NTLM inseguro

NTLM: 32 años después, Microsoft al fin lo deshabilita

Microsoft finalmente deshabilita NTLM después de 32 años: el fin de una era insegura en Windows

El 30 de enero de 2026 Microsoft dio un paso histórico: después de 32 años de uso, el protocolo de autenticación NT LAN Manager (NTLM) será deshabilitado por defecto en las próximas versiones de Windows. Este cambio, anunciado oficialmente en el blog de TechCommunity, marca el principio del fin de un protocolo que ha sido puerta de entrada para ataques como Mimikatz, NotPetya y NTLM relay.

En este artículo explicamos por qué es tan peligroso este protocolo, cuál es el plan de Microsoft y qué deben hacer los administradores de sistemas para adaptarse.

La motivación para preparar esta nota fue la lectura de esta entrada en hackingpassion

NTLM es inseguro

¿Qué es NTLM y por qué es un riesgo de seguridad?

NTLM (NT LAN Manager) es el protocolo de autenticación que Windows ha utilizado desde 1993 para verificar la identidad de usuarios y equipos en redes locales. Aunque en su momento fue una solución funcional, nunca fue diseñado con la seguridad moderna en mente. Sus principales vulnerabilidades son:

  • Credenciales almacenadas en formato hash que pueden ser extraídas con herramientas como Mimikatz.
  • Susceptibilidad a ataques de relay (NTLM relay), donde un atacante redirige las solicitudes de autenticación a un servidor bajo su control.
  • Falta de cifrado fuerte y de protección contra repetición (replay attacks).

Estas debilidades han convertido a NTLM en el blanco favorito de cibercriminales durante décadas, siendo responsable de brechas que han costado miles de millones de dólares.

El anuncio de Microsoft: fechas clave

  • 29 de enero de 2026: Microsoft publica en TechCommunity la entrada “Advancing Windows security: Disabling NTLM by default”, donde detalla la hoja de ruta.
  • 30 de enero de 2026: Medios especializados (BleepingComputer, SecurityWeek, Windows Central) replican la noticia: Microsoft deshabilitará NTLM por defecto en futuras versiones de Windows.
  • Fases del plan: Microsoft ha estructurado la transición en tres fases para dar tiempo a las organizaciones a migrar.

Roadmap de tres fases para deshabilitar NTLM

  1. Fase 1 (inicio 2026): Mejoras en la auditoría de NTLM. Microsoft proporcionará herramientas y registros más detallados para que los administradores identifiquen qué aplicaciones y servicios aún dependen de NTLM.
  2. Fase 2 (finales de 2026): Introducción de características de migración. Se promoverá el uso de Kerberos (el protocolo de autenticación moderno y seguro) y se ofrecerán guías para actualizar aplicaciones heredadas.
  3. Fase 3 (2027 en adelante): NTLM se deshabilitará por defecto en las nuevas instalaciones de Windows (client y server). El protocolo seguirá presente en el sistema, pero no estará activo a menos que se reactive manualmente.

¿Qué alternativas hay? Kerberos es la respuesta

Microsoft recomienda migrar a Kerberos, el protocolo de autenticación que lleva años siendo el estándar en entornos corporativos. Kerberos ofrece:

  • Autenticación mutua (el cliente y el servidor se verifican entre sí).
  • Tokens con tiempo de vida limitado (evitan el replay).
  • Cifrado robusto y soporte para autenticación de doble factor.

Para escenarios donde Kerberos no sea viable, existen alternativas como Autenticación Basada en Certificados o el uso de protocolos modernos como OAuth 2.0 / OpenID Connect en aplicaciones web.

Recomendaciones para administradores: cómo prepararse

  1. Audita tu entorno. Usa las nuevas herramientas de auditoría de Microsoft (por ejemplo, NTLM auditing in Event Viewer) para detectar qué equipos, servicios y aplicaciones aún usan NTLM.
  2. Prioriza la migración. Identifica las aplicaciones heredadas que dependen de NTLM y planifica su actualización o reemplazo.
  3. Habilita Kerberos. Asegúrate de que tu infraestructura de Active Directory está correctamente configurada para usar Kerberos como protocolo principal.
  4. Prueba en un entorno controlado. Antes de deshabilitar NTLM en producción, realiza pruebas en un laboratorio para verificar que no se rompen funcionalidades críticas.
  5. Mantente informado. Sigue los anuncios oficiales de Microsoft en el blog de TechCommunity y en canales como BleepingComputer.

Conclusión

La deshabilitación por defecto de NTLM es una noticia excelente para la seguridad de Windows. Después de 32 años, Microsoft está cerrando una puerta trasera que ha sido explotada una y otra vez por atacantes. Aunque la transición requerirá esfuerzo por parte de los administradores, el resultado será entornos más robustos y menos expuestos. El momento de empezar a prepararse es ahora.