Uno de los vectores más persistentes y peligrosos es el ataque SMB Relay, una técnica que sigue afectando a empresas de todos los tamaños en 2025. Este tipo de ataque explota vulnerabilidades en los protocolos de autenticación de Windows, especialmente NTLM, para obtener acceso no autorizado a sistemas críticos.
🔍 ¿Qué es un ataque SMB Relay?
El ataque SMB Relay intercepta solicitudes de autenticación NTLM y las retransmite a otro sistema dentro de la red. Esto permite a los atacantes acceder a recursos sin necesidad de conocer la contraseña del usuario. Es una técnica silenciosa, pero devastadora, que aprovecha configuraciones inseguras en redes corporativas1.
⚠️ ¿Por qué sigue siendo relevante en 2025?
A pesar de los avances en ciberseguridad, muchas organizaciones aún utilizan versiones antiguas del protocolo SMB o no han implementado medidas como la firma SMB (SMB Signing). Según un informe de REDTISEG, este tipo de vulnerabilidad sigue presente en múltiples auditorías de seguridad realizadas en sectores como salud, banca e industria 1.
Además, un white paper reciente de Devolutions destaca que el 43% de los ciberataques actuales están dirigidos a PYMES, y que el 60% de ellas no sobreviven más de seis meses después de una brecha grave 2.
🧠 Principales riesgos asociados
Acceso no autorizado a servidores y bases de datos.
Escalada de privilegios dentro de la red.
Instalación de malware o ransomware.
Pérdida de datos confidenciales y daño reputacional.
🛠️ Estrategias de mitigación recomendadas
Para reducir el riesgo de un ataque SMB Relay, te recomendamos:
1. Deshabilitar SMBv1 y forzar el uso de SMBv3 con firma habilitada.
2. Implementar autenticación multifactor (MFA) en todos los accesos críticos.
3. Limitar privilegios de usuario y aplicar el principio de mínimo privilegio.
4. Segmentar la red para evitar movimientos laterales de los atacantes.
5. Realizar pruebas de penetración periódicas y monitoreo continuo.
🤖 El papel de la IA en la defensa y el ataque
La inteligencia artificial está siendo utilizada tanto por defensores como por atacantes. Mientras que las empresas la usan para detectar patrones anómalos, los ciberdelincuentes la emplean para automatizar ataques y evadir controles tradicionales
📌 Conclusión
El ataque SMB Relay no es una amenaza del pasado. En 2025, sigue siendo una técnica efectiva para comprometer redes empresariales, especialmente cuando no se aplican buenas prácticas de seguridad. La clave está en anticiparse, actualizarse y educar a los equipos para enfrentar un panorama de amenazas cada vez más sofisticado.
