Tecnologías en palabras simples

Cómo Proteger Sus Credenciales NTLM de Windows de Amenazas de Día Cero

Credenciales NTLM de Windows Destacadas

Los dispositivos de Windows utilizan un método de inicio de sesión más antiguo llamado NTLM, que está habilitado por defecto. En caso de un ataque de malware, puede exponer su contraseña del sistema a los hackers. Ellos pueden utilizar diferentes tipos de ataques de intermediario para robar sus detalles de inicio de sesión de Windows. Afortunadamente, puede proteger sus credenciales NTLM de Windows de amenazas de día cero utilizando algunos ajustes simples en la configuración de NTLM.

Cómo los Ataques de NTLM Roban Sus Contraseñas

NTLM (NT LAN Manager) es un método de autenticación más antiguo que todavía se utiliza en muchos dispositivos de Windows. Funciona convirtiendo su contraseña en un código (hash) para verificarlo sin enviar la contraseña a través de la red. Esto no es seguro porque si su PC se ve comprometida, su contraseña de inicio de sesión será visible para los atacantes.

Recientemente, en abril de 2025, el investigador de seguridad Check Point publicó un blog sobre la divulgación de hashes NTLM a través de una vulnerabilidad llamada “CVE-2025-24054”. Según ellos, es un ciberataque en curso dirigido a usuarios gubernamentales y empresariales en Polonia y Rumanía. Los atacantes están utilizando diferentes tipos de ataques de intermediario, incluyendo pass-the-hash (PtH), ataque de tabla arcoíris y ataques de retransmisión. Su objetivo principal son los usuarios privilegiados o administradores.

Si bien los ataques de NTLM a menudo se dirigen a empresas y gobiernos, los usuarios domésticos también son vulnerables. Simplemente al interactuar con un archivo malicioso se puede filtrar su contraseña del sistema.

Microsoft lanzó un parche de seguridad para CVE-2025-24054. Por lo tanto, siempre es bueno mantener su sistema Windows actualizado para prevenir estos ataques. Además de eso, hay algunas otras cosas que puede hacer.

1. Desactivar la Autenticación NTLM a través de PowerShell

Abra PowerShell en modo administrador e ingrese lo siguiente. Encontrará otra pregunta sobre si desea modificar la configuración del cliente SMB objetivo. Para ello, haga clic en A.

Set-SMBClientConfiguration -BlockNTLM $true

Modificar la configuración del cliente SMB de destino en PowerShell para protegerse contra ataques NTLM.

Bloquear NTLM sobre SMB no afecta a sus dispositivos Windows más recientes. Sin embargo, en caso de que encuentre problemas con impresoras más antiguas, servidores NAS u otros dispositivos heredados, siempre puede volver a permitir NTLM sobre SMB.

Set-SMBClientConfiguration -BlockNTLM $false

El Bloque de Mensaje del Servidor (SMB) se utiliza para compartir archivos y conexiones de red. Es una de las conexiones más comunes utilizadas por PtH, ataques de retransmisión y otros ataques de intermediario. Al bloquear NTLM sobre SMB, está eliminando una puerta de entrada importante para los atacantes.

2. Desactivar el Protocolo NTLM Antiguo en el Editor del Registro

Muchas sesiones de Windows hoy en día se alojan en “Kerberos”, que es un protocolo muy seguro ya que utiliza autenticación encriptada basada en tickets. Sin embargo, no hay necesidad de desactivar completamente NTLM, que tiene muchos usos. En cambio, cambiaremos al protocolo NTLMv2 más seguro en lugar de NTLMv1.

Esto se puede hacer desde el Editor del Registro. Primero haga una copia de seguridad de su registro. Luego, abra el Editor del Registro en modo administrador y vaya a:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Clave del registro Lsa (Autoridad de Seguridad Local) y DWORD

Bajo la clave del registro para “Autoridad de Seguridad Local” (Lsa), vaya al valor de nivel de autenticación de administración de red LAN, “LmCompatibilityLevel”. Si no está presente, cree un D-WORD (32 bits) bajo Lsa como se muestra arriba.

Haga doble clic en “LmCompatibilityLevel” para abrirlo. Encontrará “0” como el valor predeterminado. Establezca el valor en “3”, “4” o “5”, lo que configurará su dispositivo Windows para enviar solo respuestas NTLMv2 y bloquear todas las respuestas NTLMv1 heredadas.

Establecer LmCompatibilityLevel al valor 3, bloqueando así todo NTLMv1.

Después de hacer el cambio anterior, dirígete a la siguiente ruta:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Aquí, encontrará un valor D-WORD llamado “RequireSecuritySignature” o “EnableSecuritySignature”. Su valor predeterminado debe ser “1”. Si no, entonces cámbielo a “1”. Una vez que lo haga, todas las futuras conexiones SMB requerirán firma de seguridad SMB. Esto impide que se roben las credenciales de su dispositivo.

3. Mantener Protección en la Nube Habilitada en la Seguridad de Windows

Los cambios en el registro anteriores son inofensivos. Sin embargo, si no desea hacerlos, puede proteger su dispositivo a través de una nueva función de Seguridad de Windows que previene todas las amenazas, como los ataques de phishing que surgen en línea. Se puede acceder desde Protección contra virus y amenazas -> Administrar configuraciones -> Protección entregada desde la nube.

Habilitando la Protección Entregada desde la Nube en la Seguridad de Windows.

Relacionado: tener acceso a una suite de protección de endpoints, como Microsoft Defender, le brinda protección adicional contra amenazas de cero horas.

4. Otras Medidas de Seguridad

Microsoft ha recomendado los siguientes mecanismos de seguridad adicionales para evitar convertirse en víctima del robo de credenciales NTLM:

  • Habilitar la autenticación de múltiples factores: puede mejorar la seguridad de su inicio de sesión basado en contraseñas y PIN a través de mecanismos de autenticación de múltiples factores. Vaya a Configuración -> Cuentas -> Opciones de inicio de sesión. Aquí encontrará muchas opciones como Windows Hello y crear una llave de seguridad física utilizando dispositivos USB.
  • Evite hacer clic en enlaces sospechosos: el malware de NTLM generalmente se propaga a través de enlaces maliciosos. Aunque pueden ser bloqueados por la Seguridad de Windows, ¿por qué correr el riesgo de estas explotaciones remotas? Consulte nuestra guía detallada sobre cómo detectar y evitar mensajes maliciosos.

Contenido

  1. Cómo los Ataques de NTLM Roban Sus Contraseñas
  2. 1. Desactivar la Autenticación NTLM a través de PowerShell
  3. 2. Desactivar el Protocolo NTLM Antiguo en el Editor del Registro
  4. 3. Mantener Protección en la Nube Habilitada en la Seguridad de Windows
  5. 4. Otras Medidas de Seguridad
Panel de control de Ello

Ello: Explorando la Red Social Privada

Bitdefender No se Instala: 3 Soluciones Fáciles que Puedes Usar

Más sobre las soluciones de Bitdefender

Google elimina Inbox y le da seis meses de vida

aspect-ratios-16x9

Entendiendo las relaciones de aspecto de video

Administrador de Archivos con Etiquetas para Organizar tus Archivos: Top 5

Arreglar wake on LAN no funcionando

Wake On LAN No Funciona en Windows [Solucionado]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS y Consolas en el Mac

Google prueba una nueva función de Chrome para la elegibilidad de actualización a Windows 11