La empresa de seguridad Mandiant ha publicado una base de datos que permite descifrar contraseñas administrativas protegidas por el algoritmo hash NTLMv1 de Microsoft, una medida destinada a animar a los usuarios a abandonar esta función obsoleta y vulnerable. La base de datos adopta la forma de una tabla arcoíris, una tabla precalculada de valores hash vinculados a sus correspondientes contraseñas en texto plano.

Las tablas arcoíris aprovechan las debilidades de los algoritmos hash, lo que permite a los atacantes mapear rápidamente los hashes de contraseñas robadas a su forma original en texto plano. NTLMv1 es particularmente susceptible debido a su espacio de claves limitado, lo que significa que el número de contraseñas posibles que permite la función hash es relativamente pequeño. Si bien las tablas arcoíris NTLMv1 existen desde hace dos décadas, su uso práctico a menudo requería importantes recursos computacionales.

Mandiant declaró el jueves que su tabla arcoíris NTLMv1, recientemente publicada, permite a los defensores e investigadores recuperar contraseñas en menos de 12 horas, proporcionando nuevas herramientas para evaluar y mejorar la seguridad. Sin embargo, la empresa reconoció que los actores maliciosos también podrían aprovechar la tabla para obtener acceso no autorizado.

Los algoritmos hash son fundamentales para la ciberseguridad, ya que transforman las contraseñas en cadenas de caracteres aparentemente aleatorias. Este proceso está diseñado para proteger las contraseñas incluso si una base de datos se ve comprometida. Sin embargo, los algoritmos débiles u obsoletos como NTLMv1 pueden ser vulnerables a ataques que invierten este proceso. Las tablas arcoíris representan uno de estos ataques, precalculando los valores hash de las contraseñas comunes y almacenándolos en una base de datos para una búsqueda rápida.

La publicación destaca el desafío continuo de los sistemas heredados y la importancia de migrar a métodos de autenticación más seguros. A pesar de las vulnerabilidades conocidas, muchas organizaciones siguen utilizando NTLMv1, a menudo debido a problemas de compatibilidad con software o hardware más antiguos. La publicación de Mandiant sirve como un crudo recordatorio de los riesgos asociados con aferrarse a la tecnología obsoleta.

Los expertos en seguridad recomiendan que las organizaciones desactiven NTLMv1 y actualicen a protocolos de autenticación más robustos como Kerberos o NTLMv2. La autenticación multifactor (MFA) también añade una capa adicional de seguridad, lo que dificulta significativamente el acceso a los atacantes, incluso si han descifrado un hash de contraseña. El incidente subraya la necesidad de realizar evaluaciones de seguridad continuas y aplicar estrategias de mitigación proactivas para protegerse contra las amenazas en evolución.