Microsoft ha anunciado oficialmente que el cifrado RC4 dejará de estar soportado por defecto en Windows a partir de mediados de 2026, poniendo fin a una de las vulnerabilidades más persistentes del ecosistema Windows. Aunque RC4 llevaba décadas considerado inseguro, seguía siendo el algoritmo predeterminado en Active Directory, lo que ha permitido numerosos ataques en entornos corporativos.
¿Qué implica para la ciberseguridad empresarial?
Este cambio supone un hito importante para la seguridad de las organizaciones, especialmente aquellas con infraestructuras heredadas o dependientes de Active Directory.
¿Qué es RC4 y por qué ha sido un problema durante tanto tiempo?
RC4 (Rivest Cipher 4) es un algoritmo de cifrado de flujo creado en 1987. Su rapidez y simplicidad lo convirtieron en un estándar de facto en protocolos como SSL/TLS, WEP y, posteriormente, en Active Directory, donde Microsoft lo adoptó como cifrado predeterminado en el año 2000.
Sin embargo, desde hace más de dos décadas se conocen vulnerabilidades críticas:
- Filtración del algoritmo en 1994
- Ataques como BEAST, capaces de descifrar información
- Debilidades graves con claves cortas o implementaciones incorrectas
- Explotaciones masivas como Kerberoasting, que aprovecha RC4 para robar credenciales Kerberos
A pesar de ello, RC4 ha seguido presente en Windows debido a su integración histórica en Active Directory, lo que ha mantenido expuestos a miles de entornos corporativos.
Ataques reales que evidencian el riesgo
La persistencia de RC4 no ha sido un problema teórico. Ha facilitado ataques de alto impacto, como:
Kerberoasting, una técnica ampliamente utilizada por grupos de ransomware para comprometer redes completas.
El ataque a Ascension, una gran organización sanitaria estadounidense, que afectó a 140 hospitales y expuso los datos de 5,6 millones de pacientes.
La situación llegó a tal punto que un senador estadounidense acusó a Microsoft de “grave negligencia de seguridad” por mantener RC4 activo durante tanto tiempo.
¿Qué cambia ahora?
Microsoft ha confirmado que:
RC4 se desactivará por defecto en Windows Server 2008 y versiones posteriores.
Solo se permitirá AES-SHA1 como algoritmo predeterminado para Kerberos.
RC4 solo podrá activarse manualmente por un administrador, y únicamente en casos excepcionales.
Por primera vez en 25 años, la autenticación en Windows dejará de depender de RC4.
Impacto para las empresas: qué deben revisar los equipos de seguridad
Este cambio afecta directamente a:
Controladores de dominio
Servicios y aplicaciones legacy que dependan de RC4
Integraciones antiguas con Active Directory
Sistemas que utilicen Kerberos con configuraciones heredadas
Para muchas organizaciones, la transición será transparente. Pero en entornos con sistemas antiguos, puede provocar fallos de autenticación si no se revisa previamente.
Recomendaciones desde Infordisa
Para garantizar una transición segura y sin interrupciones, recomendamos:
1. Auditar el uso actual de RC4
Identificar servicios, cuentas o aplicaciones que aún dependan de este cifrado.
2. Actualizar o reemplazar sistemas legacy
Especialmente aquellos que no soporten AES-SHA1.
3. Revisar configuraciones de Kerberos
Asegurar que todos los controladores de dominio y servicios utilizan algoritmos modernos.
4. Monitorizar intentos de Kerberoasting
Aprovechar la retirada de RC4 para reforzar la detección de ataques basados en credenciales.
5. Planificar la transición antes de 2026
No esperar al cambio automático para evitar interrupciones en servicios críticos.
Conclusión
La retirada de RC4 es una decisión tardía, pero necesaria. Supone un avance importante para la seguridad del ecosistema Windows y una oportunidad para que las organizaciones revisen y fortalezcan sus mecanismos de autenticación.
Desde de Infordisa acompañamos a las empresas en este proceso, ayudando a identificar riesgos, actualizar sistemas y garantizar una transición segura hacia estándares criptográficos modernos.
