Microsoft prepara un cambio importante en la seguridad de Windows 11: uno de los mecanismos de autenticación más veteranos quedará relegado. La compañía ya comenzó a dar pasos concretos para que las máquinas y las redes adopten alternativas modernas, con la intención de reducir riesgos y actualizar compatibilidades en entornos corporativos y domésticos.
La sustitución no es solo estética o de rendimiento; afecta al modo en que usuarios y equipos demuestran su identidad en la red. Este movimiento implica nuevas herramientas basadas en Kerberos y un plan de despliegue que arrancará por las versiones de prueba del sistema.
Nueva hoja de ruta: NTLM se desactivará por defecto en futuras builds
NTLM, el protocolo conocido como NT LAN Manager, ha sido parte del ecosistema Windows durante décadas. Aunque sigue funcionando, su diseño muestra debilidades frente a técnicas de ataque actuales. Por eso, Microsoft está trabajando para que las próximas ediciones de Windows 11 para clientes y servidores lo tengan desactivado por defecto, manteniendo la posibilidad de reactivarlo en casos excepcionales.
La transición no será abrupta: desde hace años la compañía promociona Kerberos como sustituto y ha ido incorporando herramientas de diagnóstico y auditoría en versiones previas de Windows Server. Ahora el siguiente paso es establecer un comportamiento por defecto más seguro, pero conservando opciones de compatibilidad para escenarios específicos.
Las alternativas: IAKerb y LocalKDC, cómo funcionan
Para cubrir las situaciones donde NTLM todavía era necesario, Microsoft presentó dos tecnologías que aprovechan Kerberos. Ambas buscan cerrar los huecos que impedían a muchas organizaciones dejar NTLM atrás.
IAKerb: puente para equipos sin acceso directo al controlador de dominio
- Qué hace: permite que el servicio de destino actúe como mediador en la autenticación cuando el equipo que solicita el acceso no puede comunicarse con el controlador de dominio.
- Por qué importa: resuelve uno de los escenarios más frecuentes por los que las empresas seguían usando NTLM: dispositivos aislados que igual necesitan autenticarse contra recursos corporativos.
LocalKDC: autenticación segura en cuentas locales y máquinas independientes
- Qué hace: provee un servicio de KDC (Key Distribution Center) local para equipos que no forman parte de un dominio, permitiendo respaldar la autenticación con Kerberos en entornos aislados.
- Por qué importa: cubre los casos de equipos domésticos o estaciones fuera de la red corporativa, evitando que se dependa de NTLM en escenarios offline.
Calendario y llegada a los usuarios: Insider Canary y opciones configurables
Los primeros indicios visibles de estos cambios aparecerán en el canal Canary del programa Windows Insider. En esa rama de pruebas, Microsoft planea activar por defecto IAKerb, mientras que LocalKDC llegará inicialmente desactivado. Ambos comportamientos, eso sí, podrán modificarse manualmente desde el Registro de Windows.
Con el tiempo, la empresa pretende trasladar estos controles a las herramientas de gestión y a las políticas de grupo, facilitando a administradores la adopción centralizada de las nuevas opciones y reduciendo la necesidad de editar claves de Registro a mano.
Impacto para usuarios domésticos y empresas: diferencias esenciales
Para usuarios que utilizan Windows en entornos domésticos sin configuraciones de red avanzadas, la transición será prácticamente invisible: el proceso de inicio de sesión seguirá siendo familiar, solo que con un protocolo más actualizado en segundo plano. El objetivo principal es mitigar riesgos como el robo de credenciales, episodio en el que NTLM ha mostrado vulnerabilidades en escenarios concretos.
- Usuarios particulares: cambio transparente, mayor protección sin pasos adicionales.
- Pequeñas y medianas empresas: deben revisar aplicaciones y dependencias que requieran NTLM para evitar interrupciones.
- Grandes corporaciones: será necesario auditar servicios, impresoras de red, aplicaciones legacy y cualquier sistema que todavía dependa del protocolo antiguo.
Qué deben hacer los administradores antes de la migración
Los responsables de redes y seguridad tendrán que planificar la transición para evitar sorpresas cuando la desactivación por defecto llegue a las versiones estables. Estas son algunas recomendaciones prácticas:
- Inventariar servicios y aplicaciones que usan NTLM.
- Probar IAKerb y LocalKDC en entornos de laboratorio antes de desplegar cambios en producción.
- Actualizar documentación y políticas de autenticación para reflejar el uso de Kerberos.
- Preparar planes de contingencia que permitan reactivar NTLM rápidamente si aparece una incompatibilidad crítica.
Motivos técnicos detrás del cambio y riesgos mitigados
NTLM fue concebido en otra era de la informática; sus esquemas criptográficos y flujos de autenticación son menos eficaces frente a métodos de intrusión modernos. Al favorecer Kerberos y añadir capas que solucionan limitaciones prácticas (como la falta de contacto con el controlador de dominio), Microsoft busca reducir la superficie de ataque y hacer las redes más resilientes.
El cambio también encaja con normas y buenas prácticas de seguridad que exigen protocolos más robustos para proteger credenciales y sesiones. En la práctica, eso significa menos vectores explotables por actores maliciosos y una postura de seguridad más alineada con el panorama actual.
Qué esperar en las próximas semanas y señales a vigilar
Los usuarios y administradores verán las primeras opciones en las compilaciones de Windows Insider Canary. Será importante seguir las notas de versión y la documentación técnica que Microsoft publique, así como las pruebas de terceros que confirmen interoperabilidad con hardware y software existentes. A medida que estos cambios progresen hacia canales Beta y Release Preview, las herramientas administrativas recibirán controles más accesibles para ajustar la configuración sin tocar el Registro.
Artículos similares
- Windows no inicia tras la última actualización: reportan fallos y reinicios
- Activar Windows sin conexión ya no será posible: Microsoft elimina último truco
- Windows 11 permitirá elegir navegador y buscador distintos a Edge y Bing
- Windows 11 se prepara para eliminar una característica polémica en próxima actualización
- Windows 10: instala este parche ahora para recibir actualizaciones gratis
Tomás Villalba es un periodista especializado en ciencia y tecnología. Sus artículos destacan la inteligencia artificial, el espacio, la robótica y las innovaciones digitales que están transformando el mundo. Con un estilo claro y preciso, ayuda a los lectores a comprender los avances que influyen en su vida diaria.
