En entornos Windows, los hashes NetNTLMv2 representan uno de los objetivos más frecuentes para un atacante que ya logró conectarse a la misma red local. Estos hashes se generan cuando una máquina intenta autenticarse en un recurso SMB y, si son interceptados, pueden ser reutilizados en ataques de relaying o directamente crackeados para obtener la contraseña en texto claro.
En este artículo analizamos el proceso de captura de credenciales utilizando Inveigh, una herramienta escrita en PowerShell que actúa como alternativa a Responder. Mostraremos cómo un atacante puede engañar a máquinas dentro de la red para que le envíen sus hashes de autenticación y, a continuación, cómo usar Hashcat para crackearlos rápidamente con un diccionario como rockyou.
En el video práctico que acompaña este artículo, realizo una demo completa en un laboratorio con dos máquinas Windows 11: una atacante y otra víctima, conectadas a la misma red WiFi. Allí podés ver cómo se despliega Inveigh en PowerShell, cómo se captura un hash NetNTLMv2 en tiempo real y finalmente cómo se pasa ese hash a Hashcat para intentar descifrarlo.
Además, explico las dos posibilidades que se abren al capturar este tipo de hash: crackearlo para obtener la contraseña en texto claro, o usarlo en ataques de NTLM relaying para autenticarse en otros servicios sin necesidad de conocer la contraseña. El video no solo muestra el ataque, sino que también incluye recomendaciones defensivas para administradores, como deshabilitar LLMNR/NetBIOS, segmentar la red y aplicar políticas de contraseñas seguras.
Checklist defensivo contra ataques NetNTLMv2
Para reducir el riesgo de que un atacante capture y crackee hashes NetNTLMv2 en una red Windows, los administradores pueden aplicar las siguientes medidas:
-
Desactivar LLMNR y NBNS. Estos protocolos permiten que herramientas como Inveigh o Responder engañen a los equipos en la red. Se recomienda deshabilitarlos mediante directivas de grupo (GPO).
-
Habilitar SMB Signing. La firma de SMB dificulta los ataques de relaying al exigir integridad en la comunicación.
-
Usar contraseñas largas y complejas. Aunque se capture el hash, el crackeo con diccionarios comunes será prácticamente imposible si las contraseñas son robustas.
-
Segmentar la red. Evitar que usuarios normales y servicios críticos compartan el mismo segmento reduce la superficie de ataque.
-
Monitorear tráfico sospechoso. Configurar alertas en el SIEM o IDS para detectar consultas anómalas de LLMNR/NBNS, o actividad extraña en puertos SMB (445).
-
Limitar privilegios. Aplicar el principio de mínimo privilegio, de modo que incluso si se compromete una credencial, su impacto sea reducido.