Windows abandona NTLM: Microsoft refuerza la seguridad con Kerberos

Microsoft está dando un paso crucial para fortalecer la seguridad en Windows 11, anunciando el abandono de NTLM, su protocolo de autenticación más antiguo, a favor de Kerberos. Este cambio, que comenzará a implementarse en futuras versiones del sistema operativo para clientes y servidores, busca cerrar la puerta a vulnerabilidades conocidas y ataques de robo de contraseñas.

Durante décadas, NTLM (NT LAN Manager) fue el encargado de verificar la identidad de usuarios y equipos en redes locales de Windows. Aunque funcional, este protocolo arrastra vulnerabilidades y ya no cumple con los estándares de seguridad actuales, lo que llevó a Microsoft a buscar su reemplazo de forma gradual.

Para asegurar una transición fluida y sin dejar huecos, la compañía introdujo dos nuevas tecnologías basadas en Kerberos, el protocolo que ya venía señalando como el futuro de la autenticación. Estas soluciones están diseñadas para cubrir los escenarios donde NTLM era considerado indispensable.

La primera de estas innovaciones es IAKerb, pensada para entornos empresariales. Permite que un equipo se autentique incluso sin acceso directo al controlador de dominio, usando el servicio de destino como intermediario. Esto resuelve uno de los principales motivos por los que muchas organizaciones seguían dependiendo de NTLM.

Por otro lado, LocalKDC se enfoca en la autenticación de cuentas locales. Esto significa que los equipos que no forman parte de una red corporativa o que operan de manera independiente también se benefician de una seguridad reforzada. Juntas, IAKerb y LocalKDC, cierran las brechas que dificultaban la migración completa a Kerberos.

El objetivo de reemplazar NTLM por Kerberos ayudará a reforzar la protección contra ataques que intentan robar tus contraseñas.

Aunque la desactivación por defecto de NTLM es un hito importante, Microsoft lleva tiempo preparando el terreno. La tecnológica fomentó el uso de Kerberos y habilitó auditorías de configuración en Windows Server 2025, demostrando un enfoque metódico para esta migración de seguridad. El protocolo NTLM seguirá disponible para casos muy específicos, pero desactivado por defecto.

Las primeras novedades de esta implementación llegarán a través del canal Canary del programa Windows Insider, según reportó Neowin. En esta versión preliminar, IAKerb estará activado por defecto, mientras que LocalKDC estará desactivado, aunque ambas configuraciones podrán ajustarse desde el Registro de Windows. Microsoft planea integrar estas opciones en herramientas de administración y directivas de grupo más adelante.

Para la mayoría de los usuarios domésticos de Windows, que no manejan configuraciones de red avanzadas, este cambio no se notará de forma directa. El inicio de sesión funcionará como siempre, pero con una capa de seguridad más robusta. Sin embargo, en entornos corporativos, los administradores deberán revisar sus dependencias antes de que estas transiciones lleguen a las versiones estables del sistema operativo, garantizando una migración sin interrupciones.