La firma de seguridad Mandiant ha presentado una tabla arcoíris que permite descifrar contraseñas administrativas protegidas por el obsoleto algoritmo de hash NTLMv1 en menos de 12 horas con hardware asequible. La herramienta se dirige al uso persistente de este protocolo vulnerable en redes sensibles. Mandiant espera que impulse a las organizaciones a abandonar la función obsoleta.
Los investigadores de seguridad de Mandiant han introducido un nuevo recurso para resaltar los peligros del algoritmo de hash NTLMv1, obsoleto desde hace tiempo. Lanzada el 16 de enero de 2026, la tabla arcoíris es una base de datos precomputada de valores hash mapeados a contraseñas en texto plano. Permite recuperar credenciales protegidas por Net-NTLMv1 —utilizadas en la autenticación de red para servicios como el uso compartido de archivos SMB— en menos de 12 horas en hardware de consumo que cuesta menos de 600 dólares. La tabla está alojada en Google Cloud y funciona contra contraseñas generadas con el desafío de texto plano conocido 1122334455667788. NTLMv1 se remonta a la década de 1980, introducido con el sistema operativo OS/2 de Microsoft. Sus debilidades fueron expuestas por primera vez en 1999 por el criptoanalista Bruce Schneier y el investigador Mudge. Microsoft abordó estos fallos con NTLMv2 en 1998 mediante Windows NT SP4. A pesar de esto, y de un reciente anuncio en agosto de 2025 para obsoletar NTLMv1, el protocolo persiste en algunos sectores críticos. Industrias como la sanitaria y los sistemas de control industrial a menudo se mantienen con aplicaciones heredadas incompatibles con algoritmos más nuevos, agravado por los costos de migración y la inercia operativa. «Al publicar estas tablas, Mandiant busca reducir la barrera para que los profesionales de seguridad demuestren la inseguridad de Net-NTLMv1», afirmó la firma. Las herramientas de explotación existentes, como Responder, PetitPotam y DFSCoerce, pueden forzar hashes Net-NTLMv1, pero descifrarlos anteriormente requería recursos significativos o servicios de terceros. Los consultores de Mandiant aún encuentran NTLMv1 en entornos activos, dejando a las organizaciones expuestas a robos fáciles de credenciales. La retroalimentación de la comunidad de seguridad ha sido positiva. Un profesional de infosec compartió en Mastodon: «He tenido más de una instancia en mi (admitidamente corta) carrera en infosec donde he tenido que demostrar la debilidad de un sistema y suele implicar dejar una hoja de papel en su escritorio con su contraseña al día siguiente. Estas tablas arcoíris no significarán mucho para los atacantes, ya que probablemente ya las tienen o tienen métodos mucho mejores, pero donde ayudarán es en argumentar que NTLMv1 es inseguro». Mandiant insta a desactivar inmediatamente Net-NTLMv1 y proporciona orientación sobre los pasos de migración. La publicación sirve como llamada de atención para los rezagados, enfatizando que el uso continuado invita a riesgos evitables.
