Mimikatz: la leyenda entre las herramientas de hacking — cómo funciona, para qué sirve y por qué lo temen todos los administradores de sistemas

Mimikatz: la leyenda entre las herramientas de hacking — cómo funciona, para qué sirve y por qué lo temen todos los administradores de sistemas

En el mundo de la seguridad informática hay cosas que provocan en los profesionales un ligero tic nervioso y, al mismo tiempo, una admiración casi infantil. Una de esas herramientas es Mimikatz. Este pequeño pero muy eficaz proyecto en los últimos diez años se ha convertido en una auténtica leyenda. Su nombre lo conocen administradores de sistemas, hackers y pentesters. Incluso si está alejado del mundo de la ciberseguridad, probablemente lo haya oído aunque sea de pasada. Vamos a analizar qué es esta herramienta, por qué es tan efectiva, cómo funciona y qué pueden hacer quienes no quieren perder todas sus contraseñas de una vez.

Qué es Mimikatz y por qué todo el mundo habla de él

Empecemos por lo esencial. Mimikatz es una utilidad gratuita de código abierto creada por el investigador francés Benjamin Delpy. Inicialmente el proyecto se concibió como una investigación: simplemente para demostrar que las contraseñas en Windows pueden extraerse de la memoria. Luego Mimikatz se convirtió en el juguete preferido de pentesters, equipos Red Team y, lamentablemente, de ciberdelincuentes.

  • El programa permite extraer contraseñas, hashes, PIN y tokens Kerberos de la memoria del proceso lsass.exe —es allí donde Windows almacena temporalmente las credenciales de los usuarios.
  • Se utiliza no solo para auditorías de seguridad, sino también en ataques reales —a menudo en cadenas automatizadas, cuando Mimikatz se ejecuta desde un script después de obtener acceso al sistema.
  • La popularidad de la herramienta es tal que el nombre Mimikatz se ha vuelto un meme: los administradores lo ven regularmente en informes de antivirus y sistemas SIEM, y los atacantes idean continuamente nuevos métodos para eludir las defensas.

Historia de la creación: de la curiosidad a la leyenda

La fecha oficial de nacimiento de Mimikatz se sitúa en 2011. A Benjamin Delpy le picó la curiosidad sobre cuán seguros eran realmente los métodos de almacenamiento de contraseñas en Windows, y decidió comprobarlo en la práctica. El resultado fue sorprendentemente exitoso: una pequeña utilidad que de inmediato llamó la atención de especialistas en seguridad y, después, del resto del mundo.

Es interesante que el autor sigue desarrollando el proyecto en solitario y comparte las versiones recientes en GitHub. El propio Delpy ha subrayado en varias ocasiones que su objetivo no es facilitar la vida a los ciberdelincuentes, sino mostrar a los administradores de sistemas que casi no quedan "secretos" en Windows.

Cómo funciona Mimikatz: magia en dos comandos

Sin entrar en detalles técnicos, el escenario clásico de uso de Mimikatz se desarrolla más o menos así:

  1. El atacante obtiene acceso al sistema (por ejemplo, mediante una vulnerabilidad, ingeniería social o después de una campaña de phishing).
  2. Ejecuta Mimikatz con privilegios de administrador o SYSTEM (de lo contrario la "magia" no funcionará —lsass.exe no permitirá ser manipulado).
  3. Ejecuta comandos como privilege::debug y sekurlsa::logonpasswords.
  4. Obtiene como resultado una lista de cuentas y contraseñas, incluidas algunas en texto claro.

Aquí hay un ejemplo del escenario más simple en la consola: 

privilege::debug
sekurlsa::logonpasswords

Lo único que queda es copiar con cuidado el usuario y la contraseña del administrador y moverse por la infraestructura.

Qué puede hacer Mimikatz además de robar contraseñas

  • Extracción de hashes NTLM y contraseñas en texto claro desde la memoria del proceso lsass.exe
  • Trabajo con Kerberos: extracción e inyección de tickets, ataques tipo Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash
  • Creación y falsificación de certificados (PKI), lo que permite atacar la infraestructura de una empresa
  • Exportación de contraseñas desde el Administrador de credenciales de Windows
  • Recuperación de contraseñas de Wi‑Fi, RDP, VNC y otros protocolos
  • Manipulación de tokens y procesos de seguridad de Windows

Se puede decir que es la navaja suiza para trabajar con secretos de Windows. Por estas capacidades, Mimikatz ha aparecido en varias listas de las herramientas más peligrosas del año según analistas de ciberseguridad.

Escenarios clásicos de uso: cómo Mimikatz se emplea en ataques reales

Si piensa que Mimikatz solo aparece en laboratorios de pruebas o en competiciones CTF, la realidad es mucho más variada. La herramienta se ha usado (y sigue usándose) en ataques contra grandes empresas, bancos y organismos gubernamentales.

  • El ataque NotPetya —el famoso ransomware empleó un módulo basado en Mimikatz para propagarse dentro de redes vía SMB.
  • Cientos de casos reales en los que Mimikatz se ejecutó en equipos de administradores de dominio y, en cuestión de minutos, permitió a los atacantes tomar control del dominio.
  • Especialistas de Red Team y pentesters usan Mimikatz como una herramienta principal para verificar la seguridad de la infraestructura de sus clientes.

La ironía es que muchos incidentes detectados comienzan precisamente con la alerta “Detected: mimikatz.exe”, lo que a menudo desencadena comunicaciones urgentes entre el departamento de TI y el equipo de seguridad.

Práctica: ejemplo de funcionamiento y comandos clave

Veamos cómo se ve en la práctica. Supongamos que tenemos acceso a una máquina con Windows 10. Tras descargar y descomprimir Mimikatz (importante: los antivirus modernos suelen detectar el ejecutable, por lo que es preferible compilarlo desde el código fuente), abrimos la línea de comandos con privilegios de administrador. 

privilege::debug
sekurlsa::logonpasswords

En la pantalla aparecerá una lista extensa donde verá los inicios de sesión de usuarios, sus contraseñas (a veces en texto claro, otras veces solo los hashes), así como tickets Kerberos, certificados y otras "delicias".

Comandos populares:

  • sekurlsa::logonpasswords —extrae contraseñas y hashes desde LSASS
  • sekurlsa::tickets —muestra tickets Kerberos
  • sekurlsa::pth /user:nombre /domain:dominio /ntlm:hash —ataque Pass-the-Hash
  • kerberos::list —lista de tickets Kerberos activos
  • token::list —visualización de tokens de procesos

Si quiere sentirse como un auténtico miembro de Red Team —pruebe diferentes variantes de ataques, pero hágalo solo con fines formativos o con permiso explícito del propietario de la infraestructura.

Por qué Windows sigue siendo vulnerable: análisis de la mecánica

A primera vista parece una falla monstruosa que Microsoft debería haber "cerrado" hace una década. En realidad es más complejo: Windows almacena contraseñas en memoria (especialmente para facilitar Single Sign-On y Kerberos), y LSASS es un componente clave del sistema de seguridad. No es posible eliminarlo, y evitar completamente las filtraciones no es una tarea trivial.

  • Han aparecido protecciones como Credential Guard y Secure Boot —pero funcionan solo en versiones recientes de Windows y no siempre están activadas por defecto.
  • Los administradores aún ejecutan servicios con privilegios elevados, lo que facilita la tarea a los atacantes.
  • No todas las actualizaciones de seguridad se aplican a tiempo, y las contraseñas siguen siendo débiles o se reutilizan entre servicios.

Lo más preocupante es que, para que Mimikatz funcione con éxito, basta con obtener una vez privilegios de administrador locales. El resto es cuestión de técnica y unos minutos.

Métodos de protección: ¿se puede vencer a Mimikatz?

La pregunta clave: ¿qué hacer para dormir tranquilo y no recibir la alerta “Detected: mimikatz.exe” por la noche?

  1. Utilice Credential Guard —es una función integrada en Windows 10/11 y Server 2016+, que aísla LSASS en una región de memoria protegida. No es una solución perfecta, pero dificulta mucho el trabajo a los atacantes.
  2. Minimice los privilegios de los usuarios —no conceda derechos de administrador donde se pueda trabajar con cuentas estándar. No ejecute servicios y aplicaciones con privilegios elevados salvo que sea imprescindible.
  3. Actualice los sistemas puntualmente —muchas técnicas que usa Mimikatz se bloquean con parches de Microsoft. Cuanto más actualizada esté su Windows, más probabilidades de permanecer seguro.
  4. Active el Control de cuentas de usuario (UAC) y utilice contraseñas complejas.
  5. Monitoree la ejecución de procesos sospechosos —sistemas SIEM, antivirus y soluciones EDR pueden detectar patrones de comportamiento característicos de Mimikatz.
  6. No almacene credenciales "doradas" en máquinas de usuario —mantenga las contraseñas de administradores y servicios en equipos separados y protegidos.

Más información sobre herramientas de protección en el sitio de Microsoft: Credential Guard — documentación.

Datos interesantes y reflexiones personales

  • El autor de Mimikatz suele bromear en conferencias que no pretendía convertirse en "el hacker número uno del mundo", sino que conoce bien C y disfruta explorando la arquitectura de Windows.
  • Los desarrolladores de soluciones de protección (antivirus, EDR) publican cada año informes sobre "nuevas versiones" de Mimikatz, pero la esencia permanece —la herramienta sigue viva.
  • En Internet es posible encontrar decenas de forks y versiones reempaquetadas que intentan evadir detecciones cambiando firmas o aplicando ofuscación al código.
  • El programa se utiliza regularmente en competiciones CTF y en entrenamientos de ciberseguridad —es casi una clásica herramienta didáctica.

Como comentario personal, si está empezando en la seguridad de Windows, analizar el código fuente y experimentar con Mimikatz es una excelente manera de mejorar habilidades y entender las "piedras angulares" de la infraestructura corporativa. Lo importante es no excederse en servidores en producción, porque puede convertirse rápidamente en protagonista de una investigación interna.

Conclusiones: Mimikatz no es solo un programa, sino una prueba para la seguridad

La historia de Mimikatz no trata solo de vulnerabilidades de Windows, sino de la eterna lucha entre quienes atacan y quienes defienden. Mientras unos intentan tapar huecos, otros encuentran nuevas formas de sortearlos. Para profesionales de seguridad y administradores de sistemas, esta herramienta funciona como un indicador: si Mimikatz opera con facilidad en su red, hay motivos para preocuparse.

Para el resto de usuarios, es una razón más para revisar hábitos: ¿tiene contraseñas fuertes?, ¿no ejecuta todo con privilegios elevados?, ¿con qué frecuencia actualiza su sistema? El mejor modo de protegerse contra la "magia" de Mimikatz es no darle oportunidad de funcionar.

Y, por último, recuerde: cualquier herramienta es solo eso, una herramienta. En qué manos termine depende de nosotros mismos.

Alt text
article-title

Hacker