Cómo comprobar si tu Windows 11 es vulnerable a ataques Pass-the-Hash

¿Cómo comprobar si tu Windows 11 es vulnerable a ataques “Pass-the-Hash”? En los últimos años, la preocupación por la seguridad en Windows 10 y Windows 11 se ha disparado, y con razón. Cada vez hay más ataques que no necesitan «romper» tu contraseña, sino aprovechar cómo el propio sistema gestiona tus credenciales. Uno de los más peligrosos es el ataque Pass-the-Hash (PtH), que se ha visto reforzado por vulnerabilidades como CVE-2021-36934 (conocida como HiveNightmare o SeriousSAM) y por malas configuraciones habituales en redes corporativas.

Si usas Windows 11 en casa o en la empresa, es fundamental saber cómo comprobar si tu equipo es vulnerable a Pass-the-Hash, qué puntos débiles existen (registro SAM, NTLM, LSASS, BYOD, movimiento lateral, etc.) y qué protecciones reales ofrece Microsoft (Credential Guard, Device Guard, Windows Hello for Business, passkeys, atestación de estado, MDM, segmentación, etc.). A continuación tienes una guía muy completa, explicada en castellano de España y con ejemplos prácticos, para entender el problema y blindar al máximo tu entorno.

Qué es un ataque Pass-the-Hash y por qué es tan peligroso

Un ataque Pass-the-Hash consiste en que un atacante roba el hash de tu contraseña (normalmente un hash NTLM) y lo utiliza directamente para autenticarse en otros sistemas, sin necesidad de conocer la clave en texto plano. El sistema Windows acepta ese hash como prueba de identidad, de manera que el adversario puede iniciar sesión y moverse por la red como si fuera el usuario legítimo.

En la práctica, esto significa que no hace falta descifrar la contraseña: basta con capturar el hash desde el equipo comprometido (memoria de LSASS, base de datos SAM, volcados de memoria, copias shadow de VSS, etc.) y reutilizarlo contra otros hosts. Herramientas muy conocidas como Mimikatz, Cobalt Strike, Invoke-TheHash, SharpKatz o wce simplifican este proceso hasta el extremo.

Este enfoque encaja perfectamente con la táctica de movimiento lateral en Active Directory: una vez obtenidos hashes de cuentas locales o de dominio (especialmente administradores), los atacantes se desplazan de máquina en máquina, escalan privilegios, acceden a datos sensibles y, en muchos casos, acaban desplegando ransomware o robando grandes volúmenes de información.

Por qué afecta sobre todo a Windows (y cómo se compara con otros sistemas)

Windows es especialmente atractivo para este tipo de ataques porque implementa, desde hace años, mecanismos como el inicio de sesión único (SSO) y almacena hashes NTLM y credenciales en caché para no pedir constantemente la contraseña al usuario. Esto es muy cómodo, pero también implica que esos hashes estén disponibles en memoria o en disco y puedan ser volcados si se compromete el equipo.

En entornos corporativos, donde muchos equipos comparten contraseñas de administrador local (por ejemplo, RID-500 con la misma clave en todas las estaciones), la cosa se pone todavía peor: basta con comprometer una máquina para reutilizar el mismo hash en decenas o cientos de dispositivos mediante Pass-the-Hash.

Otros sistemas como macOS tienden a usar más autenticación biométrica (huella, Face ID, llavero con claves protegidas por hardware) y se apoyan menos en reusar hashes NTLM. Linux y Unix también pueden sufrir ataques similares, pero en la práctica el volumen y la homogeneidad del parque Windows hace que el foco real de PtH esté en este ecosistema.

Cómo se generan y almacenan los hashes de contraseña en Windows

Cuando creas una cuenta de usuario en Windows, el sistema genera un hash NTLM de tu contraseña y lo almacena en la base de datos local SAM (Security Accounts Manager) o en el controlador de dominio (en el caso de cuentas de dominio). Este hash se reutiliza en múltiples sesiones hasta que cambias tu contraseña.

Además, durante el inicio de sesión, el proceso LSASS (Local Security Authority Subsystem Service) carga en memoria información crítica relacionada con credenciales, tickets Kerberos y otros secretos. Si un atacante consigue ejecutar código con privilegios elevados, puede volcar la memoria de LSASS y extraer hashes, tickets de Kerberos (Pass-the-Ticket) y, en algunos casos, incluso contraseñas en texto claro.

Todo esto quiere decir que, si tu Windows 11 no aplica las protecciones adecuadas, cualquiera que logre una ejecución de código local (por ejemplo, a través de malware o de un exploit de escalada de privilegios) tiene un camino muy viable para robar credenciales y lanzar ataques Pass-the-Hash.

CVE-2021-36934 (HiveNightmare / SeriousSAM): Windows 10 y Windows 11 más expuestos

Una de las vulnerabilidades más sonadas relacionadas con PtH es CVE-2021-36934, conocida como HiveNightmare o SeriousSAM. En determinadas versiones de Windows 10 y Windows 11, las listas de control de acceso (ACL) de los archivos de configuración de %windir%\system32\config se configuraron de forma demasiado permisiva.

El problema es que usuarios del grupo «Usuarios» (sin privilegios de administrador) podían leer, a través de copias shadow de Volume Shadow Copy Service (VSS), los archivos que contienen las bases de datos más sensibles del sistema: SAM, SYSTEM y SECURITY. Esto permite extraer hashes NTLM de todas las cuentas del dispositivo, incluidas las de administrador, sin necesidad de ser admin local.

Un atacante que explote esta vulnerabilidad puede volcar esas bases de datos, obtener los hashes y utilizarlos en ataques Pass-the-Hash para escalar a administrador local o incluso moverse hacia otros sistemas, según cómo estén configuradas las credenciales en la red.

Impacto real de HiveNightmare en ataques Pass-the-Hash

Con CVE-2021-36934, un usuario con acceso local al equipo (o un malware que se ejecute con permisos de usuario estándar) puede leer los hives del Registro desde una instantánea VSS usando rutas especiales como \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyN. A partir de ahí, herramientas de análisis offline pueden extraer los hashes de SAM y usarlos para cracking o para PtH.

Este escenario convierte a cualquier endpoint Windows 10/11 afectado en una especie de «caja fuerte abierta»: aunque la cuenta atacada no tenga privilegios elevados, si han iniciado sesión administradores de equipo o de dominio, sus hashes están en el sistema y se pueden reutilizar para comprometer por completo el entorno.

Microsoft publicó el CVE, reconoció que el fallo se debía a unas ACL demasiado amplias y recomendó mitigar restringiendo el acceso a %windir%\system32\config y eliminando las copias shadow de VSS susceptibles. Posteriormente lanzó parches oficiales, pero durante un tiempo fue una vía de ataque muy jugosa para operadores de ransomware y grupos APT.

Cómo saber si tu Windows 11 es vulnerable a Pass-the-Hash

No existe un «check» único que te diga si tu Windows 11 es inmune, porque Pass-the-Hash es una técnica, no un único bug. Sin embargo, sí puedes evaluar diferentes aspectos que, combinados, determinan lo expuesto que estás:

• Versión de Windows y estado de parches (CVE-2021-36934 y otras vulnerabilidades de escalada).
• Configuración de NTLM y autenticación (si se usa NTLM ampliamente, SSO sin control, etc.).
• Gestión de credenciales y hashes (LSASS accesible, SAM expuesta, copias shadow sin proteger).
• Uso de protecciones avanzadas como Credential Guard, Device Guard y seguridad basada en virtualización.
• Modelo de privilegios (si los usuarios son admin local, si se reutilizan contraseñas entre equipos, etc.).

1. Revisar versión de Windows y CVEs relevantes

Para empezar, en tu Windows 11 (o 10) puedes comprobar la versión exacta ejecutando winver (Win + R > escribir winver). Las compilaciones afectadas por CVE-2021-36934 corresponden a Windows 10 desde la versión 1809 en adelante y determinadas builds de Windows 11.

Si tu build coincide con aquellas documentadas por Microsoft para SeriousSAM y no has instalado los parches acumulativos posteriores, es muy probable que tu sistema haya estado o siga estando vulnerable. Conviene revisar el historial de actualizaciones de Windows Update y verificar si se han aplicado las actualizaciones de seguridad asociadas a la CVE.

Además, hay que considerar otras vulnerabilidades de elevación de privilegios que, aunque no estén directamente ligadas a SAM, permiten a un atacante obtener permisos de administrador y, a partir de ahí, volcar LSASS o la base de datos local de usuarios sin demasiada resistencia.

2. Comprobar si las ACL de SAM y SYSTEM son demasiado permisivas

El núcleo del problema en HiveNightmare eran las ACL excesivamente permisivas en la carpeta \Windows\System32\config. Para verificarlo manualmente, puedes:

• Ir a C:\Windows\System32\config, botón derecho > Propiedades > Seguridad.
• Revisar si el grupo Usuarios tiene permisos de lectura (RX) sobre los archivos SAM, SYSTEM y SECURITY.

Aunque el acceso directo a estos archivos suele estar protegido, el gran truco es que las instantáneas VSS heredan estas ACL. Por tanto, incluso si el acceso en vivo parece denegado, un usuario estándar puede leer los mismos ficheros desde una copia shadow antigua siempre que tenga permisos de lectura en la ruta original.

Para rizar el rizo, muchos sistemas tienen habilitado Historial de archivos o Restaurar sistema, con lo que se generan instantáneas VSS sin que el administrador sea plenamente consciente de la superficie extra que esto abre si las ACL están mal ajustadas.

3. Analizar el uso de NTLM, SSO y reutilización de credenciales

Otro factor crítico es cuánto dependes de NTLM y del inicio de sesión único. En redes más antiguas o mal endurecidas, NTLM se usa en exceso y no está restringido a escenarios realmente necesarios. Esto deja la puerta abierta a ataques Pass-the-Hash y a otros abusos como relays NTLM.

También debería preocuparte la reutilización de contraseñas de administrador local. Si la cuenta RID-500 (Administrador integrado) o cualquier otra cuenta local privilegiada comparte la misma contraseña en muchos equipos, una sola filtración de hash multiplica por diez o por cien el impacto potencial del ataque.

Herramientas como la solución gratuita Microsoft LAPS (Local Administrator Password Solution) permiten generar y rotar automáticamente una contraseña única y aleatoria para el administrador local de cada máquina, reduciendo drásticamente la efectividad de PtH basado en cuentas locales.

4. Ver si Credential Guard y seguridad basada en virtualización están activados

En Windows 10/11 Enterprise y ediciones compatibles, Microsoft ofrece Credential Guard, una de las defensas más potentes contra Pass-the-Hash. Esta característica se apoya en la seguridad basada en virtualización (VBS) y en Hyper-V para aislar los secretos de LSASS en un contenedor protegido, inaccesible incluso para un kernel comprometido.

Cuando Credential Guard está activado, los hashes de dominio y otros secretos no se almacenan directamente en la memoria de LSASS visible, sino en un proceso aislado (lsaiso.exe) controlado por el hipervisor. Esto rompe muchos de los ataques clásicos de volcado de LSASS y mitiga gran parte de los escenarios de PtH tradicionales.

Para comprobar si VBS y Credential Guard están activos puedes utilizar herramientas como msinfo32 (revisando la sección de «Características de seguridad basadas en virtualización») o políticas de grupo en Plantillas administrativas > Sistema > Device Guard y opciones de «Virtualization-based Security» y «Credential Guard».

En entornos corporativos, usar Credential Guard implica además comprobar requisitos de hardware: TPM 2.0, arranque seguro, UEFI y soporte de virtualización son piezas clave para que VBS funcione correctamente.

Cómo funciona el ataque Pass-the-Hash paso a paso

En un entorno Windows típico, un ataque Pass-the-Hash se desarrolla en varias fases que los grupos de amenazas tienen muy automatizadas:

1. Acceso inicial: explotación de una vulnerabilidad, phishing, ejecución de malware, robo de credenciales, etc.
2. Escalada de privilegios (si es necesaria): aprovechando fallos de elevación o errores de configuración para llegar a administrador local o SYSTEM.
3. Volcado de hashes: extracción de hashes NTLM desde SAM, LSASS o copias shadow VSS con herramientas como Mimikatz, Cobalt Strike, pth-tools o scripts PowerShell.
4. Autenticación remota: uso de los hashes robados para autenticarse contra otros equipos vía SMB, RDP, WMI, WinRM u otros protocolos, imitando inicios de sesión legítimos.
5. Movimiento lateral y persistencia: creación de nuevas cuentas, distribución de malware, uso de tareas programadas, servicios o backdoors para mantener el acceso.

Un ejemplo clásico descrito por múltiples investigaciones muestra cómo, a partir de la cuenta administrador local RID-500 con la misma contraseña en varios equipos, se realiza un hashdump con Cobalt Strike o Mimikatz, se copia el hash NT y luego se lanza un comando pth o se usa Invoke-TheHash para ejecutar acciones remotas en otros equipos con ese mismo hash.

Más avanzado aún es el uso de steal_token o técnicas similares para suplantar tokens de seguridad de procesos SYSTEM, controlar servicios remotos vía sc.exe, wmic o schtasks, y desplegar ransomware o herramientas de administración remota en toda la red con muy poca fricción.

Por qué los ataques Pass-the-Hash son tan efectivos en el mundo real

La efectividad de Pass-the-Hash no es teórica: numerosos grupos APT y bandas de ransomware lo utilizan de forma habitual. MITRE ATT&CK documenta su uso por parte de actores como APT41, APT29, FIN13, APT31 y otros, que combinan PtH con Pass-the-Ticket, Kerberoasting y abuso de NTLM para moverse lateralmente en redes complejas.

Investigaciones recientes muestran campañas donde operadores de MedusaLocker (BabyLockerKZ), APT29 o BRONZE VINEWOOD integran en sus toolkits scripts como Invoke-TheHash, versiones C# como Sharp-SMBExec, y utilidades clásicas como PsExec y Mimikatz para industrializar el uso de hashes NTLM y tickets Kerberos robados.

En paralelo, la tendencia a ataques Living Off the Land (LOTL) complica la detección: se abusa de PowerShell, WMI, herramientas nativas de Windows y credenciales legítimas, sin necesidad de malware muy ruidoso. En muchos entornos, esto pasa por tráfico normal durante semanas o meses hasta que el atacante lanza su fase final (por ejemplo, cifrar datos o exfiltrar información masiva).

Medidas de protección clave contra Pass-the-Hash en Windows 11

Para reducir al mínimo la probabilidad y el impacto de un ataque Pass-the-Hash en Windows 11 (y Windows 10), es necesario combinar varias capas de protección, tanto a nivel de equipo individual como de arquitectura de red e identidad. Algunas de las más relevantes son:

1. Activar Credential Guard y seguridad basada en virtualización

Como hemos comentado, Credential Guard usa Hyper-V y VBS para aislar credenciales corporativas y hashes sensibles, impidiendo que el malware lea directamente esos secretos desde LSASS. Para habilitarlo puedes:

• En entornos corporativos, usar Directiva de grupo en Configuración del equipo > Plantillas administrativas > Sistema > Device Guard y habilitar «Seguridad basada en la virtualización» y «Credential Guard».
• Asegurarte de que tu hardware soporta UEFI, arranque seguro, TPM 2.0 y virtualización (Intel VT-x/AMD-V con SLAT).

Una vez activo, Credential Guard rompe una gran parte de los vectores clásicos de PtH, ya que los hashes y tickets ya no están donde esperan las herramientas de volcado tradicionales. Esta defensa es especialmente importante en estaciones de trabajo de administración, servidores críticos y equipos que acceden a recursos de alto valor.

2. Usar Windows Hello for Business y passkeys (autenticación sin contraseña)

Un enfoque todavía más robusto es dejar de depender tanto de las contraseñas. Windows Hello for Business (WHfB) y las passkeys basadas en FIDO2 cambian el modelo por completo: en lugar de hashes NTLM reutilizables, se emplea criptografía de clave pública/privada vinculada al dispositivo y al usuario.

En este modelo, la clave privada nunca sale del dispositivo seguro (TPM, enclave de hardware), y la clave pública reside en el servidor de autenticación (por ejemplo, Microsoft Entra ID, antiguo Azure AD). Si un atacante roba lo que antes sería el «hash», en realidad no tiene nada que pasar a otro sistema, porque no existe un hash NTLM que reutilizar.

En Windows 11 puedes configurar WHfB y passkeys en Configuración > Cuentas > Opciones de inicio de sesión, usando reconocimiento facial, huella dactilar o PIN robusto. En entornos empresariales, la implementación se orquesta con Intune o políticas de grupo, usando modelos como «cloud trust» o «hybrid certificate trust» para integrarlo con Microsoft Entra ID y conseguir SSO sin depender de NTLM.

3. Reducir privilegios y gestionar bien las cuentas de administrador

Otro pilar básico es aplicar un modelo de privilegio mínimo. Los usuarios de departamentos estándar (RRHH, finanzas, marketing, etc.) no deberían ser administradores locales de sus equipos. Cada cuenta con privilegios de admin local es una oportunidad más para que PtH tenga éxito.

Además, las contraseñas de administrador integrado RID-500 deben ser únicas y aleatorias en cada equipo. Como ya se ha comentado, LAPS o soluciones comerciales de gestión de cuentas privilegiadas (PAM) pueden automatizar esta rotación, evitando que un mismo hash local dé acceso a múltiples estaciones.

También es importante estructurar los niveles administrativos: separar claramente cuentas de nivel 0 (controladores de dominio, infraestructura crítica), nivel 1 (servidores de aplicaciones) y nivel 2 (estaciones de trabajo), y limitar muy bien desde dónde pueden iniciar sesión las cuentas más privilegiadas para minimizar su exposición en memoria.

4. Actualizar Windows y controlar las copias shadow de VSS

Mantener el sistema al día no es un consejo vacío: muchos ataques PtH y de elevación de privilegios se apoyan en vulnerabilidades parcheadas hace tiempo. Asegúrate de que Windows Update aplica con regularidad los boletines de seguridad, especialmente aquellos relacionados con LSASS, SAM, NTLM y protocolos de autenticación.

En el caso concreto de HiveNightmare, Microsoft recomendó restringir las ACL de %windir%\system32\config y eliminar las copias shadow que ya incluían permisos laxos. Comandos como vssadmin list shadows y vssadmin delete shadows ayudan a inventariar y limpiar snapshots, siempre con cuidado de no cargarte copias de seguridad críticas.

Volviendo al punto anterior, recuerda que las copias VSS pueden permitir leer los hives vulnerables offline, por lo que simplemente monitorizar accesos en caliente a SAM o SYSTEM puede no bastar para detectar explotación de esta vía.

5. Reforzar el arranque seguro, el TPM y las defensas basadas en hardware

Windows 11 saca mucho partido de tecnologías de bajo nivel como UEFI Secure Boot, TPM 2.0, Early Launch AntiMalware (ELAM), Device Guard e hypervisor-based code integrity (HVCI). Todo esto contribuye a evitar que se carguen rootkits, bootkits o controladores maliciosos que puedan alterar el proceso de arranque y ocultar el robo de credenciales.

El TPM juega un papel clave en la atestación de estado y en la protección de claves (BitLocker, Windows Hello, certificados, etc.). Las mediciones de arranque se almacenan en PCR (Platform Configuration Registers) y se pueden enviar al servicio de atestación de estado remoto de Microsoft para que soluciones MDM (como Intune) verifiquen si el dispositivo está en buen estado antes de permitirle acceder a recursos sensibles.

Combinando BitLocker con arranque seguro y TPM se dificulta que alguien con acceso físico (por ejemplo, un atacante que roba el portátil) pueda arrancar desde un USB, montar el disco y extraer hashes NTLM o hives de SAM sin autenticarse.

Detección de ataques Pass-the-Hash y movimiento lateral

Incluso aplicando todas las protecciones, conviene asumir que algún atacante puede llegar a entrar. Por eso necesitas buenas capacidades de detección y respuesta en tus endpoints y tu red.

Las soluciones de EDR (Endpoint Detection & Response) como Microsoft Defender for Endpoint (MDE) son capaces de detectar intentos de volcado de credenciales, ejecución de Mimikatz, abuso de LSASS, uso sospechoso de PsExec, WMI, PowerShell y patrones de Pass-the-Hash y Pass-the-Ticket. Estas herramientas suelen ofrecer funciones de «threat hunting» para que analistas SOC busquen comportamientos anómalos.

En Windows, eventos clave como 4624 (inicio de sesión correcto), 4625 (fallido), 4648 (uso de credenciales explícitas) y 4769 (solicitud de ticket Kerberos) permiten identificar patrones de movimiento lateral si se correlacionan adecuadamente en un SIEM. Del mismo modo, Sysmon aporta mucha visibilidad adicional sobre creación de procesos, acceso a ficheros sensibles y conexiones de red.

Reglas de monitorización específicas para HiveNightmare y SAM

Tras descubrir CVE-2021-36934, muchos fabricantes de seguridad publicaron reglas para detectar intentos de aprovechar la exposición de SAM y SYSTEM. Por ejemplo:

• Alertar sobre ejecuciones de reg.exe que accedan a HKLM\\system, HKLM\\security o HKLM\\sam desde usuarios no administradores.
• Monitorizar comandos PowerShell que incluyan rutas a \\GLOBALROOT\Device\HarddiskVolumeShadowCopyN\Windows\System32\config\(sam|system|security).
• Habilitar SACL en los ficheros SAM, SYSTEM y SECURITY para registrar eventos 4663 de lectura por cualquier usuario, y correlacionarlos con accesos desde VSS.

Estas detecciones, combinadas con otras para WMI, Mimikatz, tareas programadas y actividades de movimiento lateral, aumentan mucho las probabilidades de detectar un ataque Pass-the-Hash antes de que se consolide y cause un desastre.

Entornos BYOD, MDM y control de acceso condicional

En escenarios de Bring Your Own Device (BYOD) y movilidad, el problema se complica porque cada vez más usuarios acceden a recursos corporativos desde dispositivos personales o poco gestionados. Aquí entran en juego las soluciones de MDM (Mobile Device Management) como Microsoft Intune y el concepto de acceso condicional en Microsoft Entra ID.

Windows integra un cliente MDM que permite a estas soluciones aplicar directivas de seguridad, recopilar información de inventario, forzar cifrado, exigir versiones mínimas de sistema operativo y, muy importante, usar la atestación de estado para comprobar que el dispositivo arranca en un estado confiable (con arranque seguro, BitLocker activo, Device Guard configurado, etc.).

El control de acceso condicional puede combinar la identidad del usuario, el estado de cumplimiento del dispositivo y otros factores (ubicación, tipo de aplicación) para decidir si se concede acceso a recursos como Office 365, aplicaciones SaaS o aplicaciones locales publicadas vía proxy de aplicación o ADFS. Esto significa que un dispositivo potencialmente vulnerable a PtH puede ser bloqueado o recibir acceso muy limitado hasta que cumpla las políticas corporativas.

Cloud, movimiento lateral avanzado y tendencias futuras

El movimiento lateral y los ataques a credenciales no se limitan ya al entorno on-premises. En plataformas cloud y contenedores (Kubernetes, Docker, serverless), los atacantes aprovechan cuentas de servicio, roles IAM, service principals y tokens para desplazarse entre servicios y cuentas, a veces con más facilidad que en redes tradicionales.

En AWS, por ejemplo, un rol IAM adjunto a una instancia EC2 comprometida puede permitir al atacante asumir otros roles y moverse lateralmente por cuentas y servicios. En Azure, el compromiso de un service principal con permisos amplios puede abrir la puerta a recursos críticos distribuidos por múltiples suscripciones.

En el mundo de contenedores, los escapes de contenedor (T1611), el abuso de tokens de cuenta de servicio de Kubernetes y los ataques a imágenes maliciosas en repositorios públicos ilustran cómo la lógica de «robo de secreto y reutilización» que hay detrás de Pass-the-Hash se ha trasladado a otras capas de la infraestructura.

Al final, proteger Windows 11 frente a ataques Pass-the-Hash pasa por asumir que los atacantes apuntan a tus credenciales y hashes como activo más valioso, y por desplegar de forma coherente todas las defensas disponibles: desde parches y buenas ACL en SAM y VSS, hasta Credential Guard, Windows Hello for Business, LAPS, segmentación de red, EDR y acceso condicional; cuanto más reduzcas la exposición de tus hashes y la capacidad de moverte lateralmente con ellos, menos opciones tendrá un adversario de convertir un simple equipo comprometido en un incidente masivo.