Skip to content

¿Dónde se almacenan los hashes de contraseñas de usuario en Windows y en Linux, y por qué los atacantes apuntan a esos archivos?

Respuesta breve

En Windows, los hashes de cuentas locales (NTLM) viven en la subárbol SAM en C:\Windows\System32\config\SAM, protegido mientras el SO está en marcha; las credenciales vivas residen en la memoria de LSASS, y los hashes de dominio están en NTDS.dit en un controlador de dominio. En Linux, los hashes están en /etc/shadow (legible solo por root), mientras que /etc/passwd guarda los metadatos de la cuenta. Los atacantes los roban para crackear contraseñas sin conexión o hacer pass-the-hash.

Esta es una pregunta de fundamentos con peso operativo real: saber dónde viven los secretos te dice qué buscarán los atacantes tras ganar un punto de apoyo y qué debes proteger y monitorizar. Los entrevistadores la usan para confirmar que entiendes el robo de credenciales, no que solo memorizas rutas de archivos.

Windows

Los hashes de contraseñas de cuentas locales (almacenados como NTLM) viven en la subárbol de registro SAM en C:\Windows\System32\config\SAM. El archivo está bloqueado y ofuscado mientras Windows está en marcha, pero puede extraerse sin conexión (p. ej. arrancando otro SO) o volcarse con herramientas. Las credenciales vivas —texto plano, tickets y hashes de los usuarios conectados— residen en la memoria del proceso LSASS, por eso herramientas como Mimikatz apuntan a LSASS. En Active Directory, todos los hashes de cuentas de dominio se almacenan en NTDS.dit en los controladores de dominio: las joyas de la corona.

Linux

Linux guardaba históricamente los hashes en /etc/passwd, legible por todos, lo que permitía a cualquiera lanzar cracking sin conexión. Los sistemas modernos movieron los hashes a /etc/shadow, legible solo por root, mientras que /etc/passwd retiene metadatos no secretos (UID, directorio home, shell). Cada entrada de shadow codifica el esquema de hashing (p. ej. $6$ = SHA-512), una sal y el hash, además de campos de envejecimiento de la contraseña.

Por qué los atacantes los quieren

Con los hashes, un atacante puede crackear contraseñas débiles sin conexión con Hashcat/John, o saltarse el cracking y hacer pass-the-hash contra servicios que autentican con NTLM. Por eso volcar SAM/LSASS/NTDS.dit o leer /etc/shadow es un objetivo principal de post-explotación.

Por qué importa

Una buena respuesta nombra SAM, LSASS y NTDS.dit en Windows y /etc/shadow (vs /etc/passwd) en Linux, y los conecta con el cracking sin conexión y pass-the-hash. Puntos extra por las defensas: Credential Guard, protección de LSASS, contraseñas fuertes/largas y mínimo privilegio para que esos archivos nunca sean alcanzables.

Posibles preguntas de seguimiento

  • ¿Por qué se introdujo /etc/shadow si /etc/passwd ya existía?
  • ¿Qué es pass-the-hash y por qué funciona contra NTLM?
  • ¿Cómo protege Credential Guard los secretos residentes en LSASS?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.