Microsoft está ejecutando una estrategia para mejorar la experiencia en Windows 11. Si bien la mayoría de las correcciones que piden los usuarios se centran en el aspecto visual y de rendimiento, existe otra parte vital que cambiará en el sistema operativo: la seguridad. La compañía dejará atrás uno de los protocolos de autenticación más antiguos de Windows y ya dio el primer paso.

Durante décadas, Windows ha usado NTLM (NT LAN Manager) para verificar la identidad de usuarios y equipos en redes locales. El protocolo funciona, pero tiene vulnerabilidades conocidas y ya no encaja con los estándares de seguridad modernos. Microsoft lleva años intentando retirarlo y hoy confirmó que las próximas versiones de Windows 11 para clientes y servidores desactivarán el NTLM por defecto.

Para cubrir los casos en los que antes era imprescindible, la compañía introdujo dos tecnologías basadas en Kerberos, el protocolo que lleva años señalando como su sucesor. La primera de ellas, conocida como IAKerb, está enfocada a entornos empresariales donde un equipo necesita autenticarse, pero no tiene acceso directo al controlador de dominio. IAKerb permite que el servicio de destino actúe como intermediario en el proceso, resolviendo uno de los principales motivos por los que muchas organizaciones seguían recurriendo a NTLM.

La segunda tecnología es LocalKDC y se enfoca en la autenticación en cuentas locales, es decir, en aquellos equipos que no forman parte de una red corporativa o que funcionan de forma independiente. Ambas soluciones juntas cierran los dos grandes huecos que impedían a muchas empresas y usuarios avanzados dar el salto definitivo. Windows 11 se despide del protocolo de autenticación NTLM Aunque todo indica que el final del protocolo NTLM comienza hoy, lo cierto es que Microsoft lo ha venido retirando desde hace un tiempo.

La tecnológica comenzó fomentando el uso de Kerberos y luego permitió auditorías de configuración en Windows Server 2025. El siguiente paso lógico es desactivar el protocolo por defecto, pero dejarlo disponible para quien lo necesite en casos muy específicos. De acuerdo con Neowin, el primer vistazo a estas novedades llegará a través del canal Canary del programa Windows Insider.

En esa versión preliminar, IAKerb vendrá activado por defecto, mientras que LocalKDC llegará desactivado, aunque ambas opciones se podrán cambiar manualmente desde el Registro de Windows. Con el tiempo, Microsoft tiene previsto incorporar estos ajustes a las herramientas de administración y a las directivas de grupo. Si usas Windows en casa sin configuraciones de red avanzadas, es probable que este cambio no lo notes de forma directa.

El inicio de sesión seguirá funcionando igual, pero con un protocolo más moderno detrás. El objetivo de reemplazar NTLM por Kerberos ayudará a reforzar la protección contra ataques que intentan robar tus contraseñas. Donde sí cambia la cosa es en entornos corporativos donde NTLM aún se usaba por compatibilidad.

En estos casos, los administradores deberán revisar dependencias antes de que la transición llegue a las versiones estables del sistema.