El protocolo NTLM sigue siendo vulnerable en redes Windows a pesar de su descontinuación, con herramientas que permiten acelerar el crakeo de contraseñas y aumenta el riesgo de ciberataques
A pesar de estar descontinuado, NTLM sigue siendo una amenaza activa, facilitando ataques y poniendo en riesgo la seguridad de las redes Windows.
El protocolo de autenticación NTLM sigue siendo un problema de seguridad en muchas redes Windows, a pesar de haber sido oficialmente descontinuado hace años. Este sistema, especialmente en su versión Net-NTLMv1, presenta vulnerabilidades graves que permiten a los delincuentes reconstruir contraseñas mediante ataques con rainbow tables, facilitando el acceso no autorizado a sistemas y datos sensibles.
Microsoft no ha eliminado completamente NTLM debido a problemas de compatibilidad, lo que permite que los atacantes puedan forzar rebajas (downgrades) en los métodos de autenticación y capturar contraseñas mediante técnicas automatizadas. Estas vulnerabilidades, combinadas con el hecho de que muchas organizaciones continúan usando este protocolo, incrementan considerablemente el riesgo de ataques como ransomware y otros tipos de ciberdelitos.
Recientemente, Google y su equipo de seguridad Mandiant han puesto a disposición pública rainbow tables, un recurso que contiene valores precalculados necesarios para acelerar enormemente el proceso de descifrado de contraseñas almacenadas con NTLM. Estas tablas simplifican la tarea de los atacantes, permitiendo descifrar contraseñas en cuestión de minutos con herramientas como John the Ripper, lo que demuestra la vulnerabilidad actual del sistema.
El objetivo de Google con esta acción es reducir las barreras para que los expertos en seguridad puedan demostrar la gravedad de estas vulnerabilidades y presionar a las organizaciones y a Microsoft para que desactiven definitivamente NTLM. La disponibilidad de estas tablas también busca sensibilizar sobre la necesidad de fortalecer las medidas de seguridad en las redes Windows y promover la migración a protocolos más seguros, como Kerberos.
Se recomienda a las organizaciones que desactiven inmediatamente la autenticación Net-NTLMv1 y que refuercen las medidas de protección en sus sistemas, incluyendo el fortalecimiento del uso de Kerberos, que también presenta desafíos de seguridad como ataques de kerberoasting. La comunidad de seguridad ofrece recursos y seminarios especializados para ayudar al personal administrador a gestionar esta transición y mitigar los riesgos asociados con estos protocolos obsoletos.