Mimikatz explicado: la herramienta de robo de credenciales que los defensores deben conocer

Información clave

Mimikatz sigue siendo una de las principales amenazas en 2026. Ocupa el cuarto puesto en el Informe de detección de amenazas de Red Canary de 2026, ya que ha afectado al 3,1 % de los clientes supervisados, y los grupos de ransomware Play y Akira lo utilizan activamente.
La detección basada únicamente en firmas ya no es suficiente. El 82 % de las detecciones de CrowdStrike en 2026 malware contenían malware, lo que significa que los atacantes eluden habitualmente las firmas basadas en archivos mediante variantes de PowerShell, binarios renombrados y la ejecución en memoria.
La defensa por capas es la única estrategia fiable. Credential Guard, LSA Protection, el refuerzo de WDigest y la detección basada en el comportamiento deben funcionar conjuntamente: ningún control por sí solo detiene todas las vías de ataque de Mimikatz.
Mimikatz se corresponde con 17 MITRE ATT&CK repartidas en cuatro tácticas. Esto lo convierte en una herramienta fundamental para los programas de cumplimiento del NIST CSF y los controles CIS.
La detección basada en el comportamiento y la respuesta a amenazas en tiempo real (ITDR) son el futuro. Las organizaciones que van más allá de las reglas estáticas y adoptan la detección y respuesta a amenazas basadas en la identidad reducen drásticamente el tiempo medio de detección del robo de credenciales.

Cada credencial de su entorno es una posible llave maestra. Mimikatz —la herramienta de código abierto que ha facilitado el robo de credenciales durante más de una década— sigue siendo una de las herramientas de post-explotación más peligrosas que circulan en la red. Más de 50 grupos de amenazas persistentes avanzadas la utilizan, según la entradaMITRE ATT&CK (S0002) en el marco MITRE ATT&CK . El informe DBIR de Verizon de 2025 reveló que las credenciales robadas fueron el vector de acceso inicial en el 22 % de las brechas de seguridad. Para los defensores, comprender Mimikatz no es opcional: es esencial.

¿Qué es Mimikatz?

Mimikatz es una herramienta de código abierto para la extracción de credenciales de Windows creada por el investigador de seguridad francés Benjamin Delpy (gentilkiwi) en 2011 con el fin de demostrar las vulnerabilidades existentes en la forma en que Windows almacena las credenciales de autenticación en la memoria. Aunque en un principio se trataba de una prueba de concepto, rápidamente se convirtió en una de las herramientas de post-explotación más utilizadas tanto por los evaluadores de penetración como por los atacantes de todo el mundo.

El nombre «Mimikatz» combina la jerga francesa «mimi» (lindo) con «katz» (gatos): un nombre aparentemente divertido para una herramienta que ha causado daños por valor de miles de millones de dólares. Mimikatz no es un virus ni malware el sentido tradicional. Se trata de una herramienta de seguridad de doble uso, clasificada por los proveedores de antivirus como HackTool:Win32/Mimikatz debido a la frecuencia con la que los actores maliciosos la utilizan indebidamente. Poseer y utilizar Mimikatz para pruebas de seguridad autorizadas es legal. Utilizarla contra sistemas sin autorización infringe leyes contra el fraude informático, como la CFAA en Estados Unidos y la Ley de Uso Indebido de Ordenadores en el Reino Unido.

Lo que hace que Mimikatz sea tan relevante es su amplia difusión. MITRE ATT&CK más de 50 grupos de amenazas que utilizan Mimikatz como parte de sus operaciones. El Informe de detección de amenazas de Red Canary de 2026 lo sitúa en el cuarto puesto entre las amenazas, ya que afecta al 3,1 % de los clientes supervisados, incluso tras excluir la actividad de las pruebas de equipos rojos.

Por qué Mimikatz sigue siendo importante en 2026

A pesar de tener más de 15 años, Mimikatz es más relevante que nunca. Los avisos de la CISA actualizados en junio de 2025 (ransomware Play) y noviembre de 2025 (ransomware Akira) confirman su uso activo en campañas en curso. El informe DBIR de Verizon de 2025 señala que el 54 % de las víctimas de ransomware tenían credenciales que habían sido expuestas previamente en registros de infostealers, el tipo exacto de material de credenciales que Mimikatz recopila. Benjamin Delpy actualiza continuamente la herramienta para adaptarse a las nuevas características de seguridad de Windows, lo que la mantiene eficaz contra los sistemas operativos modernos, incluidos Windows 10 y Windows 11, cuando las defensas no están configuradas correctamente.

Cómo funciona Mimikatz

Mimikatz se centra en el Servicio del Subsistema de Autoridad de Seguridad Local de Windows (LSASS), el proceso encargado de aplicar las políticas de seguridad y gestionar la autenticación de los usuarios. LSASS almacena las credenciales en la memoria para que los usuarios puedan acceder a los recursos de red sin tener que volver a introducir sus contraseñas. Mimikatz aprovecha este diseño leyendo los datos de las credenciales directamente desde el espacio de memoria del proceso LSASS.

Para acceder a la memoria de LSASS, Mimikatz necesita elevar los privilegios a nivel de administrador o de sistema, concretamente el token SeDebugPrivilege. Una vez elevados los privilegios, la herramienta utiliza tres módulos principales:

sekurlsa — Extrae información de credenciales directamente de la memoria del proceso LSASS, incluyendo hash NTLM, tickets de Kerberos y contraseñas en texto plano WDigest
lsadump — Lee las credenciales de la base de datos SAM, los secretos LSA y los datos de replicación de Active Directory (utilizados en ataques DCSync)
kerberos — Manipula los tickets de Kerberos para llevar a cabo ataques de «golden ticket» y «silver ticket»

Una variante especialmente peligrosa es Invoke-Mimikatz, un script de PowerShell del marco PowerSploit que ejecuta Mimikatz íntegramente en memoria sin escribir en el disco. El informe de Red Canary de 2026 identifica Invoke-Mimikatz con el parámetro -dumpcreds como el método de ejecución más habitual observado. Este enfoque sin archivos elude por completo la detección de firmas basada en archivos, por lo que los defensores que confían exclusivamente en los antivirus se encuentran en una desventaja significativa.

Tipos de credenciales que Mimikatz puede extraer

Diagrama: Flujo de extracción de memoria de LSASS — Mimikatz obtiene el privilegio SeDebugPrivilege, accede al proceso LSASS y, a continuación, extrae hash NTLM, tickets de Kerberos, contraseñas en texto plano de WDigest y claves DPAPI.

‍

Tipo de credencial	Lugar de almacenamiento	Ataque habilitado	Indicador de detección
Hash de NTLM	Memoria de LSASS	Pass-the-hash (`T1550.002`)	ID de evento de Sysmon 10 en lsass.exe
TGT/TGS de Kerberos	Memoria de LSASS	Pasa el billete (`T1550.003`), boleto dorado/plateado	Solicitudes de tickets anómalas (ID de evento 4769)
WDigest en texto sin cifrar	Memoria de LSASS (si está habilitada)	Reutilización directa de credenciales	Valor del registro UseLogonCredential = 1
Base de datos SAM	rama del Registro	Compromiso de una cuenta local	Acceso al Registro al subárbol SAM
Secretos de LSA	Registro/memoria	Compromiso de una cuenta de servicio	Acceso no autorizado al secreto de LSA
Claves DPAPI	Memoria de LSASS	Descifrado de datos protegidos	Patrones de acceso a blobs de DPAPI

Tabla: Tipos de credenciales que Mimikatz puede extraer de la memoria de Windows.

Técnicas de ataque de Mimikatz

Mimikatz permite seis técnicas de ataque principales, que abarcan desde el robo de credenciales hasta la falsificación de tickets y la replicación de dominios. Cada una de ellas se corresponde con identificadores MITRE ATT&CK específicos MITRE ATT&CK , con indicadores de detección propios.

Técnica	N.º de identificación de MITRE	Qué hace	Indicador de detección
Pass-the-hash	`T1550.002`	Utiliza hash NTLM robados para autenticarse sin conocer la contraseña en texto plano	Autenticación NTLM desde equipos no esperados (ID de evento 4624, tipo de inicio de sesión 9)
El billete dorado	`T1558.001`	Falsifica TGT de Kerberos utilizando el hash KRBTGT para obtener acceso ilimitado al dominio	TGT con un período de validez anómalo o emitido por un entidad que no es DC (ID de evento 4769)
Entrada plateada	`T1558.002`	Genera entradas TGS para servicios específicos sin ponerse en contacto con el controlador de dominio	Tiket de servicio sin solicitud previa de TGT
DCSync	`T1003.006`	Replica las credenciales de Active Directory de forma remota mediante el protocolo de replicación de directorios	Solicitudes anómalas de «DS-Replication-Get-Changes» procedentes de un servidor que no es un controlador de dominio (ID de evento 4662)
Pasar por encima del hash	`T1550.002`	Convierte los hash NTLM en tickets Kerberos para eludir las restricciones de NTLM	Solicitud AS-REQ de Kerberos con cifrado RC4 procedente de una fuente inesperada
Pasa el billete	`T1550.003`	Reutiliza tickets de Kerberos robados para suplantar la identidad de los usuarios	El ticket se ha utilizado desde una dirección IP diferente a la de la autenticación original

Tabla: Técnicas de ataque de Mimikatz asignadas al marco MITRE ATT&CK indicadores de detección.

«Pass-the-hash» y «pass-the-ticket»

Un ataque «pass-the-hash» utiliza hash NTLM extraídos para autenticarse en servicios remotos sin necesidad de descifrar la contraseña. El atacante simplemente presenta el hash directamente al protocolo de autenticación. El ataque «pass-the-ticket» funciona de manera similar, pero utiliza tickets de Kerberos robados en lugar de hash NTLM. Ambas técnicas permiten el movimiento lateral por la red y son especialmente peligrosas porque dejan un mínimo de pruebas forenses en comparación con los ataques de fuerza bruta.

Ataques de «billete dorado» y «billete plateado»

El ataque de «golden ticket» es una de las capacidades más devastadoras de Mimikatz. Al extraer el hash de la cuenta KRBTGT —la clave que cifra todos los tickets de concesión de tickets (TGT) de Kerberos en Active Directory—, un atacante puede falsificar TGT que otorgan acceso sin restricciones al dominio a cualquier usuario, incluidos los que no existen. Los «golden tickets» persisten hasta que se restablece la contraseña de KRBTGT dos veces. Los ataques de «silver ticket» son más específicos, ya que falsifican tickets específicos de un servicio utilizando el hash de una cuenta de servicio. Aunque los «silver tickets» tienen un alcance menor, son más difíciles de detectar porque eluden por completo el controlador de dominio.

Ataques DCSync

DCSync es una técnica de Mimikatz especialmente peligrosa (T1003.006) que se hace pasar por un controlador de dominio para solicitar datos de credenciales a través del protocolo de replicación de Active Directory. A diferencia de la extracción de memoria LSASS, DCSync opera de forma remota: el atacante no necesita acceder físicamente al controlador de dominio objetivo. Requiere privilegios DS-Replication-Get-Changes, de los que disponen por defecto los administradores de dominio y las cuentas de controlador de dominio. La detección se basa en la supervisión ID de evento 4662 para las solicitudes de replicación procedentes de fuentes que no sean controladores de dominio. Las organizaciones que utilizan Kerberoasting En las detecciones, DCSync suele considerarse un paso lógico en la cadena de ataque.

Mimikatz en la práctica: ataques reales

Mimikatz ha desempeñado un papel fundamental en algunos de los ciberataques más destructivos de la historia. Según el informe DBIR de Verizon de 2025, el 54 % de las víctimas de ransomware tenían credenciales que habían sido expuestas previamente en registros de programas de robo de información, lo que pone de relieve el impacto real de las herramientas de robo de credenciales.

NotPetya (2017): el ciberataque más devastador de la historia desde el punto de vista económico incorporaba una versión modificada de Mimikatz para la extracción de credenciales y el movimiento lateral a través de WMIC y PsExec, lo que provocó daños por valor de 10 000 millones de dólares o más a nivel mundial.
Ransomware Play (2023-2025): aproximadamente 900 organizaciones afectadas. Los atacantes utilizaron el volcado de LSASS para obtener archivos de volcado de memoria, tras lo cual extrajeron credenciales sin conexión. Aviso de la CISA actualizado en junio de 2025.
Ransomware Akira (2025): combinación de Kerberoasting volcado de LSASS y extracción de credenciales mediante Mimikatz en una secuencia de ataque encadenada. Aviso de la CISA actualizado en noviembre de 2025.
SLOW#TEMPEST (2024-2025) — Combinación de Cobalt Strike Mimikatz «pass-the-hash» a través del modo «restrictedadmin» de RDP, dirigida a organizaciones de Asia Oriental.
APT34/OilRig — El grupo de ciberamenazas iraní utilizó Mimikatz junto con LaZagne en campañas de robo de credenciales dirigidas a infraestructuras del sector energético de Oriente Medio.

Cada uno de estos casos muestra un patrón recurrente. Los atacantes obtienen acceso inicial, amplían sus privilegios, implementan Mimikatz o una variante para recopilar credenciales y, a continuación, se desplazan lateralmente por el entorno. Interrumpir cualquier fase de esta cadena limita el alcance del ataque.

Detección y prevención de Mimikatz

Una defensa eficaz contra Mimikatz requiere controles en varias capas que combinen la supervisión del acceso a LSASS, la detección de amenazas basada en el comportamiento, Credential Guard y la reducción de privilegios. Ninguna solución por sí sola detiene todas las vías de ataque. El informe de Red Canary de 2026 afirma que «los días en que se detectaban herramientas que abusaban de LSASS, como Mimikatz, mediante métodos tradicionales... han quedado muy atrás». La detección de amenazas debe evolucionar en consecuencia.

Ingeniería de detección para Mimikatz

Los equipos de SOC deben dar prioridad a las señales de comportamiento frente a las firmas estáticas. A continuación se presenta una lista de verificación para la detección, organizada por capas de supervisión:

Método de detección	Qué hay que supervisar	Fuente del evento	Notas
Supervisión del acceso a LSASS	Procesos que acceden a lsass.exe con GrantedAccess 0x1010 o 0x1410	ID de evento de Sysmon 10	Señal de alta fidelidad; configurada para herramientas de seguridad fiables
Registro de PowerShell	ScriptBlock que contenga «Invoke-Mimikatz» o «sekurlsa»	Registro de ScriptBlock de PowerShell (ID de evento 4104)	Detecta variantes de ejecución sin archivos
Anomalías de Kerberos	TGT con duraciones inusuales o cifrado RC4	ID de evento de seguridad de Windows 4769	Indica «billete dorado» o «saltar el hash»
Detección de DCSync	Solicitudes de replicación procedentes de direcciones IP que no son de controladores de dominio	ID de evento de seguridad de Windows 4662	Fundamental para la visibilidad de los ataques DCSync
Venta masiva de credenciales	Creación de un archivo de volcado de memoria de LSASS	ID de evento de Sysmon 11 (creación de archivo)	El ransomware Play utiliza esta técnica
Escalada de privilegios	Asignación del token SeDebugPrivilege	ID de evento de seguridad de Windows 4672	Requisito previo para la ejecución estándar de Mimikatz
Movimiento lateral	Autenticación NTLM procedente de fuentes inesperadas	ID de evento de seguridad de Windows 4624 (tipo 9)	Señales de actividad de «pass-the-hash»
Análisis del comportamiento	Patrones anómalos de SMB, linaje de procesos inusual	Plataformas de NDR y UEBA	Detecta variantes que eluden la detección de firmas

Tabla: Lista de verificación para la detección de Mimikatz destinada a los equipos del SOC.

La búsqueda proactiva de amenazas basada en estos indicadores —en lugar de esperar a que se activen las alertas automáticas— mejora considerablemente el tiempo medio de detección. La guía de búsqueda de Splunk sobre LSASS y el análisis de la técnica de memoria LSASS de Red Canary aportan una mayor profundidad técnica a la detección.

Cómo proteger Windows contra el robo de credenciales

Las medidas de prevención reducen la superficie de ataque antes de que Mimikatz pueda ejecutarse:

Habilitar Credential Guard: utiliza la seguridad basada en virtualización (VBS) para aislar las credenciales de LSASS. Microsoft recomienda habilitar Credential Guard con HVCI en todos los sistemas compatibles. Tenga en cuenta que existen técnicas conocidas para eludir esta protección (como NativeBypassCredGuard), por lo que sigue siendo necesario aplicar una defensa por capas.
Habilitar protección LSA (PPL): Protected Process Light restringe los procesos que pueden acceder a la memoria de LSASS, bloqueando la extracción estándar de Mimikatz.
Desactivar la autenticación WDigest — Configura la clave del Registro HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential a 0 para evitar que las contraseñas se almacenen en texto plano.
Aplica el principio del mínimo privilegio: reduce el número de cuentas con privilegios de administrador o de administrador de dominio.
Gestionar las contraseñas de KRBTGT: ante la sospecha de que se haya visto comprometida la cuenta «golden ticket», se debe llevar a cabo un doble restablecimiento de la contraseña de la cuenta KRBTGT como parte de la respuesta al incidente.
Implemente la detección en los puntos finales: aunque Windows Defender detecta los binarios conocidos de Mimikatz (HackTool:Win32/Mimikatz), los atacantes suelen eludir la detección basada en firmas mediante la modificación de binarios, la compilación personalizada y variantes de PowerShell.

Mimikatz, MITRE ATT&CK y el cumplimiento normativo

Mimikatz se corresponde con 17 técnicas repartidas en cuatro MITRE ATT&CK , lo que la convierte en una de las herramientas de más amplia aplicación dentro del marco (S0002). Las organizaciones que utilizan marcos de cumplimiento pueden relacionar estas técnicas directamente con los requisitos de control.

Táctica	Técnica ID	Nombre de la técnica	Enfoque de detección
Acceso con credenciales	`T1003.001`	Memoria de LSASS	ID de evento de Sysmon 10, supervisión del acceso a LSASS
Acceso con credenciales	`T1003.006`	DCSync	ID de evento 4662, análisis del tráfico de replicación
Movimiento lateral	`T1550.002`	Pass-the-Hash	ID de evento 4624, tipo 9: autenticación NTLM inesperada
Acceso con credenciales	`T1558.001`	Billete de oro	ID de evento 4769, duración anómala del TGT

Tabla: MITRE ATT&CK Marco de Ciberseguridad del NIST para las técnicas de Mimikatz.

Estas correspondencias se ajustan a los controles PR.AC-1 (gestión de credenciales), DE.CM-1 (supervisión de redes) y RS.AN-1 (investigación) del Marco de Seguridad Cibernética del NIST. La versión 8 de los controles CIS aborda los riesgos relacionados con Mimikatz a través de los controles 5 (gestión de cuentas), 6 (control de acceso), 8 (registros de auditoría) y 16 (seguridad del software de aplicación).

Enfoques modernos para la defensa contra el robo de credenciales

El sector está dejando atrás la detección de Mimikatz basada en firmas para adoptar enfoques centrados en el comportamiento y la identidad. El Informe sobre amenazas globales de 2026 de CrowdStrike confirma que el 82 % de las detecciones malware incluían malware, y que las operaciones de los atacantes basadas en la inteligencia artificial aumentaron un 89 % con respecto al año anterior. Las reglas estáticas simplemente no pueden seguir el ritmo.

La detección y respuesta de red (NDR) ofrece visibilidad sobre los patrones de movimiento lateral que permite el robo de credenciales. La detección y respuesta ante amenazas de identidad (ITDR) supervisa el comportamiento de autenticación en Active Directory y en los proveedores cloud para detectar ataques de tipo «pass-the-hash», «golden ticket» y DCSync a través de anomalías de comportamiento, en lugar de firmas.

Cómo Vectra AI la detección del robo de credenciales

La solución Attack Signal Intelligence Vectra AI Attack Signal Intelligence las señales de ataques basados en identidades en toda la red moderna, detectando comportamientos de robo de credenciales —como los ataques «pass-the-hash» y «golden ticket»— mediante el análisis de comportamientos, en lugar de firmas. La plataforma ofrece cobertura tanto para Active Directory local como para proveedores cloud , lo que permite a los equipos del SOC detectar y responder a ataques del tipo Mimikatz en tiempo real, reduciendo así el tiempo medio de detección de horas a minutos.

Tendencias futuras y consideraciones emergentes

El panorama del robo de credenciales está evolucionando rápidamente, y se prevén varios avances que redefinirán la forma en que las organizaciones se defienden contra Mimikatz y otras herramientas similares en los próximos 12 a 24 meses.

Los ataques a las credenciales impulsados por la IA se están intensificando. El informe de 2026 de IBM X-Force reveló que los ladrones de información sustrajeron más de 300 000 credenciales de ChatGPT, lo que indica que las cuentas de servicios de IA se están convirtiendo en objetivos de gran valor, al igual que las credenciales tradicionales de Active Directory. A medida que las organizaciones implementan más agentes de IA con acceso privilegiado, la superficie de ataque para las herramientas de robo de credenciales se amplía considerablemente.

El «living-off-the-land» El volcado de credenciales está en aumento. Los atacantes utilizan cada vez más herramientas integradas en Windows, como comsvcs.dll MiniDump y ProcDump (una herramienta legítima de Microsoft Sysinternals), para volcar la memoria de LSASS, evitando así tener que utilizar Mimikatz. Los defensores deben vigilar el comportamiento —los patrones de acceso a LSASS— y no solo la herramienta.

La exposición de credenciales de terceros y de la cadena de suministro se está duplicando. El informe DBIR 2025 de Verizon señala que las filtraciones en las que se vieron implicados socios externos se duplicaron con respecto al año anterior, hasta alcanzar el 30 %. Las herramientas de robo de credenciales implantadas en los entornos de los socios pueden poner en peligro a las organizaciones interconectadas. Esto hace que la arquitectura de confianza cero y la verificación continua de la identidad sean esenciales, y no opcionales.

La presión normativa va en aumento. Marcos como el NIST CSF 2.0 y los requisitos de divulgación de la SEC, en constante evolución, están obligando a las organizaciones a demostrar que cuentan con controles específicos para la protección de credenciales y con capacidades de detección. Documentar MITRE ATT&CK para herramientas como Mimikatz se está convirtiendo en un requisito de cumplimiento normativo, y no solo en una buena práctica.

Las organizaciones deberían dar prioridad a la inversión en capacidades de detección de comportamientos, plataformas ITDR y gestión del acceso privilegiado para adelantarse a estas tendencias.

Conclusión

Mimikatz se ha mantenido como una herramienta dominante para el robo de credenciales durante más de 15 años porque aprovecha características fundamentales del diseño de la autenticación de Windows. Las credenciales almacenadas en la memoria de LSASS —hashes NTLM, tickets de Kerberos y, en ocasiones, contraseñas en texto plano— constituyen la clave para el movimiento lateral, la escalada de privilegios y el control del dominio.

Para defenderse de Mimikatz es necesario pasar de la detección basada en firmas al análisis de comportamiento. Supervise los patrones de acceso de LSASS, active Credential Guard y LSA Protection, desactive WDigest, reduzca el número de cuentas con privilegios e invierta en soluciones de detección de amenazas de identidad que detecten el comportamiento, y no solo el código binario. Las organizaciones que obtienen mejores resultados son aquellas que dan por hecho que han sufrido una intrusión y se centran en localizar a los atacantes que ya se encuentran dentro.

Para descubrir cómo Attack Signal Intelligence los comportamientos de robo de credenciales en su entorno híbrido, visite la Vectra AI o solicite una demostración.

Preguntas frecuentes

¿Es Mimikatz un virus?

No. Mimikatz es una herramienta de seguridad legítima de código abierto, no malware el sentido tradicional. Sin embargo, los proveedores de antivirus la clasifican como HackTool:Win32/Mimikatz porque los atacantes suelen hacer un uso indebido de ella durante los ataques. La distinción es importante. Mimikatz no se autorreplica, no instala puertas traseras por sí sola y no se propaga de forma autónoma. Se trata de una herramienta de doble uso con aplicaciones legítimas en pruebas de penetración autorizadas e investigación en materia de seguridad. Dicho esto, su presencia en un sistema fuera de las pruebas autorizadas debe tratarse como un indicador de compromiso de alta gravedad. Los equipos de seguridad deben configurar la detección de endpoints para que avise de cualquier ejecución de Mimikatz, ya sea en forma de binario o en memoria, independientemente de si la variante específica es malware «conocido». Su naturaleza de doble uso significa que el contexto —quién lo ejecutó, cuándo y con qué autorización— determina si representa una amenaza.

¿Es ilegal Mimikatz?

La posesión, descarga y uso de Mimikatz son legales siempre que se realice en el marco de pruebas de seguridad autorizadas. La herramienta está disponible gratuitamente en GitHub y es ampliamente utilizada por evaluadores de penetración, equipos rojos e investigadores de seguridad de todo el mundo. La legalidad depende totalmente de la autorización. El uso de Mimikatz en sistemas de los que seas propietario o para los que tengas permiso explícito por escrito para realizar pruebas es legal en la mayoría de las jurisdicciones. Utilizarlo contra sistemas sin autorización infringe las leyes contra el fraude informático, incluida la Ley de Fraude y Abuso Informático (CFAA) de Estados Unidos, la Ley de Uso Indebido de Ordenadores del Reino Unido y la legislación equivalente de otros países. Muchas organizaciones incluyen Mimikatz en sus kits de herramientas de pruebas de seguridad autorizadas, y es un componente estándar de marcos como Metasploit y Cobalt Strike.

¿Cuál es la diferencia entre Mimikatz y Meterpreter?

Mimikatz es una herramienta independiente de extracción de credenciales centrada específicamente en la autenticación de Windows, que extrae hash NTLM, tickets de Kerberos y contraseñas en texto plano de la memoria. Meterpreter es una carga útil de propósito general para la fase posterior a la explotación, integrada en el marco Metasploit, que proporciona acceso remoto, manipulación del sistema de archivos, escalada de privilegios y otras capacidades. Ambas herramientas son complementarias, más que competidoras. Mimikatz se puede cargar como módulo dentro de Meterpreter (utilizando el cargar kiwi (comando), lo que permite a los operadores de Metasploit acceder a las funciones de extracción de credenciales de Mimikatz a través de la sesión de Meterpreter. En la práctica, los atacantes suelen utilizar Meterpreter para obtener el acceso inicial tras la explotación y, a continuación, cargan Mimikatz específicamente cuando necesitan recopilar credenciales para el movimiento lateral.

‍

¿Funciona Mimikatz en Windows 10 y Windows 11?

Sí. Mimikatz es actualizado continuamente por su autor y funciona en las versiones modernas de Windows, incluidas Windows 10 y Windows 11. Sin embargo, Microsoft ha elevado considerablemente el nivel de seguridad con funciones como Credential Guard, LSA Protection (PPL) e Hypervisor-Protected Code Integrity (HVCI). Cuando estas funciones están correctamente configuradas y habilitadas, limitan sustancialmente la eficacia de Mimikatz. La clave está en «correctamente configuradas». Muchas organizaciones no han habilitado Credential Guard ni la protección LSA, lo que deja sus sistemas vulnerables a las técnicas de extracción estándar de Mimikatz. Además, existen técnicas conocidas para eludir incluso las implementaciones de Credential Guard, lo que refuerza la necesidad de una defensa por capas en lugar de confiar en un único control.

¿Qué alternativas hay a Mimikatz?

Existen varias herramientas de extracción de credenciales que cumplen funciones similares, aunque con distintos perfiles de detección. LaZagne es una herramienta multiplataforma basada en Python que extrae credenciales de navegadores, clientes de correo electrónico y los almacenes del sistema operativo. Pypykatz es una implementación en Python puro de Mimikatz que se ejecuta sin necesidad de compilar binarios específicos de Windows. Dumpert utiliza llamadas directas al sistema para volcar la memoria de LSASS, eludiendo los mecanismos de supervisión a nivel de API. ProcDump es una herramienta legítima de Microsoft Sysinternals que los atacantes utilizan con frecuencia de forma indebida para crear volcados de memoria LSASS. La técnica comsvcs.dll MiniDump es un enfoque «living-off-the-land» que utiliza componentes integrados de Windows. Cada alternativa tiene características de seguridad operativa (OPSEC) diferentes, y los defensores deben tener en cuenta todo el ecosistema de herramientas de volcado de credenciales, no solo Mimikatz en sí.

¿Qué es Invoke-Mimikatz?

Invoke-Mimikatz es un script de PowerShell que forma parte del marco PowerSploit. Ejecuta Mimikatz íntegramente en memoria sin escribir ningún archivo en el disco, lo que hace que sea mucho más difícil de detectar que el ejecutable independiente. El Informe de detección de amenazas de 2026 de Red Canary identifica Invoke-Mimikatz con el parámetro -dumpcreds como el método de ejecución de Mimikatz más común observado en ataques reales. Dado que se ejecuta en memoria, las firmas antivirus tradicionales basadas en archivos no lo detectan. La detección requiere el registro de ScriptBlock de PowerShell (ID de evento 4104), la integración de AMSI (Antimalware Scan Interface) y la supervisión del comportamiento de los patrones de acceso de LSASS. Las organizaciones deben asegurarse de que el registro de PowerShell esté habilitado a nivel de ScriptBlock y de que las herramientas de seguridad puedan inspeccionar la ejecución de PowerShell en memoria.

¿Puede Windows Defender detectar Mimikatz?

Sí, Windows Defender detecta los binarios conocidos de Mimikatz y los marca como HackTool:Win32/Mimikatz. En el caso del ejecutable Mimikatz estándar y sin modificar, Windows Defender ofrece una detección fiable. Sin embargo, los atacantes eluden habitualmente la detección basada en firmas mediante diversas técnicas, entre las que se incluyen la modificación de binarios, la compilación personalizada a partir del código fuente, la ejecución basada en PowerShell (Invoke-Mimikatz), los ejecutables renombrados y la inyección de DLL reflectiva. El informe de Red Canary de 2026 destaca que los métodos de detección tradicionales para herramientas que abusan de LSASS están «muy por detrás» de las capacidades actuales de los atacantes. Esto no significa que Windows Defender sea inútil: detecta ataques poco sofisticados y scripts automatizados. Pero las organizaciones no deben confiar en él como su única defensa contra Mimikatz. La detección basada en el comportamiento, que supervisa los patrones de acceso a LSASS independientemente de la herramienta que los active, ofrece una cobertura mucho más fiable.