El Directorio Activo es un servicio de Microsoft que permite y facilita la administración centralizada de todas las estaciones de trabajo y servidores en cualquier entorno. Debido al amplio uso y adopción de este servicio, se ha convertido en un objetivo para muchos atacantes. Los ataques al Directorio Activo han evolucionado a lo largo de los años. Los ataques apuntan a diferentes funciones y características proporcionadas por el Directorio Activo. En este documento, brindamos información sobre la criticidad, impacto y detección de los ataques al Directorio Activo. Revisamos los diferentes ataques al Directorio Activo. Introducimos los pasos del ataque al Directorio Activo y el flujo de autenticación Kerberos, que es abusado en la mayoría de los ataques para comprometer el entorno del Directorio Activo. Además, realizamos experimentos sobre dos ataques basados en escalada de privilegios para examinar las firmas de ataque en los registros de eventos de Windows. El contenido diseñado en este documento puede servir como referencia para las organizaciones que implementan mecanismos de detección para sus entornos de Directorio Activo.