Se aplica a
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Fecha de publicación original: 30 de septiembre de 2025

KB ID: 5068222

Introducción 

En este artículo se explican las mejoras de seguridad recientes diseñadas para evitar la escalada de privilegios no autorizados durante la autenticación de red, especialmente en escenarios de loopback. Estos riesgos suelen surgir cuando los dispositivos clonados o equipos con identificadores no coincidentes se agregan a un dominio. 

Origen

En los dispositivos Windows unidos a un dominio, el servicio de seguridad de autoridad de seguridad local (LSASS) aplica directivas de seguridad, incluido el filtrado de tokens de autenticación de red. Esto evita que los administradores locales obtengan privilegios elevados a través del acceso remoto. La autenticación Kerberos, aunque sólida, ha sido históricamente vulnerable en escenarios de loopback debido a la verificación incoherente de la identidad de la máquina.

Cambios importantes

Para solucionar estas vulnerabilidades, Microsoft ha introducido identificadores de seguridad de cuenta de equipo persistente (SID). Ahora, el SID sigue siendo coherente en todos los reinicios del sistema, lo que ayuda a mantener una identidad de máquina estable.

Anteriormente, Windows generó un nuevo id. de equipo en cada arranque, lo que permitía a los atacantes evitar la detección de loopback mediante la reutilización de datos de autenticación. Con las actualizaciones de Windows publicadas el 26 de agosto de 2025 y posteriores, el id. de equipo ahora incluye tanto los componentes de arranque como los de arranque cruzado. Esto hace que sea más fácil detectar y bloquear vulnerabilidades, pero puede causar errores de autenticación entre los hosts de Windows clonados, ya que sus identificadores de máquina de arranque cruzado coincidirán y se bloquearán.

Impacto en la seguridad

Esta mejora soluciona directamente las vulnerabilidades de loopback de Kerberos, lo que garantiza que los sistemas rechacen vales de autenticación que no coincidan con la identidad del equipo actual. Esto es especialmente importante en entornos donde los dispositivos se clonan o vuelven a crear una imagen, ya que se puede aprovechar la información de identidad obsoleta para escalar privilegios.

Al validar el SID de la cuenta de máquina contra el SID en el vale de Kerberos, LSASS puede detectar y rechazar vales que no coinciden, lo que refuerza las protecciones del Control de cuentas de usuario (UAC ).

Acciones recomendadas

  • Si tienes problemas como el Id. de evento: 6167 en un dispositivo clonado, usa la Herramienta de preparación del sistema (Sysprep) para generalizar la imagen del dispositivo.

  • Revise las combinaciones de dominios y las prácticas de clonación para alinearlas con estas nuevas mejoras de seguridad.

Conclusión

Estos cambios mejoran la autenticación Kerberos al vincularla a una identidad de máquina persistente y verificable. Las organizaciones se benefician de una protección mejorada contra el acceso no autorizado y la escalada de privilegios, lo que apoya la iniciativa más amplia de Microsoft sobre primera seguridad para reforzar la seguridad basada en identidades en entornos empresariales.

​​​​​​​​​​​​​​

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad