Los dispositivos de Windows utilizan un método de inicio de sesión precursor llamado NTLM, que está competente de forma predeterminada. En el caso de un ataque de malware, puede exponer la contraseña de su sistema a los piratas informáticos. Pueden usar diferentes tipos de ataques de hombre en el medio para robar los detalles de inicio de sesión de Windows. Gracias a Dios, puede proteger sus credenciales de Windows NTLM de amenazas de cero días utilizando algunos ajustes simples en la configuración de NTLM.
Cómo las amenazas de Windows NTLM roban sus contraseñas
NTLM (NT LAN Manager) es un método de autenticación más antiguo que todavía se usa en muchos dispositivos de Windows. Funciona convirtiendo su contraseña en un código (hash) para verificarlo sin despachar la contraseña a través de la red. Esto no es seguro porque si su PC está comprometida, su contraseña de inicio de sesión será visible para los atacantes.
Recientemente, en abril de 2025, el investigador de seguridad Check Point blogueó sobre la divulgación de hash NTLM a través de una vulnerabilidad convocatoria «CVE-2025-24054». Según ellos, es un ataque cibernético en curso dirigido al gobierno y a los usuarios empresariales en Polonia y Rumania. Los atacantes están utilizando diferentes tipos de ataques de hombre en el medio, incluidos los pases-the-hash (PTH), la mesa del meta iris y los ataques de retransmisión. Su objetivo principal son los usuarios o administradores privilegiados.
Si adecuadamente los ataques de NTLM a menudo apuntan a empresas y gobiernos, los usuarios domésticos además son vulnerables. Solo interactuar con un archivo astuto puede filtrar la contraseña de su sistema.
Microsoft lanzó un parche de seguridad para CVE-2025-24054. Por lo tanto, siempre es bueno perdurar su sistema de Windows actualizado para evitar estos ataques. Parágrafo de eso, hay algunas otras cosas que puedes hacer.
1. Deshabilitar la autenticación de NTLM a través de PowerShell
Broa PowerShell en modo administrador e ingrese lo venidero. Encontrará otra pregunta si desea modificar la configuración del cliente SMB dirigida. Para eso, haga clic A.
Set-SMBClientConfiguration -BlockNTLM $true
Sitiar NTLM sobre SMB no afecta sus últimos dispositivos de Windows. Sin confiscación, en caso de que encuentre problemas con impresoras más antiguas, servidores NAS u otros dispositivos heredados, siempre puede retornar a permitir que NTLM sobre SMB.
Set-SMBClientConfiguration -BlockNTLM $falseEl piedra de mensajes del servidor (SMB) se utiliza para compartir archivos y conexiones de red. Es una de las conexiones más comunes utilizadas por PTH, ataques de retransmisión y otros ataques de hombre en el medio. Al cerrar NTLM sobre SMB, estás eliminando una puerta de entrada importante para los atacantes.
2. Desactivar el protocolo NTLM precursor en el editor de registro
Muchas sesiones de Windows se alojan hoy en día en «Kerberos», que es un protocolo muy seguro, ya que utiliza autenticación cifrada basada en boletos. Sin confiscación, no hay carestia de deshabilitar por completo NTLM, que tiene muchos usos. En cambio, cambiaremos al protocolo NTLMV2 más seguro en circunscripción del NTLMV1.
Esto se puede hacer desde el editor de registro. Primero tome una copia de seguridad de su registro. A continuación, broa el editor de registro en modo administrador y vaya a:
ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Según la esencia del registro para la «Autoridad de Seguridad Circunscrito» (LSA), vaya al valía de nivel de autenticación del administrador de LAN de red de red, «LMCompatibilityLevel». Si no está presente, cree una palabra D (32 bits) bajo LSA como se muestra en lo alto.
Haga doble clic en «LMCompatibilityLevel» para abrirlo. Encontrará «0» como el valía predeterminado. Configúrelo en «3», «4» o «5» que establecerá su dispositivo Windows para despachar solo las respuestas NTLMV2 y cerrar todas las respuestas heredadas de NTLMV1.
Posteriormente de hacer el cambio precursor, vaya a la ruta a continuación:
COMPUTERHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstationParametersAquí, encontrará un valía de palabra D llamado «RequerircuritySignature» o «habilitedEcuritySignture». Su valía predeterminado debe ser «1». Si no, entonces cámbielo a «1.» Una vez que lo haga, todas las conexiones SMB futuras requerirían la firma de seguridad de SMB. Esto evita que las credenciales de su dispositivo sean robadas.
3. Mantenga la protección de la abundancia habilitada en la seguridad de Windows
Los cambios de registro anteriores son inofensivos. Sin confiscación, si no desea hacerlo, puede proteger su dispositivo a través de una nueva función de seguridad de Windows que evita todas las amenazas, como los ataques de phishing que emergen en tendencia. Se puede penetrar desde Protección contra el virus y la amenaza -> Establecer Configuración -> Protección entregada en la abundancia.
Relacionado: Tener entrada a una suite de protección de punto final, como Microsoft Defender, le brinda una protección adicional contra las amenazas de cero horas.
4. Otras medidas de seguridad
Microsoft ha recomendado los siguientes mecanismos de seguridad adicionales para evitar ser víctimas del robo de credenciales de NTLM:
- Habilitando la autenticación multifactor: Puede mejorar su contraseña y la seguridad de inicio de sesión basada en PIN a través de mecanismos de autenticación multifactor. Ir a Ajustes -> Cuentas -> Opciones de inicio de sesión. Aquí, encontrará muchas opciones, como Windows Hello y crear una esencia de seguridad física utilizando dispositivos USB.
- Evite hacer clic en enlaces sospechosos: El malware NTLM generalmente se extiende a través de enlaces maliciosos. Aunque pueden ser bloqueados por Windows Security, ¿por qué arriesgarse con estas hazañas remotas? Consulte nuestra práctico detallada sobre cómo detectar y evitar mensajes maliciosos.
