Microsoft ha anunciat oficialment que el xifrat RC4 deixarà d'estar suportat per defecte a Windows a partir de mitjans de 2026, posant fi a una de les vulnerabilitats més persistents de l'ecosistema Windows. Tot i que RC4 feia dècades que estava considerat insegur, seguia sent l'algorisme predeterminat a Active Directory, cosa que ha permès nombrosos atacs en entorns corporatius.
Què implica per a la ciberseguretat empresarial?
Aquest canvi suposa una fita important per a la seguretat de les organitzacions, especialment aquelles amb infraestructures heretades o dependents d'Active Directory.
Què és RC4 i per què ha estat un problema durant tant de temps?
RC4 (Rivest Cipher 4) és un algorisme de xifratge de flux creat el 1987. La seva rapidesa i simplicitat el van convertir en un estàndard de facto en protocols com SSL/TLS, WEP i, posteriorment, a Active Directory, on Microsoft ho va adoptar com a xifrat predeterminat l'any 2000.
Tot i això, des de fa més de dues dècades es coneixen vulnerabilitats crítiques:
- Filtració de l'algorisme el 1994
- Atacs com BEAST, capaços de desxifrar informació
- Debilitats greus amb claus curtes o implementacions incorrectes
- Explotacions massives com Kerberoasting, que aprofita RC4 per robar credencials Kerberos
Tot i això, RC4 ha seguit present a Windows a causa de la seva integració històrica a Active Directory, cosa que ha mantingut exposats a milers d'entorns corporatius.
Atacs reals que evidencien el risc
La persistència de RC4 no ha estat un problema teòric. Ha facilitat atacs d'alt impacte, com ara:
Kerberoasting, una tècnica àmpliament utilitzada per grups de ransomware per comprometre xarxes completes.
L'atac a Ascensió, una gran organització sanitària nord-americana, que va afectar 140 hospitals i va exposar les dades de 5,6 milions de pacients.
La situació va arribar al punt que un senador nord-americà va acusar Microsoft de “greu negligència de seguretat” per mantenir RC4 actiu durant tant de temps.
Què canvia ara?
Microsoft ha confirmat que:
RC4 es desactivarà per defecte al Windows Server 2008 i versions posteriors.
Només es permetrà AES-SHA1 com a algorisme predeterminat per a Kerberos.
RC4 només podrà activar-lo manualment per un administrador, i únicament en casos excepcionals.
Per primera vegada en 25 anys, la autenticació a Windows deixarà de dependre de RC4.
Impacte per a les empreses: què han de revisar els equips de seguretat
Aquest canvi afecta directament a:
Controladors de domini
Serveis i aplicacions legacy que depenguin de RC4
Integracions antigues amb Active Directory
Sistemes que utilitzin Kerberos amb configuracions heretades
Per a moltes organitzacions, la transició serà transparent. Però en entorns amb sistemes antics, podeu provocar errors d'autenticació si no es revisa prèviament.
Recomanacions des d'Infordisa
Per garantir una transició segura i sense interrupcions, recomanem:
1. Auditar l'ús actual de RC4
Identificar serveis, comptes o aplicacions que encara en depenguin xifrat.
2. Actualitzar o reemplaçar sistemes legacy
Especialment aquells que no suportin AES-SHA1.
3. Revisar configuracions de Kerberos
Assegurar que tots els controladors de domini i serveis utilitzen algorismes moderns.
4. Monitoritzar intents de Kerberoasting
Aprofitar la retirada de RC4 per reforçar la detecció d'atacs basats en credencials.
5. Planificar la transició abans del 2026
No esperar el canvi automàtic per evitar interrupcions en serveis crítics.
Conclusió
La retirada de RC4 és una decisió tardana, però necessària. Suposa un avenç important per a la seguretat de l'ecosistema Windows i una oportunitat perquè les organitzacions revisin i enforteixin els mecanismes d'autenticació.
Des de Infordisa acompanyem les empreses en aquest procés, ajudant a identificar riscos, actualitzar sistemes i garantir una transició segura cap a estàndards criptogràfics moderns.
