Ataque Pass-the-hash explicado: Cómo los atacantes evaden los inicios de sesión

Glosario de ciberseguridad Catálogo de ataques

Comprendiendo los ataques pass-the-hash (PtH)

Pass-the-hash (PtH) es una técnica de robo de credenciales donde un atacante captura hashes de contraseñas NTLM desde la memoria o el disco y los reutiliza para autenticarse en servicios de red sin conocer la contraseña en texto plano. El ataque explota el modelo de autenticación basado en hashes de NTLM, permitiendo movimiento lateral, escalada de privilegios y compromiso del dominio. Herramientas como Mimikatz automatizan la extracción y reutilización de hashes. La defensa efectiva combina deshabilitar NTLM, aislar almacenes de credenciales, desplegar Privileged Access Management y monitorear patrones anómalos de autenticación.

Pass-the-hash es un ataque donde un adversario roba la contraseña hash de un usuario (hash NTLM/LM) de una máquina y la usa para autenticarse en otros sistemas.

Atributo	Detalles
Tipo de ataque	Robo de credenciales y movimiento lateral
Nivel de impacto	Alto / Crítico
Objetivo	Entornos Windows/NTLM, controladores de dominio, cuentas privilegiadas
Vector de ataque principal	Volcado de credenciales (LSASS, SAM, NTDS.dit, sniffing de desafío-respuesta)
Motivación	Ganancia financiera, espionaje, persistencia
Métodos comunes de prevención	MFA, PAM, Credential Guard, desactivar NTLM, protección LSASS, EDR/XDR

Risk factor	Level
Potential damage	Critical
Ease of execution	Moderate
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Moderate

Likelihood

High

¿Preocupado por los ataques pass-the-hash en su entorno?

Hable con nuestros expertos para aprender cómo detectar el robo de credenciales, detener el movimiento lateral y proteger las cuentas privilegiadas.

¿Qué es un ataque pass-the-hash?

Un ataque pass-the-hash ocurre cuando un atacante roba la contraseña hash de un usuario (por ejemplo, un hash NTLM) de una máquina comprometida y reutiliza ese hash para autenticarse en otros sistemas, sin necesidad de la contraseña en texto plano. Muchos procesos de autenticación de Windows aceptan un hash en lugar de una contraseña, por lo que el atacante puede suplantar al usuario hasta que se cambien las credenciales de la cuenta o se invalide el hash.

Este ataque aprovecha las debilidades en los protocolos de autenticación de Windows, particularmente NTLM. NTLM y el protocolo más antiguo LM utilizan métodos de autenticación basados en hash que aceptan un hash válido en lugar de una contraseña en texto plano. LM es criptográficamente débil (fácil de descifrar) y NTLM permite reutilizar el mismo hash en diferentes servicios de red.

El pass-the-hash es común en entornos Windows. Sin embargo, las máquinas Linux unidas a Active Directory, los servidores de archivos Samba o los servicios que soportan NTLM/Kerberos pueden aceptar hashes robados y credenciales reproducidas. Las configuraciones de nube híbrida y sincronización AD-Entra ID también son vulnerables, especialmente cuando la autenticación NTLM o la compatibilidad heredada están habilitadas. Una vez que un atacante obtiene acceso a un sistema y extrae material de credenciales de la memoria o el disco, puede “pasar” el hash para moverse lateralmente, escalar privilegios e incluso comprometer controladores de dominio.

¿Cómo funciona un ataque pass-the-hash?

Un ataque pass-the-hash sigue una cadena sencilla, desde que un atacante obtiene un punto de apoyo hasta alcanzar finalmente objetivos de alto valor. Aquí están las etapas comunes y lo que ocurre en cada una.

Acceso inicial

El atacante obtiene un punto de entrada en la red mediante phishing, instalación de malware, explotación de un servicio vulnerable o uso de credenciales robadas. Ese punto de apoyo en una máquina de usuario o servidor le permite ejecutar código o leer la memoria en un host objetivo.

Recolección de hashes

Una vez en un host, el atacante extrae material de credenciales (hashes u otros artefactos de autenticación) del host comprometido o del dominio. Apuntan a almacenes del sistema (la base de datos SAM local o un NTDS.dit exportado), procesos residentes en memoria que almacenan en caché las credenciales (volcados de memoria LSASS en vivo), o usan replicación/abuso de AD (como DCSync) para obtener datos de cuentas. También pueden capturar el tráfico de red donde se usan protocolos heredados de desafío-respuesta.

Autenticación con el hash robado

El atacante reutiliza el hash capturado para autenticarse en SMB, RPC u otros servicios que aceptan autenticación NTLM (o similar), suplantando efectivamente la cuenta sin descifrar el hash. Las herramientas comunes utilizadas para realizar esta repetición incluyen Mimikatz, Invoke-TheHash, Sharp-SMBExec y frameworks ofensivos como Cobalt Strike.

Movimiento lateral

Usando el hash robado, el atacante se mueve desde el host inicial a otras máquinas. Utilizan mecanismos de gestión remota (comparticiones SMB, ejecución remota tipo PsExec, WMIC, tareas programadas o herramientas administrativas integradas) para acceder a máquinas adicionales y obtener más credenciales. También usan el robo de tokens y la suplantación para actuar como otros usuarios. De esta manera, amplían su control en toda la red mientras se mezclan con la actividad administrativa legítima.

Escalada de privilegios

Con acceso lateral, los atacantes apuntan a cuentas de mayor privilegio (service accounts, domain admins y SIDs integrados de alto privilegio como RID-500), abusan de configuraciones erróneas (service accounts con privilegios excesivos, almacenes de credenciales expuestos) y explotan servicios vulnerables para obtener hashes a nivel de administrador. Esto les otorga un control más amplio y reduce la necesidad de robar credenciales repetidamente.

Persistencia y objetivos

Después de obtener posiciones privilegiadas, los atacantes establecen persistencia (puertas traseras, tareas programadas, cuentas de servicio modificadas) para permanecer dentro, incluso después de reinicios y cambios de contraseña. Ahora están posicionados para perseguir objetivos como el robo de datos, el despliegue de ransomware y el espionaje a largo plazo.

Soporte de Netwrix

Herramientas como Netwrix Auditor y Netwrix Threat Manager pueden ayudar a detectar la actividad pass-the-hash mediante la supervisión continua de los patrones de autenticación y acceso. Identifican anomalías como inicios de sesión NTLM inesperados, escaladas de privilegios y accesos inusuales a procesos sensibles como LSASS. Al correlacionar estos eventos y emitir alertas en tiempo real, las organizaciones pueden investigar rápidamente y contener posibles movimientos laterales.

Diagrama del flujo de ataque

Veamos un flujo visual simple del ataque pass-the-hash y un ejemplo desde la perspectiva de una organización que muestra cómo el ataque comienza con una brecha en la red que conduce a una escalada de privilegios y persistencia.

En Archie Corp, un empleado abre un archivo adjunto malicioso de factura, lo que le da al atacante un punto de apoyo inicial en la red. El atacante ejecuta un cargador y vuelca la memoria LSASS para capturar hashes NTLM. Usando esos hashes, se autentican en un servidor de archivos interno vía SMB y ejecutan PsExec para alcanzar hosts adicionales. Desde un host de salto, encuentran una cuenta de servicio con privilegios elevados y reutilizan su hash para acceder a un controlador de dominio. El atacante crea una tarea programada para persistencia y exfiltra archivos sensibles, luego despliega ransomware.

Ejemplos de ataques pass-the-hash

Los ataques pass-the-hash aparecen repetidamente en intrusiones del mundo real. Aquí hay algunos ejemplos reales que ilustran cómo esta técnica aparece en campañas de ransomware y dirigidas.

Caso	Impacto
Ransomware Hive (2022)	En 2022, los operadores del ransomware Hive llevaron a cabo una ola de ataques que explotaron las vulnerabilidades ProxyShell en los servidores Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207). Estas fallas permitieron la ejecución remota de código, dando a los atacantes un punto de apoyo inicial dentro de las redes corporativas. Una vez dentro, los atacantes desplegaron web shells y balizas Cobalt Strike para persistencia y control. Luego ejecutaron Mimikatz para volcar credenciales de la memoria LSASS y extraer hashes NTLM, que se reutilizaron en una técnica pass-the-hash para autenticarse lateralmente a través de sistemas, incluidos los controladores de dominio. Con privilegios elevados, los actores de Hive se propagaron por el entorno, deshabilitaron defensas, exfiltraron datos sensibles y finalmente desplegaron su carga útil de ransomware. Un aviso conjunto de CISA, FBI y HHS declaró que, a noviembre de 2022, Hive había victimizado a más de 1,300 empresas en todo el mundo y extraído alrededor de 100 millones de dólares en pagos de rescate. También listó los sectores objetivo de Hive: “Instalaciones gubernamentales, comunicaciones, manufactura crítica, tecnología de la información y especialmente salud y salud pública (HPH).”
Ataque de ransomware Conti a HSE (2021)	El 14 de mayo de 2021, el Health Service Executive (HSE) de Irlanda fue víctima de un importante ataque de ransomware por parte de la banda Conti, lo que obligó al cierre de todos sus sistemas informáticos a nivel nacional. Después de obtener acceso no autorizado al entorno informático del HSE el 18 de marzo, el atacante operó sin ser detectado durante unas ocho semanas antes de desplegar el ransomware Conti el 14 de mayo. Durante ese tiempo, se movió lateralmente a través de la red, comprometió cuentas de alto privilegio y exfiltró datos de múltiples sitios. Los operadores de Conti usaron Mimikatz y Cobalt Strike para robar credenciales y realizar ataques PtH. Utilizaron hashes NTLM volcados para autenticarse y moverse lateralmente mediante SMB, PsExec y RDP. Aunque el antivirus del HSE detectó las herramientas maliciosas el 31 de marzo de 2021, estaba configurado en modo solo monitoreo y no pudo bloquear el ataque.
NotPetya (junio de 2017)	El 27 de junio de 2017, comenzó la ola de NotPetya en Ucrania (80% de las infecciones) y se propagó rápidamente por todo el mundo. Afectó a organizaciones en Francia, Alemania, Italia, Polonia, Rusia, Reino Unido, EE. UU. y Australia. Tras la ejecución inicial, los atacantes usaron técnicas de robo de credenciales y luego aprovecharon canales de ejecución remota como PsExec, WMIC y SMB para moverse lateralmente a través de las redes, causando daños por miles de millones de dólares. Los análisis de proveedores y los informes gubernamentales describen esto como un modelo de propagación de “robo de credenciales + ejecución remota” y señalan un comportamiento de recolección al estilo Mimikatz, similar a los patrones pass-the-hash vistos en muchas campañas de ransomware.

Caso

Impacto

Ransomware Hive (2022)

En 2022, los operadores del ransomware Hive llevaron a cabo una ola de ataques que explotaron las vulnerabilidades ProxyShell en los servidores Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207). Estas fallas permitieron la ejecución remota de código, dando a los atacantes un punto de apoyo inicial dentro de las redes corporativas.

Una vez dentro, los atacantes desplegaron web shells y balizas Cobalt Strike para persistencia y control. Luego ejecutaron Mimikatz para volcar credenciales de la memoria LSASS y extraer hashes NTLM, que se reutilizaron en una técnica pass-the-hash para autenticarse lateralmente a través de sistemas, incluidos los controladores de dominio. Con privilegios elevados, los actores de Hive se propagaron por el entorno, deshabilitaron defensas, exfiltraron datos sensibles y finalmente desplegaron su carga útil de ransomware.

Un aviso conjunto de CISA, FBI y HHS declaró que, a noviembre de 2022, Hive había victimizado a más de 1,300 empresas en todo el mundo y extraído alrededor de 100 millones de dólares en pagos de rescate. También listó los sectores objetivo de Hive: “Instalaciones gubernamentales, comunicaciones, manufactura crítica, tecnología de la información y especialmente salud y salud pública (HPH).”

Ataque de ransomware Conti a HSE (2021)

El 14 de mayo de 2021, el Health Service Executive (HSE) de Irlanda fue víctima de un importante ataque de ransomware por parte de la banda Conti, lo que obligó al cierre de todos sus sistemas informáticos a nivel nacional.

Después de obtener acceso no autorizado al entorno informático del HSE el 18 de marzo, el atacante operó sin ser detectado durante unas ocho semanas antes de desplegar el ransomware Conti el 14 de mayo. Durante ese tiempo, se movió lateralmente a través de la red, comprometió cuentas de alto privilegio y exfiltró datos de múltiples sitios.

Los operadores de Conti usaron Mimikatz y Cobalt Strike para robar credenciales y realizar ataques PtH. Utilizaron hashes NTLM volcados para autenticarse y moverse lateralmente mediante SMB, PsExec y RDP. Aunque el antivirus del HSE detectó las herramientas maliciosas el 31 de marzo de 2021, estaba configurado en modo solo monitoreo y no pudo bloquear el ataque.

NotPetya (junio de 2017)

El 27 de junio de 2017, comenzó la ola de NotPetya en Ucrania (80% de las infecciones) y se propagó rápidamente por todo el mundo. Afectó a organizaciones en Francia, Alemania, Italia, Polonia, Rusia, Reino Unido, EE. UU. y Australia. Tras la ejecución inicial, los atacantes usaron técnicas de robo de credenciales y luego aprovecharon canales de ejecución remota como PsExec, WMIC y SMB para moverse lateralmente a través de las redes, causando daños por miles de millones de dólares. Los análisis de proveedores y los informes gubernamentales describen esto como un modelo de propagación de “robo de credenciales + ejecución remota” y señalan un comportamiento de recolección al estilo Mimikatz, similar a los patrones pass-the-hash vistos en muchas campañas de ransomware.

Consecuencias de los ataques pass-the-hash

Los ataques pass-the-hash pueden tener consecuencias de gran alcance porque otorgan acceso a nivel de administrador a los atacantes. El daño no se limita al impacto técnico. Afecta las finanzas, la continuidad del negocio, la confianza del cliente e incluso el cumplimiento normativo.

Impact area	Description
Financial	Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.
Operational	By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.
Reputational	Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.
Legal/regulatory	Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Impact area

Description

Financial

Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.

Operational

By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.

Reputational

Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.

Legal/regulatory

Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Objetivos comunes de un ataque pass-the-hash: ¿Quién está en riesgo?

Los ataques pass-the-hash son más efectivos contra sistemas que almacenan, procesan o aceptan hashes de autenticación reutilizables. A continuación se discuten algunos objetivos comunes.

Entornos de Active Directory

Muchos entornos de Active Directory todavía soportan autenticación heredada como NTLM y cuentan con una gran cantidad de cuentas y servicios privilegiados. Los métodos de autenticación antiguos junto con muchas relaciones de confianza interconectadas hacen que los bosques de AD sean objetivos de alto valor, ya que un solo host comprometido puede exponer muchas cuentas.

Controladores de dominio y servidores Windows

Los controladores de dominio y otros servidores Windows almacenan y procesan hashes NTLM, credenciales almacenadas en caché por LSASS y otros datos de directorio, lo que los convierte en objetivos principales. Si un atacante compromete una de estas máquinas, puede recolectar esos secretos y escalar rápidamente.

Cuentas privilegiadas

Los administradores de dominio, cuentas de servicio y SIDs integrados de alta privilegio (por ejemplo, RID-500/admin local) proporcionan alcance lateral y control. Al capturar las credenciales de estas cuentas, los atacantes pueden suplantarlas y realizar acciones en todo el dominio.

Sistemas mal configurados

Los sistemas con contraseñas de administrador compartidas, mala aplicación de GPO y credenciales almacenadas en caché o guardadas (incluidas cuentas de servicio incrustadas en scripts y archivos de configuración) reducen drásticamente la barrera para ataques pass-the-hash. Las políticas débiles y la reutilización de credenciales agravan el impacto de una brecha.

Entornos híbridos/en la nube

En entornos mixtos locales y en la nube, los atacantes pueden combinar pass-the-hash con pass-the-ticket o Kerberoasting para atacar hosts Linux unidos a AD, servidores Samba e identidades sincronizadas con Entra ID. Estas configuraciones híbridas amplían la superficie de ataque y hacen que la protección de la identidad sea más compleja.

Evaluación de riesgos

Pass-the-hash es un ataque de alto riesgo porque permite a los atacantes suplantar usuarios y tomar el control total de un dominio de Active Directory con credenciales privilegiadas.

Risk factor	Level
Potential damage	Critical A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.
Ease of execution	Moderate Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.
Likelihood	High Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Risk factor

Level

Potential damage

Critical
A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.

Ease of execution

Moderate
Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.

Likelihood

High
Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Cómo prevenir ataques pass-the-hash

Los ataques pass-the-hash explotan prácticas de autenticación débiles y privilegios excesivos. Para prevenirlos, las organizaciones deben reducir la exposición de credenciales, restringir los derechos de administrador y vigilar de cerca las señales de uso indebido. Las siguientes mejores prácticas pueden ayudar.

Endurecimiento de credenciales y autenticación

Desactive o elimine NTLM siempre que sea posible y aplique la autenticación basada en Kerberos. NTLM está obsoleto y es mucho más propenso al abuso.
Si aún se necesita NTLM, restrínjalo a NTLMv2 para una protección criptográfica más fuerte.
Habilite Windows Defender Credential Guard para aislar LSASS y proteger el material de credenciales contra robos.
Active la protección LSA (RunAsPPL) para evitar que procesos no confiables lean la memoria LSASS.
Desactive WDigest para que las contraseñas en texto plano no se almacenen en caché en la memoria.

Controles de acceso privilegiado

Aplica el principio de menor privilegio (PoLP). Los usuarios solo deben tener el acceso que realmente necesitan y ningún derecho de administrador innecesario.
Utilice just-in-time (JIT) y Just Enough Administration (JEA) para otorgar derechos de administrador temporales para tareas específicas.
Aleatorice las contraseñas de administrador local con Microsoft LAPS o LAPS2 para evitar la reutilización de credenciales.
Nunca reutilice contraseñas de administrador local en varias máquinas.
Agregue cuentas sensibles y de alto valor al grupo Protected Users.

Seguridad de identidad y cuentas

Implemente Privileged Access Management (PAM) o una bóveda de contraseñas para controlar y auditar las credenciales privilegiadas.
Reemplace las cuentas de servicio estáticas con cuentas de servicio administradas de grupo (gMSAs).
Implemente la rotación regular y automática de contraseñas para todas las cuentas de alto valor.
Requerir autenticación multifactor (MFA) para el acceso remoto y privilegiado.
Audite continuamente las cuentas privilegiadas para eliminar las inactivas y obsoletas.

Defensas de red y protocolo

Bloquee el tráfico SMB/RPC de estación de trabajo a estación de trabajo para evitar el movimiento lateral. Puede hacerlo aplicando segmentación este-oeste, como reglas de firewall o políticas de firewall de host que nieguen SMB/RPC entre endpoints.
Habilite la firma y el cifrado SMB para una mayor integridad de la sesión.
Utilice Remote Credential Guard para proteger las credenciales durante las sesiones RDP.
Segmenta las cuentas de administrador por niveles (por ejemplo, Nivel 0 para controladores de dominio, Nivel 1 para servidores) para contener posibles brechas.
Aplique restricciones de inicio de sesión para que las cuentas privilegiadas solo puedan acceder a sistemas aprobados.

Higiene de TI y operativa

Parchea regularmente, especialmente para vulnerabilidades relacionadas con la autenticación y NTLM.
Realice pruebas de penetración regulares y ejercicios de red team para validar sus defensas.
Capacite a los empleados para reconocer intentos de phishing y riesgos de robo de credenciales.
Mantenga imágenes doradas y copias de seguridad inmutables o sin conexión para una recuperación rápida después de incidentes.
Avanza hacia un modelo Zero Trust donde verificas continuamente cada usuario, dispositivo y solicitud.

Cómo Netwrix puede ayudar

Los ataques pass-the-hash son difíciles de detener solo con defensas tradicionales porque explotan credenciales válidas. Las soluciones de Netwrix fortalecen la seguridad de la identidad detectando comportamientos de autenticación sospechosos, controlando el acceso privilegiado y proporcionando visibilidad completa de la actividad de las cuentas.

Netwrix Threat Manager

Netwrix Threat Manager ayuda a detectar la actividad PtH combinando técnicas de engaño y análisis de comportamiento para identificar el robo de credenciales y movimientos laterales.

Engaño (honeytokens): Threat Manager le permite desplegar honeytokens como credenciales “cebo” en el entorno. Si un atacante intenta usarlas o autenticarse con ellas, es un fuerte indicio de recolección maliciosa de credenciales y reproducción. El sistema generará una alerta para investigación.
Análisis de comportamiento y detección de anomalías: El producto establece una línea base del comportamiento normal de usuarios y servicios y luego señala anomalías que coinciden con patrones de robo de credenciales o movimiento lateral, por ejemplo, cuentas que se autentican desde hosts que nunca han usado antes, picos repentinos en el número de hosts a los que accede una cuenta o uso inusual de herramientas administrativas. Estas detecciones basadas en identidad se correlacionan con eventos de AD, Entra ID y del sistema de archivos para reducir falsos positivos y generar alertas en tiempo real.

Netwrix Privilege Secure

Privilege Secure reduce el riesgo de credenciales robadas y reutilizadas al proteger las cuentas privilegiadas. Elimina privilegios permanentes, aplica acceso justo a tiempo, proporciona almacenamiento seguro de credenciales y supervisa la actividad privilegiada. Esto evita que los atacantes abusen de las contraseñas y hashes almacenados, dificultando el éxito de los ataques pass-the-hash.

Privilegios permanentes cero con acceso JIT: Privilege Secure otorga privilegios elevados solo cuando se aprueba una tarea y los revoca automáticamente después. Esto elimina las cuentas de administrador de larga duración que los atacantes podrían aprovechar.
Almacenamiento de credenciales: El producto se integra con vaults o puede gestionar secretos por sí mismo. Centraliza las credenciales privilegiadas y reduce las contraseñas reutilizadas en los endpoints. El almacenamiento centralizado junto con la rotación automática impide que los atacantes encuentren credenciales estables para extraer y reutilizar.
Monitoreo y auditoría de sesiones: Privilege Secure registra y supervisa las sesiones y acciones privilegiadas (quién accedió a qué, cuándo y cómo) para auditoría y preparación forense.
Control granular de privilegios y eliminación de derechos de administrador local: El producto permite eliminar los derechos de administrador local de los usuarios, otorgar solo permisos específicos para tareas y gestionar de forma centralizada el acceso elevado.
Descubrimiento de cuentas privilegiadas ocultas: Privilege Secure puede escanear a través de los endpoints e identificar cuentas privilegiadas ocultas y no gestionadas.

Netwrix Auditor

Auditor te ofrece una visibilidad completa de la actividad del usuario y los cambios del sistema. Rastrea los inicios de sesión, los cambios en cuentas y privilegios, y las modificaciones de configuración en todo tu entorno. Todas las acciones se registran con detalles de quién, qué, cuándo y dónde. Esto facilita que los equipos investiguen comportamientos inusuales, respondan a incidentes y cumplan con las normativas.

Detecta inicios de sesión sospechosos y actividad NTLM: Auditor rastrea todos los inicios de sesión exitosos y fallidos (incluida la autenticación NTLM). Proporciona registros detallados que muestran los tiempos de inicio de sesión, los hosts y el uso de cuentas, lo que ayuda a los equipos a identificar inicios de sesión inusuales que pueden indicar robo de identidad o una cuenta comprometida.
Monitorea el uso de cuentas privilegiadas: El producto registra cuándo se utilizan cuentas privilegiadas (como Domain Admins y cuentas de servicio) fuera de los sistemas y horarios esperados, y genera alertas para advertir a los equipos.
Audita los cambios en cuentas y grupos sensibles: Los atacantes a menudo agregan cuentas comprometidas a grupos de administración después de usar PtH. Auditor proporciona alertas cuando se modifican grupos críticos de Active Directory.
Proporciona registros forenses de auditoría: Los registros detallados de quién accedió a qué y cuándo permiten a los investigadores rastrear cómo se usaron los hashes robados.

Detecte y responda a ataques pass-the-hash con Netwrix Threat Manager. Descargue la prueba gratuita.

Estrategias de detección, mitigación y respuesta

Los ataques pass-the-hash pueden desarrollarse silenciosamente. Por esta razón, la detección temprana y la respuesta rápida son críticas. Sus tácticas de defensa deben combinar visibilidad, gestión estricta de credenciales y una respuesta disciplinada para reducir el daño de tales ataques.

Detección

La detección temprana depende de identificar anomalías sutiles en la autenticación y patrones de abuso de credenciales.

Monitorear IDs de eventos de Windows

Los equipos de seguridad deben monitorear los ID de eventos de Windows 4624, 4625, 4648, 4672 y 4688 para detectar inicios de sesión inusuales, intentos fallidos y uso de privilegios.

4624: Se activa cuando un usuario o servicio inicia sesión correctamente. Útil para detectar inicios de sesión inusuales o inesperados (como inicios de sesión de red NTLM).
4625: Registrado cuando un intento de inicio de sesión falla.
4648: Ocurre cuando un usuario o proceso intenta iniciar sesión usando credenciales explícitas (por ejemplo, runas, unidades asignadas, conexiones remotas). Común en intentos de PtH y movimientos laterales.
4672: Indica que una sesión de inicio de sesión recibió privilegios elevados.
4688: Registrado cuando un proceso inicia. Esencial para detectar herramientas o scripts sospechosos (como Mimikatz, PsExec y cargas útiles de PowerShell).

Intentos inusuales de acceso a LSASS.exe

Los atacantes apuntan al proceso LSASS para extraer material de credenciales de la memoria. El ID de evento 10 de Sysmon registra intentos de acceso directo a LSASS, por ejemplo, cuando herramientas de robo de credenciales como Mimikatz o Cobalt Strike intentan leer la memoria del proceso. Dicho acceso es raro en operaciones normales, por lo que los intentos repetidos o inusuales de acceso a LSASS deben generar alertas.

Picos en autenticaciones remotas NTLM

Esté atento a picos inusuales de autenticación NTLM. Los inicios de sesión NTLM de Tipo 3 (red) o Tipo 10 (interactivo remoto) muestran autenticaciones a través de SMB, RPC y RDP. Un aumento repentino de estos eventos desde una sola cuenta o equipo puede indicar la reutilización de hashes para movimientos laterales.

Actividad NTLM o autenticación desde puntos finales inusuales

Un aumento en los inicios de sesión o autenticaciones NTLM provenientes de máquinas no vistas anteriormente puede sugerir que un atacante está reproduciendo hashes entre sistemas.

Actividad SMB o RPC de estación de trabajo a estación de trabajo

Los flujos de trabajo comerciales normales rara vez implican que la estación de trabajo de un empleado inicie sesiones SMB y RPC con otra estación de trabajo. Por esta razón, vigile el tráfico inusual este-oeste (por ejemplo, entre dos portátiles de usuario) ya que puede indicar un movimiento lateral.

Complementa la supervisión de registros con soluciones EDR, XDR y Identity Threat Detection & Response

Las soluciones de Endpoint detection and response (EDR), extended detection and response (XDR) y identity threat detection and response (ITDR) pueden identificar amenazas basadas en la identidad en tiempo real. Estas herramientas analizan el comportamiento del sistema y la identidad en todos los hosts. Establecen patrones normales de inicio de sesión y alertan cuando una cuenta inicia sesión desde nuevas máquinas, utiliza métodos de autenticación obsoletos como NTLM o muestra movimientos laterales consistentes con tácticas PtH.

Desplegar cuentas y tokens honeypot

Las cuentas honeypot (también llamadas honeytokens) son cuentas de usuario falsas o credenciales colocadas en sistemas o ubicaciones de memoria que los atacantes suelen sondear. Si se accede o autentica con estas cuentas, los defensores saben inmediatamente que alguien está recolectando o reproduciendo credenciales.

Mitigación

La mitigación de pass-the-hash requiere fortalecer las credenciales, restringir los privilegios y segmentar los límites de confianza.

Protección de credenciales

La protección sólida de credenciales es fundamental para mitigar ataques PtH. Los atacantes dependen de datos de autenticación almacenados o en caché, por lo que aislarlos y asegurarlos limita su éxito.

Deshabilitar NTLM o aplicar solo NTLMv2: NTLM es un protocolo de autenticación comúnmente abusado. Deshabilitarlo por completo obliga a los sistemas a usar una autenticación Kerberos más fuerte. Si deshabilitarlo no es factible debido a dependencias heredadas, aplique NTLMv2 ya que ofrece una mejor fortaleza criptográfica y ayuda a reducir la exposición a ataques de repetición.
Habilite Credential Guard y LSA Protection: Windows Defender Credential Guard utiliza seguridad basada en virtualización para aislar secretos como hashes NTLM y tickets Kerberos del resto del sistema operativo. Esto ayuda a prevenir robos mediante volcados de memoria. De manera similar, LSA Protection (RunAsPPL) garantiza que solo procesos confiables y firmados puedan acceder al proceso LSASS, bloqueando herramientas como Mimikatz para extraer credenciales.
Deshabilite WDigest para evitar el almacenamiento en caché de contraseñas en texto plano: Los sistemas Windows antiguos y algunas configuraciones almacenan contraseñas en texto plano en la memoria mediante el paquete de autenticación WDigest. Deshabilite WDigest para evitar que estas contraseñas en texto plano se almacenen en caché. Esto garantiza que, incluso si los atacantes extraen la memoria LSASS, solo recuperen credenciales cifradas o con hash.

Controles de red y protocolo

Las defensas a nivel de red pueden evitar que los atacantes utilicen hashes robados para moverse lateralmente entre sistemas. Segmentar, cifrar y validar el tráfico garantiza que solo ocurra comunicación legítima.

Bloquee el tráfico SMB/RPC de estación de trabajo a estación de trabajo: Los atacantes se propagan lateralmente reutilizando hashes a través de conexiones SMB o RPC entre estaciones de trabajo de usuarios. Estas conexiones no se utilizan para operaciones comerciales normales. Bloquee la comunicación directa de estación de trabajo a estación de trabajo para limitar la capacidad del atacante de pivotar a través de la red después de una compromisión inicial.
Requerir firma/cifrado SMB: La firma SMB verifica la integridad de los paquetes SMB y previene la manipulación, mientras que el cifrado SMB asegura que las credenciales y los datos sensibles no se expongan durante la transmisión. Implemente estas funciones para evitar que los atacantes intercepten o reproduzcan el tráfico de autenticación.
Habilitar Remote Credential Guard para RDP: Remote Credential Guard evita que las credenciales se envíen a sistemas remotos durante las sesiones RDP. En su lugar, la autenticación se maneja en el lado del cliente, lo que reduce el riesgo de que se capturen hashes y tickets Kerberos desde la máquina remota.

Higiene operativa

Una buena higiene de seguridad mantiene las credenciales, los sistemas y las configuraciones resistentes a la explotación.

Rotee las contraseñas de las cuentas de servicio o reemplácelas con gMSA: Las credenciales estáticas o compartidas de cuentas de servicio son un objetivo común de ataque. Las Group Managed Service Accounts automatizan la rotación de contraseñas, y la rotación frecuente hace que los hashes robados sean rápidamente inútiles para los atacantes.
Parchee los sistemas regularmente para eliminar vulnerabilidades explotables: Muchos ataques de robo de credenciales, incluyendo PtH, comienzan con exploits de escalada de privilegios que otorgan acceso SYSTEM o de administrador local. Mantenga los sistemas parchados para que los atacantes no puedan usar vulnerabilidades conocidas para acceder a LSASS o extraer datos de credenciales.
Realice pruebas de penetración y ejercicios de red teaming regularmente: Las pruebas de penetración periódicas y los ejercicios de red team simulan cadenas de ataque del mundo real, incluidas técnicas PtH. Estas evaluaciones ayudan a identificar configuraciones débiles, puntos ciegos en la detección y brechas en las defensas contra movimientos laterales.
Capacite al personal sobre la concienciación del phishing y el robo de credenciales: Muchas campañas PtH comienzan con ingeniería social, donde un archivo adjunto o enlace malicioso en un correo electrónico proporciona el primer punto de apoyo. La formación regular ayuda a los empleados a reconocer intentos de phishing, entender por qué las credenciales nunca deben reutilizarse y reportar correos sospechosos a tiempo.

Respuesta

Cuando aparecen indicadores de actividad PtH, la contención rápida y la investigación forense son clave para minimizar el impacto.

Acciones inmediatas

Cuando se detecta un ataque pass-the-hash, conténgalo rápidamente. El objetivo es limitar el daño, detener el movimiento del atacante y preservar las pruebas para la investigación.

Restablezca las cuentas comprometidas para invalidar los hashes robados: Dado que los ataques PtH dependen de hashes de contraseña reutilizados, debe restablecer inmediatamente las cuentas afectadas para invalidar esas credenciales.
Poner en cuarentena los endpoints afectados para la investigación forense: Aísle los sistemas comprometidos de la red para evitar que los atacantes los utilicen como puntos de pivote para movimientos laterales. Analice los dispositivos en cuarentena para determinar cómo se robaron las credenciales y si otros sistemas están en riesgo.
Contenga el movimiento lateral segmentando los sistemas infectados: La segmentación de red puede bloquear la capacidad del atacante para moverse lateralmente por el entorno. Coloque los sistemas infectados en zonas de red restringidas, limite los recursos compartidos administrativos y desactive los protocolos remotos innecesarios (SMB/RDP) para contener la brecha.

Investigación forense

Después de la contención, el análisis forense ayuda a los equipos a comprender el alcance de la brecha.

Analice volcados de LSASS, SAM, NTDS.dit en busca de indicadores de compromiso: Revise volcados de memoria LSASS, la base de datos Security Account Manager (SAM) y la base de datos NTDS.dit de Active Directory para revelar si se extrajeron credenciales y qué cuentas están afectadas.
Review authentication logs to map attacker movement: Event logs provide a timeline of logons and privilege escalations. By correlating these events, analysts can reconstruct how the attacker authenticated across systems, identify lateral movement paths, and locate the initial access point.
Identifique los mecanismos de persistencia (nuevos usuarios, tareas programadas, cambios en GPO): Los atacantes crean puertas traseras para recuperar el acceso después de restablecer contraseñas o reconstruir sistemas. Busque cuentas de usuario no autorizadas, tareas programadas maliciosas, elementos de inicio y Objetos de Directiva de Grupo modificados para asegurarse de que los métodos de persistencia se eliminen antes de la recuperación.

Recuperación y fortalecimiento

Once the investigation concludes, focus shifts to restoring operations and strengthening defenses to prevent recurrence.

Reconstruya los hosts comprometidos con imágenes doradas: Los sistemas que formaron parte del ataque deben ser borrados y reconstruidos usando imágenes doradas confiables. Esto elimina completamente el malware oculto, rootkits y modificaciones del registro dejadas por los atacantes.
Restaurar desde copias de seguridad offline/inmutables: Las copias de seguridad desconectadas de la red o almacenadas en almacenamiento inmutable son cruciales para una recuperación limpia. Restaure desde copias de seguridad verificadas y sin alteraciones para poner los sistemas en línea rápidamente sin reintroducir datos o configuraciones comprometidas.
Rote las credenciales de alto valor (Domain Admin, cuentas de servicio, KRBTGT): Las credenciales con privilegios elevados son un objetivo principal en las campañas PtH. Rote estas contraseñas, especialmente la cuenta KRBTGT que emite tickets Kerberos, para invalidar contraseñas y tokens robados.
Implemente defensas de identidad más fuertes (Privileged Access Management, MFA, EDR/Identity Threat Detection & Response): Introduzca Privileged Access Management para sesiones administrativas controladas, MFA para prevenir el uso indebido de un solo factor y soluciones EDR/Identity Threat Detection & Response para detectar comportamientos anómalos de autenticación e intentos de uso indebido de credenciales.

Impacto específico de la industria

Los ataques pass-the-hash afectan a casi todos los sectores, pero sus consecuencias varían según el tipo de datos, sistemas y regulaciones involucrados. Aquí se explica cómo se ven afectados diferentes sectores.

Industry	Impact
Healthcare	PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.
Finance	In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.
Government	When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.
Retail	PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Industry

Impact

Healthcare

PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.

Finance

In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.

Government

When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.

Retail

PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Evolución del ataque y tendencias futuras

Lanzar ataques pass-the-hash antes requería habilidades técnicas avanzadas. Hoy en día, los kits de herramientas automatizadas disponibles permiten a los atacantes usar esta técnica como parte de cadenas de ataque más amplias.

PtH utilizado en operaciones de ransomware como servicio (RaaS)

Los grupos de ransomware ahora utilizan cada vez más PtH durante las etapas de infiltración de la red. Afiliados de operaciones RaaS, como LockBit y BlackCat, usan hashes robados para moverse lateralmente, obtener privilegios de administrador de dominio y desplegar ransomware a gran escala. Esta táctica de propagarse rápidamente por toda una organización y luego desplegar ransomware maximiza el daño y el potencial de rescate.

Nuevas herramientas amplían las capacidades de los atacantes

Los atacantes ahora disponen de una variedad de herramientas que simplifican la ejecución de PtH. Herramientas como SharpKatz, Invoke-TheHash y Sharp-SMBExec ofrecen marcos fáciles de usar para recolectar y reutilizar hashes NTLM. Estas utilidades también pueden evadir las herramientas antivirus tradicionales y operar en memoria, dificultando la detección. Además, permiten que atacantes menos expertos lancen ataques basados en credenciales de manera efectiva.

Combinación con pass-the-ticket y Kerberoasting en entornos híbridos

En configuraciones híbridas que conectan Active Directory con Entra ID, los atacantes combinan múltiples técnicas basadas en identidad. Mezclan pass-the-hash con pass-the-ticket y Kerberoasting para comprometer tanto la infraestructura local como la nube. Esta cadena de ataques permite a los actores de amenazas moverse fluidamente entre sistemas y persistir incluso si una parte del entorno es remediada.

Malware impulsado por IA y automatización

Los atacantes están aprovechando la IA y la automatización para acelerar el robo de credenciales y el movimiento lateral. El malware impulsado por IA puede identificar dinámicamente objetivos valiosos, extraer hashes de manera más eficiente y ejecutar movimientos laterales más sigilosos. Esto reduce las ventanas de detección y aumenta la probabilidad de compromiso total de la red. Los futuros ataques PtH se basarán en malware adaptativo y autoaprendizaje que puede eludir las protecciones tradicionales de identidad.

Estadísticas clave e infografías

Esta sección analiza algunas estadísticas y datos que muestran cómo los ataques pass-the-hash impactan y prevalecen en la vida real. Desde los resultados de encuestas globales hasta investigaciones de brechas, el robo y la reutilización de credenciales juegan un papel central en los incidentes cibernéticos.

Según el 2026 Verizon Data Breach Investigations Report (DBIR), el uso de credenciales robadas estuvo involucrado en el 36 % de las brechas, mientras que el 62 % de todas las brechas incluyeron un elemento humano como ingeniería social, uso indebido de privilegios y robo de credenciales. Estos hallazgos destacan cómo la compromisión de credenciales sigue siendo un factor persistente y significativo en los ciberataques.
Las credenciales comprometidas fueron la causa principal del 23 % de los ataques de ransomware, según el informe The State of Ransomware 2025 de Sophos. Las técnicas de ataque basadas en credenciales, incluido el pass-the-hash, están entre los métodos que contribuyen a este vector. Cuando se combinan con otros vectores de ataque basados en credenciales, las credenciales robadas o mal utilizadas siguen siendo uno de los facilitadores más importantes de los despliegues de ransomware.
Según el Sophos Active Adversary Report 2025, las credenciales comprometidas fueron la causa principal en el 41 % de los casos de respuesta a incidentes investigados en 2024. Microsoft y otros proveedores de seguridad continúan advirtiendo que el volcado de credenciales LSASS, un paso clave en los ataques PtH, sigue siendo una de las formas más comunes en que los atacantes obtienen las credenciales necesarias para moverse lateralmente a través de los entornos empresariales.

Desglose del vector de acceso inicial (2025)

Los siguientes datos, extraídos del informe M-Trends 2026 de Mandiant, muestran que las credenciales robadas representaron el 9 % de los vectores de acceso inicial identificados en 2025, lo que subraya su papel continuo como punto de entrada que los atacantes utilizan para moverse lateralmente y escalar privilegios una vez dentro.

De los datos de Mandiant de 2025:

Explotación de vulnerabilidades: 32%
Phishing por voz: 11%
Compromiso previo: 10%
Credenciales robadas: 9%
Otros métodos: 38%

Reflexiones finales

Los ataques pass-the-hash han existido durante décadas y todavía funcionan porque explotan algo fundamental sobre cómo opera la autenticación de Windows. No puedes simplemente parchearlo o esperar que no te suceda. Las defensas contra PtH están bien entendidas y son efectivas. Las estaciones de trabajo de Privileged Access, la jerarquización de credenciales y la monitorización del movimiento lateral son controles que funcionan en la práctica.

Las credenciales almacenadas en caché son un objetivo real y accesible. Bloquee los caminos que llevan allí. No espere hasta estar en respuesta a incidentes para descubrir dónde están las brechas.

Preguntas frecuentes

¿Qué es un ataque pass-the-hash?

¿En qué se diferencia PtH de PtT?

¿Por qué NTLM es inseguro?

¿Qué herramientas se utilizan para PtH?

¿Cómo pueden las empresas prevenir PtH?

¿Qué industrias están más en riesgo?

¿Cuál es el papel de MFA para detener PtH?

¿Cómo roban los atacantes los hashes de contraseñas?

Compartir en

Published: Jun 12, 2026

Darryl Baker

Investigador Principal de Seguridad

Darryl G. Baker es un Investigador Senior de Seguridad en Netwrix y una autoridad reconocida en seguridad de Identity y Active Directory. Con más de una década de experiencia en sistemas de identidad, ha liderado evaluaciones de seguridad empresarial, capacitaciones en seguridad de identidad y emulaciones de amenazas centradas en Active Directory, Entra ID y entornos Azure. Darryl ha impartido capacitaciones y demostraciones muy valoradas en BlueTeamCon, BSidesCT, The Experts Conference y Wild Wild West Hackin’ Fest. Es el arquitecto detrás de numerosos laboratorios prácticos de emulación de ataques, aprovechando las herramientas actuales de red team y blue team para ayudar a los defensores a dominar desde el análisis de rutas de ataque hasta la caza de amenazas. En sus sesiones, Darryl combina un profundo conocimiento técnico con estudios de casos reales, capacitando a los profesionales de blue team para fortalecer su postura de seguridad de identidad y defenderse contra técnicas adversarias en evolución.

Ver ataques de ciberseguridad relacionados

Abuso de permisos de aplicaciones Entra ID – Cómo funciona y estrategias de defensa

Modificación de AdminSDHolder – Cómo funciona y estrategias de defensa

Ataque AS-REP Roasting - Cómo funciona y estrategias de defensa

Ataque Hafnium - Cómo funciona y estrategias de defensa

Ataques DCSync explicados: Amenaza a la seguridad de Active Directory

Guía definitiva sobre ataques Golden SAML

Entendiendo los ataques de Golden Ticket

Explicación de los ataques de explotación gMSA y ataques Golden gMSA

Ataque DCShadow – Cómo funciona, ejemplos del mundo real y estrategias de defensa

ChatGPT Prompt Injection: Comprensión de riesgos, ejemplos y prevención

Explicación de los ataques de extracción NTDS.dit

Ataque de Kerberoasting – Cómo funciona y estrategias de defensa

Explicación del ataque Pass-the-Ticket: Riesgos, ejemplos y estrategias de defensa

Comprendiendo los ataques de password spraying

Comprendiendo la extracción de contraseñas en texto plano

Explicación de la vulnerabilidad Zerologon: Riesgos, Explotaciones y Mitigación

Una guía completa sobre ataques de ransomware

Ataque Skeleton Key: cómo funciona y cómo detectarlo

Movimiento lateral: Qué es, cómo funciona y prevenciones

Ataques de Hombre en el Medio (MITM): Qué son y cómo prevenirlos

¿Por qué es PowerShell tan popular entre los atacantes?

4 ataques a cuentas de servicio y cómo protegerse contra ellos

Cómo prevenir que los ataques de malware afecten a su negocio

¿Qué es Credential Stuffing?

Comprometiendo SQL Server con PowerUpSQL

¿Qué son los ataques de Mousejacking y cómo defenderse de ellos?

Robo de credenciales con un Proveedor de Soporte de Seguridad (SSP)

Ataques de Rainbow Table: Cómo funcionan y cómo defenderse de ellos

Una mirada exhaustiva a los ataques de contraseñas y cómo detenerlos

Reconocimiento LDAP

Eludir MFA con el ataque Pass-the-Cookie

Ataque de Silver Ticket