Login Probar gratis
Pass-the-hash: cómo los atacantes se mueven lateralmente sin descifrar contraseñas

Pass-the-hash: cómo los atacantes se mueven lateralmente sin descifrar contraseñas

por MataSpam Ciberataques

Pass the hash es una técnica de movimiento lateral que permite a un atacante autenticarse en otros equipos usando el hash NTLM de una contraseña, sin necesidad de descifrarla nunca. Suena a magia negra, pero es pura mecánica del protocolo de Windows. El atacante roba el hash de la memoria con herramientas como Mimikatz, lo reutiliza y se pasea por tu Active Directory como Pedro por su casa. No revienta la contraseña: la salta directamente. Por eso un ataque a directorio activo bien ejecutado no deja rastro de "contraseñas incorrectas" en los logs. Aquí te explicamos cómo funciona, por qué Windows lo permite y qué puedes hacer para cortarle las alas antes de que un intruso convierta tu red en su parque de atracciones.

Qué es exactamente pass the hash y por qué funciona

Windows no guarda tu contraseña en texto plano. Guarda un resumen criptográfico: el hash NTLM. Cuando te autenticas en la red mediante NTLM, tu equipo no envía la contraseña, envía una prueba derivada de ese hash.

Ahí está el fallo de diseño. Para el protocolo, el hash es la credencial. Si un atacante lo consigue, no necesita la contraseña original. La presenta tal cual y el servidor remoto lo acepta.

Este comportamiento existe desde los tiempos de Windows NT y sigue vivo por compatibilidad. NTLM es un protocolo heredado que Microsoft lleva años intentando jubilar, pero todavía está activo en la mayoría de redes corporativas. La técnica fue documentada públicamente por Paul Ashton ya en 1997, así que de novedad tiene poco.

El resultado: un único equipo comprometido puede contagiar a toda la red si las credenciales adecuadas viven en su memoria.

El arsenal: Mimikatz y la extracción de credenciales

Mimikatz, creado por Benjamin Delpy, es la herramienta de referencia. Lee el proceso LSASS (Local Security Authority Subsystem Service) de Windows, donde el sistema cachea credenciales para no pedirte la contraseña cada cinco minutos.

De ahí salen hashes NTLM, tickets Kerberos y, en sistemas mal configurados, hasta contraseñas en texto plano vía WDigest. El comando estrella, sekurlsa::pth, lanza un proceso nuevo con el hash robado ya inyectado.

No es la única opción. Estas son las herramientas que verás en cualquier informe forense:

HerramientaUso principal
MimikatzVolcado de LSASS y pass-the-hash directo
Impacket (psexec, wmiexec)Ejecución remota usando el hash
CrackMapExec / NetExecBarrido masivo de hashes por toda la red
Cobalt StrikeFramework de post-explotación comercial (y muy pirateado)

Detalle importante: el atacante necesita privilegios de administrador local en el equipo para volcar LSASS. Por eso el primer eslabón suele ser una víctima con permisos excesivos. Si quieres entender cómo llegan hasta ahí, el phishing sigue siendo la puerta de entrada favorita para colocar ese primer pie en la red.

El movimiento lateral: de un PC a controlar todo el dominio

Conseguir un equipo no es el objetivo. Es la casilla de salida. El movimiento lateral es el proceso de saltar de máquina en máquina hasta llegar al premio gordo: el controlador de dominio.

El patrón clásico de un ataque a directorio activo sigue estos pasos:

  1. Acceso inicial. Phishing, vulnerabilidad expuesta o credencial filtrada.
  2. Escalada local. El atacante consigue admin local y vuelca LSASS con Mimikatz.
  3. Reutilización del hash. Prueba ese hash NTLM contra otros equipos de la red.
  4. Cosecha. En cada máquina nueva, vuelve a volcar credenciales. Cada salto puede revelar una cuenta más jugosa.
  5. Compromiso del dominio. Tarde o temprano aparece un hash de administrador de dominio cacheado en algún sitio.

El gran enemigo aquí es la reutilización de contraseñas de administrador local. Si todos los PCs de la empresa comparten la misma cuenta de admin local con la misma contraseña, un solo hash abre todas las puertas. Es el equivalente digital a tener la misma llave para toda la ciudad.

Microsoft ofrece LAPS (Local Administrator Password Solution) precisamente para esto: una contraseña aleatoria y distinta por equipo, rotada automáticamente. Gratis. Y aun así muchas organizaciones no lo despliegan.

Casos reales y por qué deberías preocuparte

Pass the hash no es teoría de laboratorio. El ataque NotPetya de 2017, que causó daños estimados en más de 10.000 millones de dólares a nivel global según cifras manejadas por la Casa Blanca, combinaba el exploit EternalBlue con extracción de credenciales y movimiento lateral al estilo Mimikatz para propagarse dentro de las redes corporativas.

La mayoría de los ataques de ransomware modernos siguen este guion. Primero entran, luego se mueven lateralmente durante días o semanas reconociendo el terreno, y solo cifran cuando controlan el dominio entero. El cifrado es la última escena de una película mucho más larga.

Una técnica hermana que conviene conocer es pass the ticket, que hace lo mismo pero con tickets de Kerberos en lugar de hashes NTLM. Y el temido Golden Ticket, donde el atacante roba el hash de la cuenta KRBTGT y se fabrica tickets de acceso válidos a voluntad. A partir de ahí, echarlo de la red es una pesadilla.

Si sospechas que alguien ya está dentro, no improvises: tenemos una guía con los pasos exactos cuando te comprometen una cuenta que aplica igual a un equipo individual que al primer indicio de intrusión en la red.

Cómo defenderte: cortar el movimiento lateral de raíz

La buena noticia es que pass the hash tiene contramedidas concretas y probadas. No hay bala de plata, pero sí capas que en conjunto convierten el ataque en algo carísimo para el intruso.

  • Despliega LAPS. Contraseñas de admin local únicas por máquina. Esto mata la reutilización de hashes de un plumazo.
  • Activa Credential Guard. Disponible desde Windows 10 Enterprise, aísla los secretos de LSASS usando virtualización. Mimikatz se queda con las manos vacías.
  • Aplica el modelo de niveles (tiering). Las cuentas de administrador de dominio nunca deben iniciar sesión en estaciones de trabajo normales. Si su hash nunca toca un PC de usuario, no se puede robar de ahí.
  • Desactiva WDigest. En sistemas antiguos guardaba contraseñas en texto plano en memoria. Asegúrate de que está apagado.
  • Restringe NTLM. Migra hacia Kerberos y bloquea NTLM donde puedas mediante directivas de grupo.
  • Monitoriza accesos a LSASS. Cualquier proceso que lea ese espacio de memoria es sospechoso. Un buen EDR lo detecta.
  • Principio de mínimo privilegio. Cuantas menos cuentas tengan admin local, menos hashes valiosos circulan.

Una recomendación transversal: vigila las aplicaciones y accesos que nadie ha autorizado. El Shadow IT abre agujeros que facilitan justo este tipo de propagación silenciosa dentro de la empresa.

Y como siempre, comprueba si tus credenciales corporativas andan ya circulando por filtraciones. Servicios como Have I Been Pwned te dicen si tu correo aparece en brechas conocidas, un primer indicio de que esas contraseñas necesitan rotación urgente.

Preguntas frecuentes

¿Pass the hash descifra mi contraseña?

No. Esa es justo su gracia. El atacante reutiliza el hash NTLM directamente para autenticarse, sin recuperar nunca la contraseña original. Por eso cambiar la contraseña invalida de inmediato un hash robado.

¿Mimikatz es ilegal?

Mimikatz es una herramienta de seguridad legítima usada por equipos de pentesting y red teaming. Su uso es legal con autorización; emplearla contra sistemas ajenos sin permiso es delito. Los antivirus la marcan porque también la usan los atacantes.

¿Sirve la autenticación de dos factores contra pass the hash?

Parcialmente. El 2FA protege el acceso inicial, pero una vez el atacante tiene el hash cacheado en un equipo, se mueve lateralmente por debajo de esa capa. Necesitas medidas como Credential Guard y LAPS, no solo MFA.

¿Afecta esto a usuarios domésticos o solo a empresas?

Es fundamentalmente un problema de redes con Active Directory, o sea, entornos corporativos. Un usuario doméstico no suele ser objetivo de movimiento lateral, aunque las técnicas de robo de credenciales en memoria existen en cualquier Windows.

¿Cómo sé si me han atacado con esta técnica?

Las pistas están en los logs: autenticaciones NTLM anómalas, procesos accediendo a LSASS, o inicios de sesión de cuentas administrativas en equipos donde no deberían aparecer. Un EDR o un SIEM bien configurado es tu mejor detector.

El siguiente paso

Entra ahora mismo en la consola de tu Active Directory y comprueba una sola cosa: ¿todos tus equipos comparten la misma contraseña de administrador local? Si la respuesta es sí, despliega LAPS esta semana. Es gratis, lo ofrece Microsoft y cierra la vía de propagación más explotada en los ataques de movimiento lateral. Si gestionas la seguridad de varios sitios web o necesitas reforzar la infraestructura digital de tu negocio, en el equipo de WordPress profesional de Piqture sabemos por dónde empiezan estos problemas. Y si te interesa seguir afilando el olfato, échale un ojo a cómo verificar enlaces antes de hacer clic: ahí empieza casi siempre la cadena.

pass the hash movimiento lateral hash ntlm mimikatz ataque directorio activo
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Ataques NFC relay: cómo interceptan pagos móviles sin contacto
Ciberataques

Ataques NFC relay: cómo interceptan pagos móviles sin contacto

DNS tunneling: cómo los atacantes exfiltran datos a través del DNS
Ciberataques

DNS tunneling: cómo los atacantes exfiltran datos a través del DNS

Juice jacking: los riesgos de cargar tu móvil en puertos USB públicos
Ciberataques

Juice jacking: los riesgos de cargar tu móvil en puertos USB públicos

← Volver al blog