Microsoft desactivará NTLM por defecto en próximas versiones de Windows para mitigar riesgos críticos

Introducción

Microsoft ha anunciado la desactivación, por defecto, del veterano protocolo de autenticación NTLM (NT LAN Manager) en las futuras versiones de Windows. Esta decisión, largamente esperada en el sector, responde a la necesidad de reforzar la seguridad en entornos empresariales y reducir la superficie de ataque asociada a NTLM, un mecanismo con más de 30 años de antigüedad que sigue presente en numerosos despliegues corporativos. La desactivación progresiva de NTLM marca un hito en la estrategia de Microsoft para hacer frente a amenazas persistentes y sofisticadas, y obliga a las organizaciones a revisar urgentemente sus políticas de autenticación y compatibilidad.

Contexto del Incidente o Vulnerabilidad

NTLM fue introducido a principios de los años noventa como un reemplazo de LAN Manager (LM), y aunque ha sido esencial durante décadas para la interoperabilidad en entornos Windows, hoy se considera un protocolo inseguro. A pesar de la existencia de alternativas más robustas como Kerberos desde Windows 2000, NTLM sigue activado en muchas infraestructuras, tanto por compatibilidad como por inercia operativa. En los últimos años, varias campañas de ciberataques han explotado debilidades inherentes a NTLM, como el relay de autenticación, el pass-the-hash y el brute-forcing de credenciales, lo que ha llevado a Microsoft a acelerar su eliminación.

Detalles Técnicos

NTLM se basa en un sistema de desafío-respuesta que, históricamente, no cifra adecuadamente las credenciales ni impide ataques de intermediario (Man-in-the-Middle, MitM). Las vulnerabilidades más destacadas incluyen:

– **Relay attacks (NTLM Relay):** Los atacantes interceptan y reenvían autenticaciones NTLM a otros servicios, obteniendo acceso no autorizado si el protocolo no está adecuadamente aislado.
– **Pass-the-Hash:** Permite el uso directo de hashes NTLM (en vez de contraseñas en texto claro) para autenticarse en servicios Windows, facilitando movimientos laterales.
– **Brute-force y Rainbow Tables:** El hash NTLM es susceptible al cracking mediante tablas precalculadas y fuerza bruta debido a la falta de salting y al uso de algoritmos criptográficos obsoletos.

El MITRE ATT&CK Framework identifica técnicas relacionadas bajo los IDs T1075 (Pass the Hash), T1557 (Adversary-in-the-Middle), y T1110 (Brute Force). Los Indicadores de Compromiso (IoC) suelen incluir anomalías en los logs de autenticación, tráfico SMB inesperado y eventos de autenticación fallida masiva.

Se han observado exploits públicos y módulos en frameworks como Metasploit y Cobalt Strike que automatizan la explotación de estas debilidades, lo que incrementa el riesgo incluso para organizaciones con un nivel de madurez medio-alto.

Impacto y Riesgos

Según estudios recientes, hasta un 40% de las medianas y grandes empresas mantienen NTLM habilitado en algún segmento de su red, debido a aplicaciones legacy o configuraciones heredadas. El uso continuado de NTLM expone a las organizaciones a:

– Compromiso de cuentas privilegiadas
– Movimientos laterales rápidos en caso de brecha inicial
– Acceso no autorizado a recursos compartidos y sistemas críticos
– Riesgo de incumplimiento de normativas como GDPR y NIS2 en caso de fuga de datos

El coste económico de incidentes explotando NTLM puede superar fácilmente los 100.000 euros por incidente, sin contar sanciones regulatorias y daño reputacional.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda migrar urgentemente a Kerberos como protocolo de autenticación principal y deshabilitar NTLM en todos los sistemas siempre que sea posible. Las acciones prioritarias incluyen:

– Auditoría de dependencias NTLM mediante herramientas como Microsoft Defender for Identity y scripts de PowerShell.
– Actualización de todas las aplicaciones y servicios que requieran autenticación, reemplazando NTLM por Kerberos o mecanismos modernos.
– Configuración de políticas de grupo (GPO) para deshabilitar NTLM en controladores de dominio y estaciones de trabajo.
– Monitorización continua de intentos de autenticación NTLM y detección de patrones anómalos.

Opinión de Expertos

Expertos en ciberseguridad como Alex Weinert, vicepresidente de seguridad de identidad en Microsoft, subrayan que “la persistencia de NTLM es una de las mayores barreras para alcanzar una seguridad Zero Trust real en las organizaciones”. Analistas SOC y pentesters coinciden en que la eliminación de NTLM reduce de manera significativa la probabilidad de movimientos laterales y escalada de privilegios, aunque advierten que la migración debe planificarse cuidadosamente para evitar interrupciones en aplicaciones legacy.

Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, la desactivación de NTLM por defecto implica revisar en profundidad la compatibilidad de sus aplicaciones internas y procesos de autenticación. Los administradores de sistemas deberán validar que todos los dispositivos y servicios soportan Kerberos u otros métodos alternativos antes de la migración. Las empresas que no adapten sus sistemas corren el riesgo de perder compatibilidad o sufrir interrupciones en servicios críticos tras la actualización de Windows.

Conclusiones

La decisión de Microsoft de deshabilitar NTLM por defecto supone un avance contundente hacia entornos Windows más seguros y resilientes frente a ataques avanzados. Las organizaciones deben anticiparse, auditar sus dependencias y acelerar la transición a protocolos de autenticación modernos para garantizar el cumplimiento normativo y la protección efectiva de sus activos. La eliminación de NTLM es un paso necesario en el camino hacia la reducción de la superficie de ataque en entornos corporativos.

(Fuente: www.bleepingcomputer.com)