Los piratas informáticos explotan las vulnerabilidades de autenticación NTLM para atacar sistemas Windows.

A pesar del paso de los años, el protocolo NTLM sigue siendo una amenaza persistente. Incluso en 2025, sus antiguas vulnerabilidades siguen dejando la puerta abierta a los hackers. La autenticación de Windows está en la mira, y esto está revolucionando seriamente la ciberseguridad corporativa.

Los administradores saben que NTLM, ese viejo engranaje, siempre ha sido un punto débil. Aunque Microsoft ha anunciado el fin de este protocolo, sigue arraigado en millones de sistemas. Es un verdadero fastidio ver cómo lo explotan los hackers hoy en día.

Entonces, ¿cómo se convierten estas vulnerabilidades de NTLM en puertas traseras para infiltrarse en las redes?

Ataques NTLM que no han envejecido ni un día

El protocolo New Technology LAN Manager, o NTLM, fue diseñado para autenticar clientes y servidores mediante un proceso de tres pasos. Simple, pero tan frágil que apenas 20 años después, sigue plagado de vulnerabilidades. Los hackers están haciendo un festín con diversas técnicas, todas basadas en la debilidad de este protocolo de enlace. Una de las más insidiosas es el robo de hash NTLM. En lugar de intentar recuperar la contraseña en texto plano, logran extraer estos hashes cifrados. Un archivo malicioso, ejecutado sin cuidado, y listo, el sistema envía la información necesaria a un servidor controlado por los hackers.

Este método, llamado fuga de hashes, ni siquiera requiere una interacción compleja. Un simple clic o incluso mover un archivo es suficiente para desencadenar la fuga. ¡Esto, por supuesto, complica mucho la protección!

Campañas de hacking que afectan duramente y a gran escala

Varias operaciones maliciosas recientes muestran que estas vulnerabilidades se están explotando a gran escala. Por ejemplo, la CVE-2024-43451, que ataca a Windows mediante archivos .url con trampas explosivas. Grupos como BlindEagle y Head Mare la han utilizado para distribuir troyanos en países como Colombia, Rusia y Bielorrusia.

Y eso no es todo. Errores recientes, CVE-2025-24054 y CVE-2025-24071, explotan archivos .zip y sus archivos .library-ms. Windows envía automáticamente sus credenciales NTLM a servidores controlados, lo que facilita la aparición de malware como AveMaria, una auténtica pesadilla para redes sensibles.

A esto se suma el CVE-2025-33073. Se trata de un ataque particularmente agresivo: el hacker manipula el DNS para presentar solicitudes externas como internas. ¿El resultado? Una rápida escalada al nivel del SISTEMA, el santo grial para cualquier intruso. Una maniobra de DNS que elude todas las protecciones habituales.

¿Por qué persiste NTLM a pesar de todo esto?

Microsoft planea cortar lazos con NTLM a partir de Windows 11 versión 24H2 y Windows Server 2025. Pero cambiar una infraestructura no es algo que se haga de la noche a la mañana, especialmente en un entorno corporativo. Las aplicaciones heredadas y los servicios de red obsoletos siguen estando por todas partes. La transición es un dolor de cabeza que muchos prefieren posponer. Esto, a su vez, crea una brecha para los ciberdelincuentes. Cualquier máquina sin actualizar se convierte en un objetivo potencial.

La realidad es simple: mientras NTLM se mantenga en su lugar en las redes, se explotarán las vulnerabilidades de seguridad. Y las nuevas generaciones de administradores deben comprender que instalar un parche no resolverá el problema. Se necesita un verdadero cambio de paradigma.

Ataques de intermediario (man-in-the-middle) contra NTLM: un clásico que persiste.

Durante años, los relés NTLM han sido la técnica más eficaz para interceptar credenciales. Un hacker se posiciona entre la máquina cliente y el servidor, capturando la sesión de autenticación sobre la marcha. Sin ser detectado, obtiene acceso privilegiado.

Y sigue funcionando igual de bien. La sofisticación de los ataques ha aumentado, pero el principio sigue vigente: explotar un protocolo obsoleto y poco protegido. La historia nos enseña que esta vulnerabilidad está lejos de estar resuelta.

¿Cómo podemos limitar el daño? No hay una fórmula mágica: debemos planificar urgentemente la migración a Kerberos u otros mecanismos modernos. Actualizar los sistemas y restringir el uso de archivos .url o archivos sospechosos tanto como sea posible son los primeros pasos esenciales. No tiene sentido apresurarse, pero debemos avanzar. Ignorar la vulnerabilidad de NTLM es jugar con fuego. Las empresas también deben monitorizar de cerca las conexiones WebDAV, a menudo utilizadas para ataques de fuga de hash.