Este artículo es un poco confuso, pero básicamente trata sobre el uso de Mimikatz para obtener contraseñas y hashes de Windows. Si alguna vez te has preguntado cómo algunos atacantes o pentesters consiguen obtener credenciales directamente de la memoria, este es el tipo de cosas que hacen. Claro que Windows ha mejorado mucho en el bloqueo de este tipo de cosas, especialmente en versiones más recientes como Windows 11 y Server 2025 con Credential Guard habilitado. Aun así, en configuraciones antiguas o equipos mal configurados, es sorprendentemente fácil obtener contraseñas o hashes si eres administrador.
- Mimikatz: Guía para principiantes
- Volcado de credenciales de usuario desde la memoria LSASS
- Extracción de hashes de contraseñas de un volcado de memoria
- Contraseñas de archivos de hibernación y de máquina virtual
- Wdigest: Contraseñas de texto sin formato
- Hashes de usuario local de SAM
- Ataque de paso de hash
- Obtener contraseñas del Administrador de credenciales
- Volcado de contraseñas al iniciar sesión
- Cómo mantener Windows más seguro contra el volcado de credenciales
MimikatzEs básicamente la navaja suiza de la extracción de credenciales: puede extraer contraseñas, hashes, tickets Kerberos y más de la memoria de Windows. La mayoría de los antivirus lo marcan como malicioso o sospechoso (porque, bueno, se usa a menudo en ataques), por lo que podría ser necesario establecer excepciones o desactivar la seguridad temporalmente. Además, en sistemas Windows más recientes, especialmente con Credential Guard activado, muchos de estos métodos simplemente no funcionan: Windows bloquea activamente el acceso a la memoria de LSASS o lo aísla, lo que dificulta enormemente la extracción de contraseñas. Pero en compilaciones antiguas o configuraciones con poca seguridad, puede ser sorprendentemente sencillo.
Mimikatz: Guía para principiantes
Ejecutar Mimikatz es como abrir un portal de línea de comandos a la información secreta de Windows. Al iniciar mimikatz.exe, se abre una consola interactiva donde se pueden escribir comandos para volcar credenciales. Incluye módulos para extraer contraseñas de LSASS, obtener tickets de Kerberos, extraer credenciales del Administrador de Credenciales de Windows e incluso falsificar Golden Tickets para Kerberos. Asegúrate de ejecutarlo con privilegios de administrador. Para ello, haz clic derecho en el símbolo del sistema o PowerShell, selecciona Ejecutar como administrador y ejecuta mimikatz desde allí. Necesitarás la versión más reciente, normalmente mimikatz_trunk.zip, que contiene el ejecutable.
- sekurlsa : recupera contraseñas, hashes y tickets de lsass.exe
- kerberos : manipula tickets Kerberos y crea Golden Tickets
- bóveda : extrae las credenciales guardadas en el Administrador de credenciales de Windows
- lsadump : extrae hashes de contraseñas y secretos de LSASS y SAM
Algunos comandos básicos para recordar:
privilege::debug: obtiene el token de depuración: es fundamental porque la mayoría de los comandos necesitan este privilegio para acceder a la memoria.sekurlsa::logonpasswords: vuelca las contraseñas/hashes/tickets de los usuarios que han iniciado sesión actualmente.lsadump::sam: obtiene hashes de usuarios locales.kerberos::golden /user:Admin /domain:example.local /sid:S-1-5-21.../krbtgt:<HASH> /ptt:hace un Billete Dorado para la suplantación.
Volcado de credenciales de usuario desde la memoria LSASS
Si obtiene acceso para ejecutar mimikatz como administrador, puede obtener todas las credenciales de usuario iniciadas desde el proceso LSASS; ese es el espacio de memoria que Windows usa para gestionar la información de seguridad. En Windows Server 2016 o similar, normalmente:
- Inicie mimikatz como administrador.
- Ejecutar
privilege::debug: esto otorga el privilegio necesario para ingresar a los procesos del sistema. - Lista de sesiones:
sekurlsa::logonpasswords full— arrojará hashes, contraseñas de texto sin formato, todo lo que esté en la memoria.
En algunos sistemas, es posible que vea todos los hashes y contraseñas NTLM directamente. Es más fácil en Windows antiguos; las versiones más recientes con Credential Guard lo desactivan por defecto. Por ejemplo, si recibe un error como ERROR kuhl_m_sekurlsa_acquireLSA, probablemente se deba a la estricta seguridad de Windows. En algunas configuraciones, es posible que deba volcar la memoria LSASS con herramientas como ProcDump o herramientas especializadas como Nanodump.
Extracción de hashes de contraseñas de un volcado de memoria
Si el anti-cheat o el antivirus bloquean el acceso a la memoria en vivo, es posible que primero tengas que crear un volcado de LSASS.exe. Esto se hace así:
- Abra el Administrador de tareas y busque lsass.exe.
- Haz clic derecho y selecciona » Crear archivo de volcado». El volcado aparecerá en tu carpeta temporal o donde lo guardes.
- Si usas Windows 11 o una versión posterior, ten en cuenta que LSASS podría estar protegido con RunAsPPL. Por lo tanto, para obtener un volcado, es posible que tengas que desactivar primero esa protección (¡uf!, claro, Windows tiene que complicarlo más de lo necesario).
Herramientas como Nanodump o cargar mimicb.dll en el volcado para analizarlo posteriormente. Puedes cargar un volcado en WinDbg y luego cargar las DLL de mimikatz, así:
.load mimilib.dll !process 0 0 lsass.exe.process /r /p FFFFFA80XXXXXXX !mimikatz
Desde allí, ejecute sekurlsa::logonpasswordsel volcado para ver las credenciales. Este método es más complejo, pero eficaz si las protecciones de memoria están activas.
Obtener contraseñas de archivos de hibernación y de máquina virtual
A veces, los volcados de memoria antiguos residían en hiberfil.sys o en archivos de paginación de máquina virtual (.vmem).Con herramientas como WinDbg o convirtiendo archivos de máquina virtual con bin2dmp.exe, se pueden extraer indicios de las contraseñas almacenadas allí. Convertir un archivo vmem:
bin2dmp.exe "vm.vmem" vm.dmp
Luego, cargue ese volcado en WinDbg, busque el proceso lsass.exe y ejecute los comandos mimikatz para extraer las credenciales. Sí, es un proceso bastante avanzado, pero funciona si sospecha que se almacenaron datos en estos archivos.
WDigest: Extracción de contraseñas de texto sin formato
Antes de Windows 8.1, Windows almacenaba contraseñas de texto simple en memoria mediante el protocolo WDigest. Si está habilitado, mimikatz puede extraer esas contraseñas de LSASS. Para comprobar si WDigest está habilitado:
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential
Si se establece en 1, las contraseñas se almacenan en texto sin formato y son accesibles. Para habilitarlo, ejecute:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1
Luego fuerce una actualización de la política de grupo ( gpupdate /force) y espere a que los usuarios inicien sesión. Una vez que wdigest esté habilitado y activo, miminikatz — con sekurlsa::wdigest— puede recuperar contraseñas directamente de la memoria, lo que es un poco peligroso si se usa incorrectamente.
Volcado de hashes de usuarios locales desde SAM
Para obtener hashes de cuentas locales, necesita permisos de administrador. Mimikatz puede extraer hashes NTLM de usuarios locales, incluyendo administradores integrados, volcando la base de datos SAM:
- Privilegio::depuración
- token::elevate — para garantizar los permisos adecuados.
lsadump::sam— para finalmente deshacerse de esos hashes.
O bien, exporte los subárboles de registro SAM y SYSTEM y luego cárguelos en mimikatz de esta manera:
reg save hklm\sam c:\tmp\sam.hiv reg save hklm\security c:\tmp\sec.hiv privilege::debug lsadump::sam c:\tmp\sam.hiv c:\tmp\sec.hiv
Esto es especialmente útil si desea analizar hashes sin conexión o realizar una auditoría de contraseñas.
Realizar ataques de paso de hash
Los hashes volcados se pueden reutilizar para acceder a los sistemas sin necesidad de la contraseña en texto plano. Con el sekurlsa::pthcomando de Mimikatz, se puede suplantar la identidad de un usuario pasando su hash y luego iniciar una sesión o proceso:
privilege::debug sekurlsa::pth /user:Admin /domain:example.com /ntlm:<NTLM_HASH> /run:powershell.exe
Esto abre PowerShell ejecutándose bajo ese contexto de usuario, sin necesidad de conocer la contraseña. Es bastante potente, pero un poco peligroso si se usa incorrectamente.
Volcado de contraseñas desde el Administrador de credenciales de Windows
Las contraseñas guardadas en el Administrador de Credenciales también son válidas.
privilege::debug sekurlsa::credman
Mostrará todas las credenciales almacenadas, incluyendo las contraseñas de escritorios remotos y las credenciales de sitios web. Si gestiona este tipo de información, tenga en cuenta que se almacena en texto plano una vez que se envía aquí, lo que supone un gran riesgo de seguridad.
Volcado de contraseñas al iniciar sesión
Este es un nicho, pero para usuarios internos o maliciosos: al añadir un proveedor SSP adicional con DLL de Mimikatz, las contraseñas de los usuarios se pueden escribir en un archivo de registro al iniciar sesión. Se copia mimilib.dllen C:\Windows\System32, se modifica la configuración del registro y las contraseñas se registran cada vez que alguien inicia sesión.
Para leer el registro:
Get-Content C:\Windows\System32\kiwissp.log
Este es un método astuto, pero definitivamente no es un privilegio de usuario normal: requiere derechos de administrador.
Fortalecer Windows contra el volcado de credenciales
Las versiones modernas de Windows bloquean estas herramientas mucho mejor. Activar Credential Guard, mantener Windows actualizado, desactivar WDigest y desactivar los hashes LM/NTLM son buenas medidas. Además, asegurarse de que la protección LSA esté activada (a través del registro RunAsPPL) ayuda a evitar el volcado de LSASS. Y evite otorgar privilegios de administrador innecesariamente. Porque, en serio, cuantas más personas tengan derechos de administrador, más fácil será ejecutar mimikatz o herramientas similares.
Al final, es como jugar al gato y al ratón en materia de seguridad: quieres proteger tus sistemas, pero es bueno entender cómo los atacantes podrían intentar comprometerlos. En algunas máquinas, esto funciona; en otras, no tanto. Pero saber cómo funciona es la mitad de la batalla.
Resumen
- Ejecutar mimikatz como administrador le permitirá descargar una gran cantidad de información de credenciales, si Windows lo permite.
- Los sistemas más nuevos protegen LSASS bastante bien, por lo que es posible que se produzcan errores o fallas allí.
- Mantenga siempre los sistemas actualizados y seguros contra estas técnicas.
Resumen
Esto es un poco inquietante, pero también resalta la importancia de las buenas prácticas de seguridad. Si estás protegiendo un entorno, asegúrate de tener habilitado Credential Guard, actualizarlo regularmente y usar contraseñas seguras y complejas. Porque una vez que alguien tiene permisos de administrador, prácticamente tiene el control, te guste o no. Esperamos que esto aclare cómo se pueden robar credenciales y qué hacer al respecto.