Cómo proteger tus credenciales NTLM de Windows contra amenazas de día cero

Mientras las amenazas informáticas evolucionan cada vez más rápido, los métodos de acceso antiguos pueden convertirse en un punto vulnerable que los atacantes aprovechan para explotar. Recientemente, se reportó una vulnerabilidad crítica debido a que muchos usuarios de Windows sin saberlo siguen usando un sistema de autenticación obsoleto llamado NTLM (NT LAN Manager). En este artículo te explicamos por qué es un riesgo para tu PC y cómo protegerte contra ataques cibernéticos mediante ajustes simples en la configuración de Windows 11.

Mantén tus datos y sistema protegidos frente a amenazas de día cero. Aquí te contamos el riesgo de las credenciales NTLM en Windows y cómo superarlo con medidas de seguridad efectivas.

Qué son y cuál es el riesgo de las credenciales NTLM en Windows

NTLM (NT LAN Manager) es un protocolo de autenticación utilizado desde las primeras versiones de Windows. En los sistemas más recientes, fue reemplazado casi por completo por el protocolo Kerberos, pero todavía está presente en algunos equipos por cuestiones de compatibilidad.

Mediante este protocolo, tu contraseña se convierte en un código cifrado o “hash” para autenticarte, y son estos hashes los que pueden ser interceptados en ataques “man-in-the-middle”, algo especialmente peligroso porque sucede sin que el usuario note actividad sospechosa. El atacante simplemente accede a la información, roba credenciales y puede potencialmente tomar control de sistemas completos.

Este tipo de amenazas de día cero (o “zero-day”) consisten en vulnerabilidades que los atacantes explotan antes de que Microsoft actualice el sistema con un parche de seguridad. Recientemente, se reportó una vulnerabilidad crítica que permitió el robo de hashes NTLM, haciendo que sea de vital importancia tomar medidas de seguridad para protegerse, tanto en redes corporativas como en equipos domésticos.

Cómo desactivar la autenticación por credenciales NTLM de Windows

Para reducir considerablemente el riesgo de ataques basados en NTLM, puedes bloquear este método de autenticación a través de la línea de comandos de PowerShell. Aquí vemos los pasos a seguir:

1. Desde el menú Inicio, busca “PowerShell” y haz clic en “Ejecutar como administrador”.

2. Copia el siguiente comando en la consola y pulsa Enter para enviarlo:

3. Para confirmar el cambio, pulsa la tecla “S” y luego Enter nuevamente.

Tras completar estos pasos, se bloqueará NTLM en las conexiones SMB (Server Message Block) que se usan comúnmente para compartir archivos y recursos en red. En caso de que necesites reactivarlo para utilizar dispositivos antiguos, puedes revertirlo con el siguiente comando: “Set-SMBClientConfiguration -BlockNTLM $false”.

Cómo desactivar el protocolo antiguo de NTLM desde el Editor del registro

Otra alternativa es mantener NTLM activado, pero solo en su versión más segura (NTLMv2), deshabilitando únicamente el protocolo NTLMv1 que es mucho más vulnerable. Para hacerlo, debes ajustarlo desde el Editor del registro de Windows de la siguiente forma:

1. Presiona Windows + R para abrir el cuadro Ejecutar.

2. Escribe “regedit” y haz clic en “Aceptar”. Se abrirá el Editor del registro.

3. En el panel de la izquierda navega hasta la siguiente ruta:

4. Busca un valor llamado “LmCompatibilityLevel”. Si no existe, créalo haciendo clic en un espacio vacío de la derecha y seleccionando Nuevo > Valor de DWORD (32 bits).

5. Haz doble clic sobre el valor y cámbialo a 3, 4 o 5 para forzar el uso de NTLMv2 y bloquear NTLMv1.

6. Haz clic en “Aceptar”.

7. Dirígete a la siguiente ubicación:

8. Asegúrate de que el valor “RequireSecuritySignature” esté presente y configurado en 1, lo que obligará a firmar digitalmente todas las conexiones SMB.

Cómo activar la protección basada en la nube de Windows 11 para evitar ataques de día cero

En Windows 11 hay una función nativa de seguridad que refuerza la protección en tiempo real contra amenazas emergentes, como los ataques por NTLM. Esta opción es capaz de detener malware nuevo incluso antes de que llegue una actualización oficial con el parche de seguridad correspondiente.

Asegúrate de que esté activada así:

1. Desde el menú de Inicio, busca y abre “Seguridad de Windows”.

2. Selecciona “Protección contra virus y amenazas”.

3. Haz clic en “Administrar la configuración”.

4. Activa la opción “Protección basada en la nube”.

Con esta protección, Microsoft Defender bloqueará sitios maliciosos, descargas peligrosas y ataques de phishing en tiempo real.

Cómo protegerte del robo de credenciales NTLM activando la autenticación multifactor (2FA) en Windows 11

La autenticación de dos pasos añade una capa extra de seguridad que va más allá de la contraseña, de forma tal que incluso si tus credenciales NTLM fueron interceptadas, un atacante no podría acceder a tu cuenta sin este segundo factor de autenticación.

Si todavía no loas hecho, configúralo con estos pasos:

1. Presiona Windows + I para abrir Configuración.

2. En el menú lateral, cliquea sobre “Cuentas”.

3. Selecciona “Opciones de inicio de sesión”.

4. Haz clic sobre una opción como Windows Hello o Llave de seguridad para configurarla en tu equipo.

Conclusiones personales

Como vimos a lo largo del artículo, deshabilitar la autenticación NTLM con unos sencillos ajustes es una medida efectiva para reforzar la seguridad en entornos empresariales y proteger tanto servidores como estaciones de trabajo frente a técnicas como los ataques de retransmisión NTLM, que permiten a los atacantes obtener acceso no autorizado mediante el uso indebido de credenciales de usuario.

Microsoft recomienda restringir o eliminar el uso de NTLM mediante políticas de seguridad compatibles con el entorno, especialmente en controladores de dominio y equipos que manejan datos sensibles. También es fundamental habilitar funciones de protección ampliada, aplicar actualizaciones de seguridad con regularidad, y estar al tanto de la divulgación de nuevas vulnerabilidades que puedan afectar al sistema.