Abelardo González
Editor - TechMicrosoft está preparando uno de los adiós más sorprendentes de su ecosistema, ya que se despedirá de un estándar que lleva utilizando desde 1987. La firma norteamericana ha puesto punto y final a la despedida de RC4, un cifrado tan viejo como frágil que Windows mantuvo habilitado por defecto durante décadas. A pesar de ello, este lleva años sin gozar de la simpatía de los usuarios, dado que se convirtió en una buena puerta de entrada para los atacantes.
La historia del estándar RC4
Active Directory, por ejemplo, nació en el año 2000 y utilizó RC4 como vía principal para asegurar la autenticación administrativa. Por desgracia, este es solo un ejemplo de un diseño que envejeció mal cuando sus debilidades se hicieron evidentes. Tras ser creado en 1987, RC4 vivió su momento más bajo en 1994 cuando se filtró su algoritmo y dio pie a la aparición de ataques que erosionaron de forma rápida la confianza de empresas y usuarios. A pesar de ello, siguió incrustado tanto en protocolos como en sistemas durante años.
Con el paso del tiempo, Active Directory contó con soporte AES, pero Windows Server siempre conservó por defecto la "marcha atrás" hacia RC4: si alguien pedía este estándar, el servidor respondía con RC4 y esto provocaba la apertura de una puerta innecesaria. Así, este "fallback" se convirtió en un atajo para comprometer redes empresariales, motivo por el que RC4 siempre aparece señalado como pieza útil en intrusiones graves. De hecho, los atacantes lo utilizan para escalar control dentro del entorno Windows.
El caso Ascension, por ejemplo, ejemplifica a la perfección el impacto de esta práctica: una brecha vinculada a vectores provocó interrupciones peligrosas en 140 hospitales y expuso historiales médicos de 5,6 millones de pacientes. A raíz de esto, la presión pública llevó a Ron Wyden (senador estadounidense) a investigar a Microsoft por negligencia grave en ciberseguridad, ya que consideró que mantener RC4 por defecto pese a su historial era una práctica dañina.
Microsoft, consciente de todos los fallos y ataques que han sufrido sus usuarios en los últimos 31 años, señaló que mediados de 2026 será la fecha en la que todo cambiará. En este punto, los controladores de dominio actualizarán los valores por defecto del KDC para permitir solo AES-SHA1, razón por la que RC4 permanecerá deshabilitado salvo configuración explícita. Así, el problema real no es que exista RC3, sino cómo se utiliza el mismo.
Los últimos 20 años de avance informático, marcados tanto por las reglas como por las compatibilidades, han puesto fin a la vida de RC4. Así, no es fácil matar un estándar heredado, ya que esto puede romper sistemas invisibles. Sin embargo, Microsoft se ha puesto mano a la obra y ha ordenado registros del KDC y scripts de PowerShell para detectar dependencias. En esencia, la meta es localizar legados que aún autentican solo con RC4 antes del corte, una iniciativa que les ayudará a paliar la despedida de un cifrado obsoleto que ha causado décadas de estragos.
Imagen principal de Clint Patterson (Unsplash)
En 3DJuegos | Bill Gates y un desarrollador de Windows llevan "peleando" desde 1991 por una cuestión absurda: el significado de Windows NT
En 3DJuegos | El botón del pánico de Windows 10 y 11 te ayuda a reiniciar tu PC sin hacer preguntas
Ver 0 comentarios