Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad ofensiva

Volcado de credenciales

El volcado de credenciales es la acción de extraer material de inicio de sesión, como hashes de contraseñas o contraseñas en texto plano, desde un sistema comprometido (por ejemplo, desde la memoria de LSASS o la base de datos SAM) para que un atacante pueda autenticarse como un usuario legítimo.

Autor
Unihackers Team
Tiempo de lectura
3 min de lectura
Última actualización

El volcado de credenciales es uno de los movimientos más valiosos en el manual de un atacante, porque convierte una sola máquina comprometida en una llave maestra. En lugar de atravesar más defensas, el atacante simplemente roba las llaves que los usuarios legítimos ya poseen y luego entra por la puerta principal como una cuenta de confianza. Por eso el acceso a credenciales está en el centro de casi toda intrusión seria, ya que cierra la brecha entre un punto de apoyo inicial y el control total de un entorno.

De dónde se roban las credenciales

En un sistema comprometido, el material de inicio de sesión vive en varios lugares predecibles, y cada uno es un objetivo:

  • Memoria de LSASS: el proceso de Windows que cachea las credenciales de los usuarios conectados, incluidos hashes y, a veces, texto plano.
  • Base de datos SAM: el almacén local de hashes de contraseñas de cuentas en un host Windows.
  • Inicios de sesión de dominio en caché y gestores de credenciales: secretos que se guardan para que los usuarios no los reescriban.
  • Archivos de configuración y scripts: contraseñas y tokens incrustados que dejan los administradores.

Una vez extraídos, el atacante puede crackear los hashes sin conexión o, de forma más eficiente, reutilizarlos directamente mediante técnicas como pass-the-hash. MITRE cataloga este comportamiento como OS Credential Dumping (T1003), una de las técnicas más usadas dentro de la táctica de Credential Access.

Cómo encaja en la cadena de ataque

El volcado de credenciales rara vez ocurre de forma aislada. Suele venir después del acceso inicial y de la escalada de privilegios, porque leer LSASS o la base SAM normalmente exige permisos de administrador o de SYSTEM. Con las credenciales recolectadas, el atacante realiza movimiento lateral, saltando de host en host como un usuario legítimo hasta llegar a los controladores de dominio o a los datos sensibles.

Como la técnica es tan común, está mapeada en detalle dentro del marco MITRE ATT&CK, que los equipos de seguridad usan para planificar detecciones y medir su cobertura.

Cómo detectarlo y prevenirlo

En defensa, el objetivo es lograr que un volcado sea difícil de ejecutar e inútil una vez robado:

  • Restringe y supervisa el acceso a LSASS, la base SAM y los almacenes de credenciales.
  • Aplica el mínimo privilegio para que pocas cuentas puedan leer credenciales.
  • Despliega detección en el endpoint que marque herramientas de volcado conocidas y lecturas de memoria.
  • Exige autenticación multifactor para que un hash robado por sí solo no conceda acceso.

Un centro de operaciones de seguridad maduro trata cualquier señal de acceso a credenciales como una pista de alta prioridad, porque atrapar un volcado a tiempo puede frenar una intrusión antes de que se extienda. En el volcado de credenciales, toda la ventaja del atacante es la invisibilidad, así que el defensor que vigila los almacenes de credenciales más de cerca es el que gana.

En el Bootcamp

Cómo enseñamos Volcado de credenciales

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Volcado de credenciales en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 10: Pentesting y Hacking Ético

Temas relacionados que dominarás:MetasploitNmapBurp SuiteEscalada de Privilegios
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido