Microsoft da el paso y eliminará el cifrado que tantos problemas ha provocado durante décadas

En el año 2000, Microsoft lanzó Active Directory, que es una base de datos y un conjunto de servicios que conectan a los usuarios con los recursos de red que necesitan para realizar su trabajo. Contiene información crítica sobre su entorno, incluidos los usuarios y los ordenadores que hay, así como quién puede hacer qué. Por ejemplo, la base de datos puede contener un listado de 100 cuentas de usuario que detalla con precisión la información de cada uno, como el puesto de trabajo o número de teléfono, así como la contraseña.

Microsoft convirtió Rivest Cipher 4 (abreviado como RC4) en el único medio para proteger Active Directory. RC4 es un algoritmo de cifrado simétrico que se utiliza para convertir datos legibles en datos cifrados mediante una clave compartida. Durante años fue uno de los más usados en Internet por su velocidad y simplicidad.

Fue muy popular en navegadores web, redes Wi-Fi y protocolos SSL/TLS. Sin embargo, la tecnología evoluciona, y con el tiempo se descubrió que RC4 tenía fallos en su diseño, por lo que a día de hoy es considerado como un algoritmo inseguro, habitualmente reemplazado por algoritmos más robustos como AES. Varias décadas después, Microsoft ha decidido eliminarlo por completo.

RC4 lleva disponible en Windows desde hace más de 20 años

Microsoft ha actualizado finalmente Active Directory para admitir el estándar de cifrado AES, que es mucho más seguro. Sin embargo, por defecto, los servidores de Windows han seguido respondiendo a las solicitudes de autenticación basadas en RC4 y devolviendo una respuesta basada en RC4. Este respaldo ha sido una debilidad predilecta que los hackers han explotado para comprometer las redes empresariales.

El gigante tecnológico anunció la semana pasada que dejaría de usar RC4, citando su susceptibilidad a Kerberoasting, la forma de ataque conocida desde 2014, que fue la causa principal de la intrusión inicial en la red del grupo sanitario Ascension el año pasado, provocando interrupciones potencialmente mortales en 140 hospitales y comprometiendo los historiales médicos de 5,6 millones de pacientes.

Matthew Palko, gerente principal de programas de Microsoft, escribió: "a mediados de 2026, actualizaremos la configuración predeterminada del controlador de dominio para el Centro de Distribución de Claves Kerberos (KDC) en Windows Server 2008 y versiones posteriores para permitir únicamente el cifrado AES-SHA1. RC4 estará deshabilitado de forma predeterminada y solo se usará si un administrador de dominio configura explícitamente una cuenta o el KDC para su uso".

AES-SHA1 lleva estando disponible en todas las versiones compatibles de Windows desde el lanzamiento de Windows Server en 2008. Es considerado uno de los algoritmos más seguros. Tras el próximo cambio, la autenticación RC4 dejará de funcionar a menos que los administradores realicen el trabajo adicional necesario para habilitarla.

Por otro lado, Microsoft también está introduciendo nuevos scripts de PowerShell para examinar los registros de eventos de seguridad y detectar más fácilmente el uso problemático de RC4. Microsoft afirma que ha trabajado constantemente durante la última década para discontinuar RC4, pero que la tarea no fue fácil. Los administradores de Windows deberían auditar sus redes para detectar cualquier uso de RC4.