Microsoft ha decidido dar un paso contundente contra una de las piezas más antiguas —y problemáticas— de la autenticación en Windows: el protocolo NTLM dejará de activarse automáticamente en las próximas versiones principales del sistema operativo. Tras tres décadas siendo la alternativa por defecto en entornos heredados, la compañía argumenta que mantener NTLM habilitado de forma predeterminada expone a las organizaciones a vectores de ataque que ya no son aceptables en 2026 y siguientes.
NTLM (New Technology LAN Manager) nació con Windows NT en los años noventa como método de desafío-respuesta para autenticar usuarios y equipos. Con el tiempo fue reemplazado por Kerberos en los dominios modernos, pero siguió presente como mecanismo de respaldo. Esa presencia persistente resulta peligrosa porque NTLM emplea esquemas criptográficos obsoletos y ha sido explotado repetidamente por atacantes para escalar privilegios y moverse lateralmente dentro de redes corporativas.
El historial de abusos es largo: desde las clásicas técnicas de relay de NTLM hasta explotaciones concretas que permiten forzar a equipos comprometidos a autenticar frente a servidores controlados por el atacante. Vulnerabilidades y herramientas como PetitPotam, que abusó de servicios remotos para facilitar relays, o RemotePotato0, que permitió suplantar la cuenta LocalSystem, ilustran por qué los expertos llevan años recomendando eliminar o mitigar NTLM. Microsoft y la comunidad de seguridad han documentado estos riesgos extensamente; por ejemplo, la descripción de PetitPotam y su seguimiento aparece en el registro de vulnerabilidades de Microsoft CVE-2021-36942, y la técnica RemotePotato0 fue analizada por equipos de respuesta y análisis público como Rapid7.
Más allá de los relays, ataques de tipo pass-the-hash siguen siendo un problema práctico: los adversarios extraen hashes de autenticación de máquinas comprometidas y los reutilizan para autenticarse como usuarios legítimos. Microsoft ofrece guías para mitigar esas amenazas, pero la solución más sólida es evitar que NTLM se utilice como fallback en primer lugar; en ese sentido, las recomendaciones oficiales siguen siendo una referencia para administradores.
El cambio anunciado no pretende borrar NTLM del sistema de la noche a la mañana. Según Microsoft, la intención es entregar Windows en un estado "seguro por defecto" donde la autenticación NTLM por red esté bloqueada y no se emplee de forma automática, mientras que el sistema preferirá alternativas modernas basadas en Kerberos y mecanismos de autenticación resistentes al phishing. Puedes leer los detalles oficiales del plan en el comunicado del equipo de Windows en el blog de Microsoft Tech Community aquí.
Para minimizar el impacto operativo, Microsoft plantea una transición en tres fases. En la primera etapa se pondrán a disposición herramientas de auditoría mejoradas (ya presentes en Windows 11 24H2 y en la vista previa de Windows Server 2025) para que los administradores localicen dónde sigue utilizándose NTLM en sus entornos. Esa visibilidad es clave: muchos fallos y parches por dependencia de servicios heredados surgen precisamente por desconocer qué aplicaciones o dispositivos delegan en NTLM.
La segunda fase, prevista para la segunda mitad de 2026, introduce capacidades pensadas para cubrir escenarios legítimos que históricamente han provocado la caída al uso de NTLM, como IAKerb (Integrated Authentication for Kerberos) y un Local Key Distribution Center que facilita operaciones locales sin recurrir al protocolo antiguo. Finalmente, en una tercera etapa las autenticaciones NTLM de red quedarán deshabilitadas por defecto en futuras versiones; el protocolo seguirá presente en el sistema por compatibilidad y podrá reactivarse mediante políticas explícitas si alguna organización lo necesita temporalmente.
Este itinerario ya fue anunciado por Microsoft hace meses y forma parte de una estrategia más amplia que busca avanzar hacia modelos de autenticación sin contraseñas y resistentes al phishing. La empresa comenzó a advertir sobre la necesidad de dejar de usar NTLM hace años y, desde 2010, viene invitando a desarrolladores y administradores a migrar a Kerberos o a mecanismos de negociación más seguros. La documentación técnica sobre NTLM y su deprecación está disponible en la documentación oficial de Microsoft aquí, y el recorrido de deprecación fue formalizado públicamente en 2024.
Para los equipos de TI la recomendación práctica es clara: empezar cuanto antes con inventario y pruebas. Active la auditoría de NTLM para descubrir dependencias, evalúe aplicaciones y dispositivos de terceros (impresoras, equipos legacy, integraciones antiguas) y planifique mitigaciones o reemplazos. Donde no sea posible eliminar NTLM inmediatamente, Microsoft y otros proveedores recomiendan configuraciones y protecciones específicas —por ejemplo, el uso de certificados y servicios de Active Directory Certificate Services (AD CS) para reducir la eficacia de los relays— y aplicar todas las guías oficiales de endurecimiento.
La transición no estará exenta de fricciones: muchas organizaciones dependen de soluciones legadas que no han recibido actualizaciones en años, y en entornos industriales o de control existen dispositivos que solo soportan esquemas antiguos. Por eso la posibilidad de reactivar NTLM mediante políticas administrativas ofrece un colchón temporal, pero no debe entenderse como una excusa para postergar la modernización. Finalmente, fortalecer la autenticación es sólo una pieza: combinarla con segmentación de red, monitorización y detección temprana incrementa dramáticamente la resiliencia frente a intrusiones.
En resumen, el anuncio de Microsoft supone una llamada de atención para todos los responsables de seguridad: el futuro inmediato de Windows priorizará Kerberos y métodos sin contraseña, y NTLM quedará bloqueado por defecto salvo necesidad explícita. Quienes gestionan infraestructuras deben aprovechar las herramientas de auditoría ya disponibles, planificar la migración de servicios y revisar integraciones con proveedores, porque la ventana para adaptarse invita a actuar ahora y evitar sorpresas cuando la nueva política se aplique de forma generalizada.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...