervisión y una clasificación sistemáticas son esenciales para distinguir los errores inofensivos de los usuarios de las amenazas de seguridad reales. Los tipos de inicio de sesión pueden ayudar a priorizar las medidas correctivas, especialmente a la hora de determinar si la actividad se originó dentro o fuera de la red. Mientras que los intentos externos suelen recibir atención inmediata, los intentos fallidos de inicio de sesión internos suelen pasarse por alto, a pesar de que pueden indicar configuraciones erróneas, credenciales caducadas o actividad maliciosa.
Descripciones de los campos del evento
Para comprender mejor cómo se manifiestan en la práctica los intentos fallidos de inicio de sesión, veamos un ejemplo real de una entrada con el ID de evento 4625 de Windows. La captura de pantalla que aparece a continuación destaca los campos clave que los analistas revisan durante la clasificación.
Además del tipo de inicio de sesión, hay varios campos de eventos adicionales que proporcionan información contextual fundamental a la hora de investigar un inicio de sesión fallido. Estos detalles ayudan a los analistas a determinar quién inició el intento, de dónde procedía y por qué falló.
Nombre del sujeto o de la cuenta: identifica la cuenta que solicitó el inicio de sesión. No tiene por qué coincidir con la cuenta de usuario cuya autenticación falló finalmente.
Cuenta en la que falló el inicio de sesión (nombre de cuenta y dominio): identifica la cuenta que intentó autenticarse y no lo consiguió. En la mayoría de los casos, incluye tanto el nombre de usuario como el dominio asociado (o el nombre del equipo, si se trata de una cuenta local).
Información de red: indica el origen del intento de inicio de sesión. Si el intento se inició desde el mismo sistema, esta sección puede estar en blanco o indicar el equipo local. Cuando se rellena, el nombre de la estación de trabajo y la dirección de red de origen resultan especialmente útiles para la clasificación de incidentes. También se indica el puerto de origen, pero suele ser menos útil, ya que la mayoría de los puertos de origen se asignan dinámicamente.
Información sobre el error: explica por qué falló el intento de inicio de sesión. Incluye una descripción textual del motivo del error, junto con códigos de estado y subestado (en formato hexadecimal), que ofrecen una visión más detallada de la causa del error.
Información del proceso: cuando está disponible, esta sección puede resultar especialmente útil. Incluye el identificador de proceso (PID) de la aplicación que inició el intento de inicio de sesión. Los analistas pueden cruzar el PID con el Administrador de tareas para identificar el proceso asociado. Tenga en cuenta que Windows registra el PID en formato hexadecimal, por lo que es necesario convertirlo a decimal antes de realizar la búsqueda.
Los 10 códigos de estado y subestado más importantes
La siguiente tabla se ofrece a modo de referencia de los códigos de estado y subestado más frecuentes observados por el equipoRocketCyber :
| Código de estado / código de subestado | Descripción |
| 0xC000006A | El nombre de usuario es correcto, pero la contraseña es incorrecta |
| 0xC0000064 | El nombre de usuario no existe |
| 0XC000006D | Esto se debe a que el nombre de usuario o los datos de autenticación son incorrectos. |
| 0XC000006E | Nombre de usuario desconocido o contraseña incorrecta |
| 0xC0000193 | La cuenta ha caducado |
| 0xC0000070 | Intento de inicio de sesión desde una estación de trabajo no autorizada |
| 0xC0000071 | La contraseña ha caducado |
| 0xC0000072 | Intento de inicio de sesión en una cuenta desactivada por el administrador |
| 0xc000015b | El usuario no tiene derechos de inicio de sesión para autenticarse en este equipo |
| 0xC0000234 | Intento de inicio de sesión con la cuenta bloqueada |
Resumen del análisis del registro de eventos 4625 de Windows (error de inicio de sesión)
Aunque esta descripción general no abarca todos los detalles posibles de la telemetría, sirve como base práctica para los profesionales de TI y ciberseguridad que investigan los eventos de inicio de sesión fallido. La supervisión del ID de evento 4625 contribuye a reforzar el control de seguridad, mejorar las prácticas de TI y garantizar el cumplimiento normativo.
Para los proveedores de servicios gestionados que prestan apoyo a las pequeñas y medianas empresas, la supervisión y la clasificación sistemáticas de los intentos fallidos de inicio de sesión —junto con otros incidentes de seguridad críticos— pueden reforzar considerablemente el nivel general de seguridad. Las organizaciones que carecen de las herramientas, los conocimientos o los recursos necesarios para supervisar y responder de manera eficaz a estos incidentes deberían plantearse evaluar soluciones de seguridad modernas diseñadas para ofrecer visibilidad continua, detección de amenazas y respuesta.
Para descubrir cómo la gama de soluciones de seguridad de Kaseya puede ayudarle a mejorar sus capacidades de supervisión, detección y respuesta,solicite una demostración con un especialista en seguridad.
