Mandiant ha hecho público un conjunto de tablas arcoíris para Net-NTLMv1 que permiten recuperar cualquier contraseña protegida con NTLMv1 en menos de 12 horas, utilizando hardware con GPU valorado en menos de 600 dólares y recursos en la nube. Este movimiento convierte en un riesgo inmediato algo que durante años se consideraba un problema “teórico” y refuerza el argumento para deshabilitar por completo NTLMv1 en entornos Windows.
Qué es NTLMv1 y por qué supone un riesgo crítico de ciberseguridad
NTLM (NT LAN Manager) es una familia de protocolos de autenticación de Microsoft introducida a finales de los años 80 con OS/2 y las primeras versiones de Windows. La primera versión, NTLMv1, fue diseñada para capacidades de cómputo muy inferiores a las actuales y hoy no cumple los estándares modernos de robustez criptográfica.
Microsoft introdujo NTLMv2 en 1998, con Windows NT 4.0 SP4, y posteriormente impulsó el uso de Kerberos como protocolo principal de autenticación en Active Directory. Sin embargo, informes recientes de Mandiant confirman que NTLMv1 sigue activo en infraestructuras reales, incluidas organizaciones sanitarias y sistemas de control industrial, principalmente por la dependencia de aplicaciones legacy y equipos antiguos que no soportan métodos más modernos.
Las debilidades de NTLMv1 están documentadas desde hace décadas. Expertos como Bruce Schneier y Mudge analizaron en profundidad sus fallos criptográficos ya en 1999, y en conferencias como Defcon 2012 se mostraron herramientas para escalar privilegios en dominios Windows explotando NTLM. Aun así, Microsoft no comunicó de forma clara su hoja de ruta para retirar NTLMv1 hasta 2023, lo que ha contribuido a que muchas organizaciones mantengan este protocolo por inercia.
Tablas arcoíris de Mandiant para Net-NTLMv1: cómo reducen la barrera de entrada al ataque
Una tabla arcoíris es un conjunto precomputado de pares “contraseña → hash” que permite revertir rápidamente un hash robado sin necesidad de realizar un ataque de fuerza bruta desde cero. Funciona especialmente bien cuando el algoritmo es predecible y el espacio de posibles contraseñas está acotado, como ocurre con Net-NTLMv1.
Net-NTLMv1, utilizado en escenarios de autenticación de red (por ejemplo, acceso a recursos SMB), se basa en DES, un cifrador hoy considerado inseguro. Además, el protocolo permite una known-plaintext attack (ataque con texto en claro conocido): Mandiant ha generado tablas usando un desafío (challenge) público y fijo, 1122334455667788. Dado que el hash Net-NTLM se calcula combinando contraseña y challenge, disponer de un valor constante permite precalcular masivamente hashes para enormes volúmenes de posibles contraseñas.
Hasta ahora, explotar NTLMv1 a gran escala requería infraestructuras de cómputo significativas o delegar el descifrado de hashes en servicios externos, con implicaciones de privacidad y cumplimiento normativo. Con las tablas arcoíris de Mandiant alojadas en la nube, cualquier organización (o atacante) puede replicar el ataque con un servidor GPU de bajo coste, reduciendo drásticamente el tiempo y presupuesto necesarios para comprometer credenciales NTLMv1.
Cómo se explota Net-NTLMv1 en redes Windows corporativas
Los ataques contra Net-NTLMv1 suelen comenzar con el robo de hashes de autenticación en la red interna. Herramientas como Responder, PetitPotam o DFSCoerce fuerzan a equipos Windows a autenticarse contra un servicio controlado por el atacante, que captura los hashes Net-NTLMv1 en lugar de la contraseña en texto claro.
Una vez capturado el hash, el descifrado se realiza offline mediante las tablas arcoíris, sin generar más tráfico sospechoso en la red. Si la contraseña obtenida se reutiliza en múltiples servicios o coincide con credenciales administrativas, el atacante puede escalar rápidamente hasta SMB compartidos críticos, cuentas de dominio y controladores de dominio, comprometiendo por completo el entorno.
Por qué NTLMv1 sigue presente en sistemas críticos
El uso persistente de Net-NTLMv1 responde en gran medida a la inercia organizativa y a una percepción incorrecta del riesgo. Mandiant señala varios factores recurrentes:
— Dependencia de aplicaciones o dispositivos legacy que sólo soportan NTLMv1.
— Temor a interrupciones de servicio durante una migración de autenticación.
— Falta de inventario y visibilidad sobre qué sistemas utilizan cada protocolo.
— Consideración de las vulnerabilidades de NTLMv1 como un problema “teórico” hasta sufrir un incidente real.
Con la disponibilidad pública de tablas arcoíris específicas para Net-NTLMv1, el robo de credenciales deja de ser un escenario avanzado y pasa a ser una operación trivial y barata para atacantes con recursos limitados.
Cómo deshabilitar NTLMv1 de forma segura: pasos recomendados
La recomendación prioritaria es planificar el abandono completo de Net-NTLMv1 en el menor plazo posible, siguiendo un enfoque estructurado:
1. Inventario y auditoría de NTLM. Activar las políticas de auditoría de NTLM en Windows (Audit NTLM), recopilar registros y identificar todos los sistemas y aplicaciones que siguen usando Net-NTLMv1. Sin visibilidad, es imposible planificar una migración controlada.
2. Desactivación gradual mediante GPO. Configurar directivas de grupo para restringir NTLM empezando por un modo de solo auditoría, que permita detectar impactos potenciales. Posteriormente, ir endureciendo la configuración hasta bloquear NTLMv1 allí donde sea viable, promoviendo el uso de NTLMv2 o Kerberos como alternativas por defecto.
3. Gestión de sistemas legacy. Para equipamiento sanitario, industrial o dispositivos especializados que no puedan actualizarse a corto plazo, aplicar segmentación de red estricta, listas de control de acceso (ACL) restrictivas, autenticación multifactor en consolas administrativas y monitorización continua de anomalías.
4. Fortalecimiento de la gestión de credenciales. Aunque la debilidad de NTLMv1 no se mitiga sólo con contraseñas más complejas, es esencial usar contraseñas únicas para cuentas de servicio, evitar su reutilización, rotarlas con frecuencia y aplicar controles adicionales sobre cuentas con privilegios elevados. Medidas de este tipo son coherentes con las recomendaciones de marcos como NIST SP 800‑63B.
Mandiant remite en su análisis a la documentación oficial de Microsoft sobre la retirada de NTLM y la transición a esquemas de autenticación más robustos. El mensaje de fondo es claro: con tablas arcoíris públicas para Net-NTLMv1, no existe una forma razonable de considerar seguro este protocolo. Ahora es el momento oportuno para auditar la autenticación en la infraestructura, elaborar un plan de migración y utilizar estos hallazgos como argumento técnico sólido ante la dirección para priorizar la desactivación definitiva de NTLMv1.
