Protéjase: Vulnerabilidades de fuga de hash NTLM en las versiones preliminares del Explorador de archivos de Windows

Desarrollos recientes han revelado vulnerabilidades asociadas con el panel de vista previa del Explorador de archivos de Windows, donde se pueden exponer los hashes de contraseñas NTLM. Estas vulnerabilidades permiten a los atacantes reutilizar o descifrar estas credenciales sin conexión. En respuesta a este riesgo, Microsoft ha deshabilitado las vistas previas de archivos para el contenido descargado en sus últimas actualizaciones de Windows. Esta guía describe estrategias esenciales para protegerse contra posibles fugas de hashes NTLM a través de las vistas previas del Explorador de archivos.

Comprensión de las vulnerabilidades de las vistas previas del Explorador de archivos

NT LAN Manager (NTLM) funciona como un protocolo de autenticación diseñado por Microsoft para diversas cuentas y servicios de Windows. Aunque ha sido prácticamente reemplazado por Kerberos debido a sus deficiencias de seguridad, NTLM sigue utilizándose por motivos de compatibilidad con versiones anteriores. Desafortunadamente, su presencia crea condiciones de explotación.

Los atacantes pueden aprovechar la función de vista previa del Explorador de archivos para realizar solicitudes NTLM que podrían exponer contraseñas locales o de dominio en formato hash. Durante la vista previa, si el archivo contiene instrucciones para solicitudes NTLM, Windows puede procesarlas inadvertidamente y transmitir las contraseñas en formato hash a servidores maliciosos. Los ciberdelincuentes pueden entonces intentar descifrar estos hashes sin conexión o lanzar ataques de transferencia de hashes.

Microsoft ha reconocido las amenazas constantes relacionadas con estos ataques. Por lo tanto, con sus últimas actualizaciones, ya no se muestran las vistas previas de los archivos identificados con la Marca de la Web (MoTW), generalmente archivos descargados de internet.

Cómo proteger su sistema de fugas de hash NTLM

Para minimizar los riesgos asociados con la fuga de hash NTLM, especialmente de archivos descargados de internet, los usuarios deben adoptar ciertas prácticas de seguridad, ya que Microsoft Defender no detecta de forma concluyente los intentos de solicitud NTLM simplemente mediante el análisis de archivos. A continuación, se indican pasos útiles para reforzar sus defensas:

• Mantenga Windows actualizado: Asegúrese de que su sistema operativo esté actualizado. La actualización de seguridad del 14 de octubre deshabilitó las vistas previas de archivos de MoTW. En Windows 11, vaya a Configuración → Windows Update para verificar e instalar las actualizaciones disponibles.
• Realice análisis de comportamiento en línea: Los análisis antivirus estándar podrían no identificar solicitudes NTLM dañinas. Si sospecha que un archivo puede ser malicioso, utilice una herramienta de análisis de comportamiento para abrirlo en un entorno seguro (sandbox) y supervisar su comportamiento. Herramientas como Joe Sandbox y MetaDefender son excelentes opciones.
• Proteja sus credenciales NTLM: Tome medidas proactivas para proteger sus credenciales NTLM y reducir significativamente las posibilidades de una vulneración. Esta guía explica métodos detallados para proteger las credenciales NTLM de Windows.
• Pruebe el comportamiento de los archivos en una máquina virtual: Cree un entorno virtual para evaluar el comportamiento de archivos sospechosos sin poner en riesgo su sistema principal. Puede usar Hyper-V o aplicaciones de máquinas virtuales de terceros para observar la actividad de red durante la vista previa.
• Desactivar las vistas previas del Explorador de archivos en todo el sistema: Para evitar por completo la fuga de hash NTLM a través de las vistas previas de archivos, considere desactivar por completo los controladores de vista previa. Abra el Explorador de archivos, seleccione Opciones en el menú Ver más, vaya a la pestaña Ver y desactive la opción Mostrar controladores de vista previa en el panel de vista previa.

Vista previa segura de archivos confiables

Si comprueba que un archivo descargado es seguro y desea obtener una vista previa a pesar de los cambios en la última actualización de Windows, deberá desbloquearlo. A continuación, le explicamos cómo hacerlo:

Haga clic derecho en el archivo y seleccione Propiedades. En la pestaña General, localice la sección Seguridad y marque la casilla Desbloquear antes de confirmar los cambios. Esto le permitirá obtener una vista previa del archivo.

Sin embargo, desbloquear archivos individualmente puede ser tedioso. Para desbloquearlos en bloque, use un comando de PowerShell en la carpeta designada donde se guardan todos los archivos. Mantenga presionado Shift, haga clic derecho en un espacio vacío y seleccione » Abrir ventana de PowerShell aquí».

En PowerShell, ejecute el siguiente comando:

Get-ChildItem -File | Unblock-File

Esto desbloqueará todos los archivos en la carpeta especificada y le permitirá obtener una vista previa de ellos en consecuencia.

Si bien la imposibilidad de previsualizar archivos de forma predeterminada puede ser molesta, estas medidas son cruciales para la seguridad hasta que NTLM quede obsoleto en futuras versiones de Windows. Además, el uso constante de contraseñas seguras y únicas puede ayudar a mitigar las consecuencias de cualquier posible exposición al hash NTLM.

Fuente e imágenes

Artículos relacionados:

Las mejores ofertas en dispositivos de streaming

22:20octubre 28, 2025

Presentamos Irys: la red social de fotos única a diferencia de Instagram

21:30octubre 28, 2025

La mejor herramienta gratuita de Windows que he usado durante años: rendimiento inigualable

19:06octubre 28, 2025

Herramienta de privacidad O&O ShutUp10 2.1.1015

16:13octubre 28, 2025