glosario de ciberseguridad

¿Qué es Hash NTLM?

El hash NTLM es el formato criptográfico en el que se almacenan las contraseñas de usuario en sistemas Windows.

Los hashes NTLM  se almacenan en la SAM (security account manager) o en archivo NTDS de un controlador de dominio. Son parte fundamental del mecanismo utilizado para realizar la autenticación de un usuario a través de distintos protocolos de comunicaciones.

Por tanto, se trata de una información crítica y muy buscada por los actores hostiles cuando tratan de desencadenar un ciberataque. A la hora de hacer un pentesting, por ejemplo, es frecuente que los atacantes traten de obtener estos hashes (mediante herramientas como pwdump o mimikatz) y usar técnicas de Pass The Hash utilizando los hashes NTLM para explotar los privilegios de uno o varios sistemas. De esa forma, podrían ejecutar llegar a elevar privilegios e incluso ejecutar comandos.

Los hashes NTLM son susceptibles de ser utilizados en muchos ataques de autenticación en Windows, por lo que es recomendable limitar su uso y utilizar kerberos.