Microsoft tiene anunciado un enfoque en tres fases para eliminar gradualmente New Technology LAN Manager (NTLM) como parte de sus esfuerzos por cambiar los entornos Windows hacia opciones más sólidas basadas en Kerberos.

El desarrollo se produce más de dos años después del gigante tecnológico revelada planea dejar de usar la tecnología heredada, alegando su susceptibilidad a las debilidades que podrían facilitar los ataques de retransmisión y permitir a los actores malintencionados obtener acceso no autorizado a los recursos de la red. NTLM fue formalmente obsoleto en junio de 2024 y ya no recibe actualizaciones.

«NTLM consiste en protocolos de seguridad diseñados originalmente para proporcionar autenticación, integridad y confidencialidad a los usuarios», explica Mariam Gewida, directora técnica del programa II de Microsoft. «Sin embargo, a medida que las amenazas de seguridad han evolucionado, también lo han hecho nuestros estándares para cumplir con las expectativas de seguridad modernas. Hoy en día, NTLM es susceptible a varios ataques, incluidos los ataques de repetición y los de intermediación, debido a su uso de una criptografía débil».

A pesar del estado obsoleto, Microsoft dijo que sigue encontrando que el uso de NTLM prevalece en entornos empresariales donde los protocolos modernos como Kerberos no se pueden implementar debido a dependencias heredadas, limitaciones de red o una lógica de aplicación arraigada. Esto, a su vez, expone a las organizaciones a riesgos de seguridad, como los ataques de repetición, retransmisión y transmisión.

Para mitigar este problema de manera segura, la empresa ha adoptado una estrategia de tres fases que allana el camino para que NTLM se desactive de forma predeterminada:

  • Fase 1: Aumentar la visibilidad y el control mediante auditoría NTLM mejorada para comprender mejor dónde y por qué se sigue utilizando NTLM (disponible ahora)
  • Fase 2: abordar los obstáculos comunes que impiden la migración a NTLM mediante funciones como IAKerb y el centro de distribución de claves (KDC) local (versión preliminar), así como actualizar los componentes principales de Windows para priorizar la autenticación Kerberos (prevista para el segundo semestre de 2026)
  • Fase 3: Inhabilitar NTLM en la próxima versión de Windows Server y el cliente de Windows asociado, y requerir la reactivación explícita mediante nuevos controles de políticas

Microsoft ha posicionado la transición como un paso importante hacia un futuro sin contraseñas y resistente a la suplantación de identidad. Esto también requiere que las organizaciones que confían en NTLM realicen auditorías, mapeen las dependencias, migren a Kerberos, prueben las configuraciones que no utilizan NTLM en entornos que no son de producción y habiliten las actualizaciones de Kerberos.

«Deshabilitar NTLM de forma predeterminada no significa eliminar por completo NTLM de Windows todavía», dijo Gewida. «En cambio, significa que Windows se entregará en un estado seguro de forma predeterminada, en el que la autenticación NTLM de red se bloqueará y dejará de utilizarse automáticamente».

«El sistema operativo preferirá alternativas modernas y más seguras basadas en Kerberos. Al mismo tiempo, los escenarios tradicionales más comunes se abordarán mediante nuevas funciones de próxima aparición, como Local KDC e iAkerb (versión preliminar)».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.