Si las redes in­fo­r­má­ti­cas no se protegen de forma adecuada, se vuelven vu­l­ne­ra­bles a los ataques. Ob­via­me­n­te, nadie quiere que los datos y servicios que se comparten sean ac­ce­si­bles para cua­l­quie­ra. Para ga­ra­n­ti­zar que solo los pa­r­ti­ci­pa­n­tes legítimos puedan co­mu­ni­car­se entre sí, se debe blindar la red e im­ple­me­n­tar ciertos pro­ce­di­mie­n­tos de seguridad para obtener el acceso. Microsoft introdujo el método de au­te­n­ti­ca­ción NT LAN Manager (NTLM) hace ya bastante tiempo, aunque ahora se considera obsoleto. ¿Cómo funciona este protocolo?

¿Qué es el NTLM Protocol?

NTLM consiste en una serie de pro­to­co­los de au­te­n­ti­ca­ción del de­sa­rro­lla­dor de software Microsoft. Al principio, solo se utilizaba como protocolo pro­pie­ta­rio, aunque ahora la au­te­n­ti­ca­ción NTLM (en inglés, NTLM au­the­n­ti­ca­tion) también está di­s­po­ni­ble para otros sistemas además de Windows. NT LAN Manager permite que di­fe­re­n­tes or­de­na­do­res y se­r­vi­do­res se ve­ri­fi­quen entre sí. Una de las prio­ri­da­des de la mayoría de las redes es evitar el acceso de pa­r­ti­ci­pa­n­tes no au­to­ri­za­dos, por lo que deben im­ple­me­n­tar un pro­ce­di­mie­n­to de ve­ri­fi­ca­ción: el cliente solo puede entrar en la red o utilizar sus servicios si ha sido au­to­ri­za­do.

El protocolo NTLM estipula que el cliente se au­te­n­ti­que con un nombre de usuario y la co­n­tra­se­ña co­rre­s­po­n­die­n­te. Para ello, se genera un in­te­r­ca­m­bio entre el di­s­po­si­ti­vo del usuario y un servidor. Este último conoce los datos de inicio de sesión, por lo que puede comprobar la solicitud de acceso y, a co­n­ti­nua­ción, pe­r­mi­ti­r­lo.

¿Cómo funciona la au­te­n­ti­ca­ción NTLM?

NTLM utiliza un pro­ce­di­mie­n­to de desafío/respuesta para au­te­n­ti­car a los pa­r­ti­ci­pa­n­tes de la red. El cliente y el host siguen los si­guie­n­tes pasos:

  1. El cliente envía un nombre de usuario al host.
  2. El host responde con un número aleatorio, el desafío.
  3. El cliente crea un valor hash a partir de ese número y la co­n­tra­se­ña del usuario y lo devuelve como respuesta.
  4. Del mismo modo, el host, que también conoce la co­n­tra­se­ña, crea el valor hash y, a co­n­ti­nua­ción, lo compara con la respuesta del cliente.
  5. Si ambos valores coinciden, se confirma la au­te­n­ti­ci­dad del cliente y se permite el acceso. Si no hay coin­ci­de­n­cia, se bloquea al cliente.
Imagen: Intercambio entre el cliente y el servidor con autenticación NTLM.
Con NTLM, el cliente debe completar un desafío para poder acceder a los servicios de la red.
Hecho

Para que la co­n­tra­se­ña no se pueda obtener fá­ci­l­me­n­te por terceros no au­to­ri­za­dos cuando se transmite por la red, se utiliza una función hash, un algoritmo ma­te­má­ti­co que convierte la co­n­tra­se­ña en una nueva cadena de ca­ra­c­te­res de longitud fija. Como esta co­n­ve­r­sión no puede re­ve­r­ti­r­se fá­ci­l­me­n­te, las funciones hash de­sem­pe­ñan un papel im­po­r­ta­n­te en la cri­p­to­lo­gía.

En el in­te­r­ca­m­bio entre el cliente y el host, la in­fo­r­ma­ción se transmite pa­r­cia­l­me­n­te en forma de flags NTLM. Se trata de un código con una longitud de 4 bytes. Las ne­go­tia­tion flags, que difieren entre sí solo en un bit, informan sobre el estado del proceso de registro.

Ámbitos de apli­ca­ción del NTLM

El protocolo NTLM se diseñó para conectar varios di­s­po­si­ti­vos Windows entre sí o con un servidor. Este método garantiza la seguridad de este proceso co­m­pro­ba­n­do la au­to­ri­za­ción de acceso de los clientes. Windows utiliza NTLM como pro­ce­di­mie­n­to de inicio de sesión único (SSO, por sus siglas en inglés): los usuarios solo tienen que iniciar sesión una vez para poder acceder a varias apli­ca­cio­nes dentro del dominio.

Ac­tua­l­me­n­te, NTML se ha quedado obsoleto, y Microsoft está optando por Kerberos, un nuevo protocolo de au­te­n­ti­ca­ción mucho más seguro. Sin embargo, NTLM todavía se utiliza, pri­n­ci­pa­l­me­n­te para dar soporte a servicios más antiguos. En el caso de los ad­mi­ni­s­tra­do­res de redes más grandes, conviene evitar el protocolo NTLM a menos que sea es­tri­c­ta­me­n­te necesario. De esta manera, se evita que algún cliente inicie sesión por error y, por lo tanto, surja una brecha de seguridad.

NTLM Protocol: ventajas e in­co­n­ve­nie­n­tes del método

Una de las ventajas de la au­te­n­ti­ca­ción con NTLM es no tener que enviar una co­n­tra­se­ña insegura a través de la red. Las tra­n­s­fe­re­n­cias del cliente al servidor solo se realizan en forma de valor hash, lo que aumenta el nivel de seguridad. Sin embargo, el valor hash tiene la de­s­ve­n­ta­ja de que equivale a una co­n­tra­se­ña en sí: si se in­te­r­ce­p­ta, la seguridad de este sistema puede ponerse en en­tre­di­cho. Asimismo, la co­n­tra­se­ña se cifra con MD4, un pro­ce­di­mie­n­to co­n­si­de­ra­do inseguro ac­tua­l­me­n­te. Estos valores hash pueden de­s­ci­frar­se con re­la­ti­va­me­n­te poco esfuerzo.

Otro in­co­n­ve­nie­n­te es el hecho de que NTLM no utiliza la au­te­n­ti­ca­ción de factor múltiple (MFA, por sus siglas en inglés). Es­pe­cia­l­me­n­te con los datos co­n­fi­de­n­cia­les, conviene im­ple­me­n­tar más de un mecanismo de seguridad. El pro­ce­di­mie­n­to de desafío/respuesta del NTLM solo admite un único método de au­te­n­ti­ca­ción, es decir, por nombre de usuario y co­n­tra­se­ña.

Ir al menú principal