Microsoft ha anunciado un cambio profundo en los mecanismos de autenticación de Windows: en futuras versiones de Windows cliente y Windows Server, el protocolo NTLM (New Technology LAN Manager) estará deshabilitado por defecto. La medida afecta directamente a redes corporativas de todo el mundo y responde a la larga historia de vulnerabilidades y abusos de NTLM en ataques modernos.
Qué es NTLM y por qué Microsoft va a deshabilitarlo por defecto
NTLM se introdujo en 1993 con Windows NT 3.1 como sustituto de LAN Manager y durante años fue el protocolo estándar de autenticación en entornos Windows. Desde Windows 2000, esta función recayó principalmente en Kerberos para equipos unidos a dominio, pero NTLM siguió presente como mecanismo de reserva en escenarios sin conectividad con el controlador de dominio o en aplicaciones heredadas.
Hoy, los algoritmos criptográficos de NTLM se consideran insuficientes. El protocolo se basa en hashes obsoletos (como los derivados de MD4) y carece de autenticación mutua fuerte y vinculación de sesión. Esto facilita ataques de interceptación, repetición y manipulación de credenciales, especialmente dentro de la red interna, donde los atacantes suelen operar tras una primera brecha.
Ataques NTLM relay: de una máquina comprometida al control del dominio
Uno de los abusos más frecuentes de NTLM son las NTLM relay attacks. En este tipo de ataque, un adversario posiciona un sistema malicioso entre un cliente y un servidor, fuerza al equipo comprometido a autenticarse y retransmite esas credenciales NTLM hacia otros servicios dentro del dominio, sin necesidad de descifrar el hash.
Esta técnica permite elevar privilegios y moverse lateralmente, llegando en algunos casos al control completo del dominio. Exploits y técnicas muy conocidos en pruebas de intrusión y campañas de ransomware, como PetitPotam, ShadowCoerce o RemotePotato0, se basan precisamente en vulnerabilidades de diseño y uso inseguro de NTLM en servidores Windows y servicios de infraestructura.
Pass-the-hash: reutilización de hashes NTLM para movimiento lateral
Otro vector crítico es el pass-the-hash. En lugar de robar contraseñas en texto claro, el atacante obtiene los hashes NTLM de las credenciales (por ejemplo, desde memoria, SAM o copias de seguridad) y los utiliza directamente para autenticarse en otros sistemas. El marco MITRE ATT&CK cataloga esta técnica como T1550.002.
Debido a que NTLM permite autenticación basada únicamente en el hash, un hash comprometido equivale efectivamente a la contraseña. Herramientas ampliamente utilizadas en red teaming y por grupos criminales facilitan estas operaciones, lo que convierte a NTLM en una pieza clave de muchas cadenas de ataque de movimiento lateral dentro de redes Windows.
Hoja de ruta de Microsoft para abandonar NTLM en Windows
Fase 1: auditoría de NTLM en Windows 11 24H2 y Windows Server 2025
El primer paso se materializa en Windows 11 24H2 y Windows Server 2025, donde Microsoft introduce capacidades avanzadas de auditoría de NTLM. Los administradores podrán identificar con precisión qué aplicaciones, servicios y dispositivos continúan usando este protocolo, así como los flujos de autenticación asociados.
Un inventario detallado es imprescindible antes de deshabilitar NTLM. Las organizaciones deben conocer qué procesos de negocio dependen todavía de este método para planificar su modernización o sustitución, reduciendo el riesgo de interrupciones operativas.
Fase 2: IAKerb y Local KDC como sustitutos de escenarios típicos de NTLM
En la segunda mitad de 2026, Microsoft prevé incorporar mecanismos diseñados para eliminar las principales razones por las que hoy se recurre a NTLM. Destacan IAKerb y el Local Key Distribution Center (Local KDC), orientados a extender el alcance de Kerberos.
IAKerb permite que las aplicaciones utilicen Kerberos incluso cuando el acceso directo al controlador de dominio es limitado, mientras que Local KDC actúa como un centro de distribución de claves local para escenarios donde tradicionalmente se exigía NTLM. Con ello, se cubre un amplio conjunto de casos heredados sin depender de un protocolo menos seguro.
Fase 3: NTLM deshabilitado por defecto, con activación controlada por política
En las futuras versiones de Windows y Windows Server, NTLM estará deshabilitado por defecto. El protocolo seguirá disponible, pero solo podrá activarse de forma explícita mediante directivas de grupo para casos muy concretos y controlados.
La meta de Microsoft es suministrar sistemas operativos en una configuración segura por defecto, donde la autenticación de red se base prioritariamente en Kerberos y métodos modernos resistentes al phishing, como soluciones de autenticación sin contraseña (por ejemplo, FIDO2 o Windows Hello for Business) y credenciales de hardware. NTLM quedará relegado estrictamente a escenarios excepcionales.
Qué deben hacer ahora las empresas y los equipos de seguridad
Para las organizaciones, este anuncio debe interpretarse como una llamada a la acción estratégica. Los desarrolladores han de planificar la migración de sus aplicaciones desde NTLM hacia Kerberos o autenticación Negotiate, mientras que los equipos de TI y ciberseguridad deben incorporar el abandono progresivo de NTLM a sus hojas de ruta de hardening y de Zero Trust.
Entre las acciones prioritarias se incluyen: inventariar todos los servicios que aún utilizan NTLM, actualizar o reemplazar aplicaciones heredadas, y reforzar la configuración de Active Directory. Esto implica habilitar protecciones frente a NTLM relay (como Extended Protection for Authentication, firma y sellado en SMB y endurecimiento de Active Directory Certificate Services) y revisar las políticas de autenticación.
También resulta clave formar a administradores y analistas de SOC en la detección de ataques NTLM relay y pass-the-hash, aprovechando registros de seguridad, herramientas EDR y correlación de eventos. La visibilidad temprana sobre intentos anómalos de autenticación NTLM es un elemento esencial para contener intrusiones avanzadas.
El abandono de NTLM y la transición hacia Kerberos y esquemas de autenticación sin contraseña forman parte de la evolución natural de la seguridad en entornos Windows. Las organizaciones que inicien ya el proceso de auditoría y migración reducirán significativamente su superficie de ataque, protegerán mejor sus datos críticos y evitarán improvisaciones de última hora cuando NTLM deje de ser una opción segura por defecto en la infraestructura corporativa.
