Que Es el NTLM Relay?
El NTLM Relay explota el mecanismo challenge-response de NTLM para capturar intentos de autenticacion de victimas y reenviarlos a otros servicios en tiempo real — sin crackear su contrasena. Solo requiere acceso de red al segmento objetivo.
La causa raiz combina: NTLM sigue siendo ampliamente usado, la firma SMB esta deshabilitada en la mayoria de estaciones de trabajo, y protocolos legacy como LLMNR y NBT-NS permiten interceptar autenticaciones.
La Cadena de Ataque
Paso 1 - Configurar Infraestructura de Relay
responder -I eth0 -rdw --no-HTTP-Server --no-SMB-Server
ntlmrelayx.py -tf objetivos.txt -smb2support -socks
Paso 2 - Relay a Objetivos de Alto Valor
# Relay a LDAP — escalar a Domain Admins
ntlmrelayx.py -t ldap://dc01.corp.local --escalate-user atacante
# Relay a inscripcion web ADCS (ESC8)
ntlmrelayx.py -t http://ca.corp.local/certsrv/certfnsh.asp --adcs --template Machine
Deteccion
Consulta SIEM (Elastic KQL)
event.code: "4624" AND
winlog.event_data.LogonType: "3" AND
winlog.event_data.AuthenticationPackageName: "NTLM" AND
NOT winlog.event_data.WorkstationName: (winlog.event_data.TargetServerName OR "*DC*")
Remediacion
💡 Accion Rapida: Habilite la firma SMB en todas las estaciones de trabajo via GPO. Este unico cambio hace imposible el relay SMB.
1. Habilitar Firma SMB
# Via GPO: Opciones de Seguridad
# "Servidor de red Microsoft: Firmar digitalmente las comunicaciones (siempre)" = Habilitado
2. Deshabilitar LLMNR y NBT-NS
# Deshabilitar LLMNR via GPO
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_*" `
-Name NetbiosOptions -Value 2
3. Forzar Solo NTLMv2
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LmCompatibilityLevel -Value 5
Como EtcSec Detecta Esto
NTLMV1_ALLOWED identifica dominios donde NTLMv1 aun esta permitido.
WDIGEST_ENABLED marca el almacenamiento de credenciales en texto claro.
ℹ️ Nota: EtcSec audita la seguridad de autenticacion de red en cada escaneo. Ejecute una auditoria gratuita.
Lecturas Relacionadas
Este tema se entiende mejor cuando se compara con Contrasenas en AD: Las Malas Configuraciones que Adoran, Malas Configuraciones GPO: De Group Policy a Vector de Ataque y Supervision de Seguridad Active Directory: Los Eventos que Realmente Importan. Esos articulos cubren las rutas adyacentes, las hipotesis de privilegio y los fallos de control que suelen aparecer juntos en una evaluacion real.
- Contrasenas en AD: Las Malas Configuraciones que Adoran
- Malas Configuraciones GPO: De Group Policy a Vector de Ataque
- Supervision de Seguridad Active Directory: Los Eventos que Realmente Importan
Esa revision cruzada ayuda a validar si estas corrigiendo un fallo aislado o toda la cadena de exposicion alrededor de identidades, delegacion y privilegios.
Matriz de Mitigacion de NTLM Relay
| Area | Debilidad comun | Accion inmediata |
|---|---|---|
| Firmado | SMB o LDAP sin signing | Forzar signing en sistemas criticos |
| Resolucion de nombres | Fallbacks inseguros activos | Deshabilitar LLMNR y NBT-NS |
| Identidades | NTLM permitido para cuentas Tier 0 | Sacar cuentas privilegiadas de rutas relayables |
| Deteccion | Eventos aislados | Unir red, autenticacion y host para ver la cadena |
Prioridades de Revision
Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas debe tratarse como una exposicion real dentro de su entorno Active Directory, no como una configuracion aislada. El primer paso es definir el perimetro de revision: que grupos privilegiados, cuentas de servicio, ACLs, enlaces GPO, trusts, delegaciones, plantillas de certificados y estaciones admin estan afectados, que dependencias de negocio existen, que privilegios exponen y que excepciones de emergencia se fueron acumulando con el tiempo. Ese trabajo evita una remediacion superficial, porque el sintoma tecnico suele ser menor que el radio de impacto operativo. Cuando el equipo documenta el camino completo entre configuracion, privilegio y uso real, puede priorizar cambios que reducen riesgo sin romper accesos legitimos ni bloquear operaciones esenciales.
Controles Adyacentes a Revisar
Cuando un atacante entra en su entorno Active Directory, rara vez se queda en el primer hallazgo. Alrededor de Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas, normalmente intenta encadenar el acceso con cuentas privilegiadas obsoletas, anidamiento peligroso, delegacion excesiva, politicas de contrasenas debiles y abuso de ACL heredadas. Por eso la defensa debe revisar no solo la debilidad principal, sino tambien cada dependencia cercana que convierta un acceso inicial en persistencia o escalada. Hay que confirmar que identidades, roles, permisos y supuestos de confianza se pueden reutilizar. Si el cambio solo cierra un objeto, pero deja abiertas rutas vecinas, el riesgo real apenas mejora. Una revision seria de las cadenas de abuso es lo que convierte este tema en una accion de hardening y no en un parche aislado.
Evidencia y telemetria que conviene revisar
Una respuesta madura a Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas necesita evidencia que pueda ser revisada por ingenieria y deteccion. Recopile Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, cambios en SYSVOL y actividad de certificados, compare cambios recientes con ventanas de mantenimiento esperadas y separe cuentas u objetos cuyo comportamiento no tenga una justificacion de negocio clara. Esa evidencia debe responder tres preguntas: cuando aparecio la exposicion, quien puede seguir aprovechandola y si existen variantes similares en otra parte de su entorno Active Directory. Revisar telemetria tambien permite diferenciar deuda tecnica antigua de abuso activo o de controles relajados recientemente. Esa diferencia cambia por completo la prioridad, la comunicacion y el orden correcto de remediacion.
Debilidades vecinas que deben entrar en la revision
Muy pocos entornos contienen Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas de forma aislada. En la practica, la misma zona del tenant o del directorio suele contener tambien cuentas privilegiadas obsoletas, anidamiento peligroso, delegacion excesiva, politicas de contrasenas debiles y abuso de ACL heredadas, y esas debilidades vecinas determinan si la exposicion se queda en un problema molesto o se convierte en un camino critico. Revise owners compartidos, permisos heredados, excepciones duplicadas y atajos administrativos que ya nadie cuestiona. Si el mismo patron de riesgo se repite en varios objetos, lo mas probable es que exista una falla de proceso y no solo un error tecnico individual. Esa vista ampliada mejora la probabilidad de eliminar la ruta completa y no solo una pieza visible.
Orden de remediacion que reduce riesgo rapido
En Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas, la remediacion debe seguir un orden que baje el riesgo antes de perseguir la perfeccion. Primero elimine las rutas con mayor valor de escalada, despues proteja las identidades u objetos mas sensibles y, por ultimo, corrija los problemas de higiene secundarios. Use tiering, limpieza de delegaciones, revision de ACLs, higiene de cuentas de servicio, revision de permisos GPO y hardening ADCS como conjunto de controles objetivo. Cada cambio debe tener owner, nota de rollback y una validacion clara. Esa disciplina evita que el trabajo se detenga despues de la primera mejora tecnica. Si una reforma completa no es posible hoy, documente controles intermedios y programe el trabajo estructural para el siguiente revision semanal de privilegios y validacion mensual de controles.
Como validar despues de cada cambio
Tras modificar cualquier configuracion relacionada con Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas, valide el resultado desde la vista del administrador legitimo y desde la vista de la ruta de ataque. Confirme que usuarios y sistemas autorizados siguen funcionando y demuestre a la vez que el camino peligroso ya no entrega el mismo apalancamiento. Recoja de nuevo Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, cambios en SYSVOL y actividad de certificados, revise aprobaciones y verifique que ningun objeto vecino conserva una via de escape. La validacion tambien debe incluir criterios de exito escritos. En equipos maduros, un cambio se cierra solo cuando el camino de riesgo desaparece, el servicio sigue operativo y el estado final coincide con el objetivo de hardening.
Ownership, escalado y gobierno
Los temas como Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas fallan cuando se corrige el sintoma tecnico pero nadie asume el control a largo plazo. Asigne responsabilidades claras entre ingenieria de directorio, analistas SOC, admins de identidad y equipos de servidores, defina quien aprueba excepciones y que equipo debe autorizar la reintroduccion de un objeto riesgoso. Este gobierno no es burocracia gratuita. Sirve para evitar que una migracion, una urgencia o una integracion de terceros vuelva a abrir la misma ruta unas semanas despues. Documente los puntos de decision que hicieron posible la debilidad y actualice el proceso circundante para que la siguiente solicitud se evalúe contra la nueva baseline y no contra un atajo historico.
Preguntas utiles para la revision
Durante una sesion de revision sobre Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas, las preguntas practicas aportan mas que los discursos abstractos. Que objetos conservan mas privilegios de los necesarios? Que excepcion sigue viva solo porque nadie la reviso al terminar un proyecto? Que equipo detectaria antes un abuso y con que evidencia? Que dependencia de negocio bloquea la correccion hoy y que control compensatorio existe hasta eliminarla? Estas preguntas exponen ambiguedad operativa que el inventario tecnico no refleja. Ademas obligan a conectar diseno de identidad, calidad de logs, ownership y gestion del cambio dentro de una misma conversacion.
Monitoreo continuo esperado
Una limpieza puntual alrededor de Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas solo produce menos rutas de escalada ocultas, ownership mas claro y mejor separacion entre operacion y privilegio si el monitoreo se vuelve rutinario. Establezca controles recurrentes apoyados en Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, cambios en SYSVOL y actividad de certificados, revise los objetos mas delicados en el siguiente revision semanal de privilegios y validacion mensual de controles y trate la deriva igual que trataria un incidente. El objetivo no es crear mas ruido, sino detectar cambios relevantes: nuevos privilegios, controles relajados, cuentas reactivadas, exclusiones ampliadas u owners que cambian sin traspaso claro. Cuando esas senales se revisan de manera consistente, el entorno resulta a la vez mas seguro y mas facil de explicar a auditores, direccion y equipos tecnicos.
Plan de mejora a 30 dias
Durante los proximos 30 dias, trate Ataques NTLM Relay: Secuestrar Autenticacion Sin Crackear Contrasenas como un programa corto de hardening. Semana 1: confirme alcance y ownership. Semana 2: elimine las rutas mas peligrosas e imponga los tiering, limpieza de delegaciones, revision de ACLs, higiene de cuentas de servicio, revision de permisos GPO y hardening ADCS prioritarios. Semana 3: valide la remediacion con telemetria fresca y corrija las debilidades vecinas detectadas en la revision. Semana 4: convierta lo aprendido en controles recurrentes, reglas de aprobacion y reporting durable. Este ciclo funciona porque conecta remediation tecnica con mejora del proceso. Al final debe quedar claro que estaba expuesto, que cambio, que trabajo arquitectonico sigue pendiente y como se vigilara el riesgo en adelante.
Lecturas Relacionadas
Conviene revisar este tema junto con Contrasenas en AD: Las Malas Configuraciones que Adoran, Malas Configuraciones GPO: De Group Policy a Vector de Ataque, Supervision Seguridad AD: Event IDs y SIEM, Abuso ACL y DCSync: Las Rutas Silenciosas hacia Domain Admin y Rutas de Ataque AD: Malas Configuraciones Encadenadas. Estos articulos muestran como las mismas debilidades de identidad y permisos suelen encadenarse en una evaluacion real.
- Contrasenas en AD: Las Malas Configuraciones que Adoran
- Malas Configuraciones GPO: De Group Policy a Vector de Ataque
- Supervision Seguridad AD: Event IDs y SIEM
- Abuso ACL y DCSync: Las Rutas Silenciosas hacia Domain Admin
- Rutas de Ataque AD: Malas Configuraciones Encadenadas
Estas referencias internas ayudan a evaluar el camino de riesgo completo y no solo un hallazgo aislado.
Continue Reading
Fallback Kerberos RC4 Active Directory: cómo detectarlo, por qué sigue ocurriendo y cómo eliminarlo
CVE-2026-31431 (Copy Fail): que afecta la vulnerabilidad del kernel de Linux y como mitigarla
