Microsoft desactivará el cifrado de encriptación RC4 obsoleto en Windows Active Directory a mediados de 2026, abordando décadas de vulnerabilidades de seguridad. Esta medida sigue a las críticas por su papel en grandes ciberataques, incluido el breach de Ascension del año pasado que afectó a 140 hospitales. Los administradores deben ahora auditar las redes en busca de usos persistentes de RC4.
Microsoft ha soportado el débil cifrado RC4 por defecto en Windows durante 26 años, desde la introducción de Active Directory en 2000. RC4, desarrollado por Ron Rivest en 1987, enfrentó un importante ataque criptográfico poco después de su filtración en 1994, pero persistió en protocolos como SSL y TLS hasta hace aproximadamente una década.
A pesar de actualizarse al estándar seguro AES, los servidores Windows continuaron recurriendo a RC4 para solicitudes de autenticación, permitiendo ataques como Kerberoasting, conocido desde 2014. Esta vulnerabilidad contribuyó al breach en Ascension Health, que interrumpió servicios en 140 hospitales y expuso los registros de 5,6 millones de pacientes.
En septiembre, el senador estadounidense Ron Wyden instó a la Comisión Federal de Comercio a investigar a Microsoft por «negligencia grave en ciberseguridad» debido al soporte continuo de RC4.
La semana pasada, Microsoft anunció la depreciación de RC4. «A mediados de 2026, actualizaremos los valores predeterminados del controlador de dominio para el Centro de Distribución de Claves Kerberos (KDC) en Windows Server 2008 y posteriores para permitir solo encriptación AES-SHA1», escribió el gerente principal de programas Matthew Palko. «RC4 se desactivará por defecto y solo se usará si un administrador de dominio configura explícitamente una cuenta o el KDC para usarlo».
AES-SHA1, disponible desde Windows Server 2008, utiliza hash iterado y sal, lo que lo hace aproximadamente 1.000 veces más difícil de crackear que la implementación MD4 de una sola ronda y sin sal de RC4.
Para ayudar en la transición, Microsoft ofrece registros actualizados del KDC y scripts de PowerShell para detectar el uso de RC4, crucial para sistemas heredados de terceros. Steve Syfuhs, del equipo de Autenticación de Windows de Microsoft, señaló en Bluesky los desafíos: «El problema es que es difícil eliminar un algoritmo criptográfico presente en todos los SO enviados en los últimos 25 años».
En la última década, Microsoft redujo significativamente el uso de RC4 mediante cambios incrementales, llevándolo a casi cero sin roturas generalizadas.