Protección de las credenciales NTLM de Windows contra amenazas de día cero

Protección de las credenciales NTLM de Windows contra amenazas de día cero

El protocolo de autenticación NTLM (NT LAN Manager), aunque aún se utiliza con frecuencia en dispositivos Windows, presenta importantes riesgos de ciberseguridad. Activado por defecto, NTLM puede convertirse en una vulnerabilidad, exponiendo potencialmente las contraseñas del sistema durante ataques de malware. Los atacantes suelen aprovechar estas debilidades mediante sofisticadas técnicas de intermediario (MitM), por lo que es fundamental que los usuarios tomen medidas proactivas para proteger sus credenciales NTLM.

Comprensión de las amenazas NTLM

NTLM funciona convirtiendo su contraseña a un formato hash, lo que permite la verificación sin transmitir la contraseña real por la red. Sin embargo, este método es susceptible a ataques. Si un malware se infiltra en su sistema, su contraseña podría verse comprometida fácilmente.

Al destacar vulnerabilidades recientes, los investigadores de seguridad de Check Point detallaron la falla «CVE-2025-24054», que ha generado ciberamenazas persistentes dirigidas a datos confidenciales, principalmente en los sectores gubernamentales y corporativos de Polonia y Rumanía. Los atacantes están implementando diversas técnicas, como el método de paso de hash (PtH), la tabla arco iris y los ataques de retransmisión, dirigidos principalmente a cuentas administrativas de alto nivel.

Aunque estos ataques suelen dirigirse a organizaciones, los usuarios individuales no son inmunes. Incluso una simple interacción con un archivo malicioso puede provocar la exposición de contraseñas. Por lo tanto, es fundamental asegurarse de que su sistema Windows se actualice periódicamente; Microsoft ha presentado una actualización de seguridad destinada a impedir este tipo de vulnerabilidad.

1. Deshabilitar la autenticación NTLM mediante PowerShell

Para reforzar su defensa contra los riesgos relacionados con NTLM, comience por deshabilitar la autenticación NTLM mediante PowerShell. Siga estos pasos:

  1. Inicie PowerShell en modo administrador.
  2. Ejecute el siguiente comando para bloquear el uso de NTLM a través de SMB (bloque de mensajes del servidor):

Set-SMBClientConfiguration -BlockNTLM $true

Modifique la configuración del cliente SMB de destino en PowerShell para protegerse contra ataques NTLM.

Confirme la modificación pulsando A para confirmar. Al bloquear NTLM sobre SMB, reduce significativamente las vulnerabilidades a PtH y ataques de retransmisión, aunque puede afectar a dispositivos más antiguos que dependen de NTLM.

Si experimenta problemas de compatibilidad, revierta la configuración utilizando:

Set-SMBClientConfiguration -BlockNTLM $false

2. Cambie a NTLMv2 en el Editor del Registro

La transición del antiguo NTLM al más seguro NTLMv2 es crucial para una mayor seguridad. Comience por hacer una copia de seguridad de su registro y abra el Editor del Registro como administrador. Vaya a la siguiente ruta:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Clave de registro Lsa (Autoridad de Seguridad Local) y

Localice o cree el valor DWORD LmCompatibilityLevel. Establézcalo en «3», «4» o «5» para garantizar que solo se envíen respuestas NTLMv2, bloqueando así NTLMv1.

A continuación, ajuste la siguiente ruta de registro:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Asegúrese de que el DWORD RequireSecuritySignature esté configurado en «1».Este ajuste exigirá la firma de seguridad para las conexiones SMB, lo que añade una capa adicional de protección contra el robo de credenciales.

3. Habilite la protección en la nube en Seguridad de Windows

Para quienes prefieren no modificar el registro, la función de Seguridad de Windows integrada puede ofrecer una protección sustancial contra amenazas en línea. Acceda a esta función en Protección contra virus y amenazas > Administrar configuración > Protección en la nube.

Habilitación de la protección entregada en la nube en Seguridad de Windows.

4. Exploración de medidas de seguridad adicionales

Además de los pasos mencionados anteriormente, tenga en cuenta estas recomendaciones adicionales de Microsoft para reforzar sus defensas contra el robo de credenciales NTLM:

  • Evite los enlaces sospechosos: Muchas amenazas relacionadas con NTLM se propagan mediante clickbait o enlaces maliciosos. Incluso si Seguridad de Windows detecta estas amenazas, tenga cuidado para minimizar la exposición.
  • Actualice periódicamente su sistema: busque y aplique constantemente actualizaciones de Windows para protegerse contra vulnerabilidades recientemente descubiertas.
  • Utilice la autenticación multifactor (MFA): la implementación de MFA puede proporcionar una capa adicional de protección, lo que hace que el acceso no autorizado sea sustancialmente más difícil.
  • Infórmese y eduque a los demás: estar al tanto de las tácticas de ingeniería social y los esquemas de phishing puede ayudar a prevenir la exposición accidental.

Seguir estos pasos críticos reducirá significativamente las posibilidades de que sus credenciales NTLM de Windows se vean comprometidas, mejorando la seguridad general del sistema.

Artículos relacionados:

Escenarios óptimos para utilizar el modo de razonamiento de los chatbots de IA
Cree diapositivas de PowerPoint a partir de documentos con Copilot: guía práctica

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *