Marcos Merino
EditorDurante más de dos décadas, uno de los teóricos pilares de la seguridad en Windows ha sido, paradójicamente, una de sus mayores debilidades: el algoritmo de cifrado RC4 (Rivest Cipher 4), diseñado en 1987 y adoptado masivamente en los años noventa, ha permanecido activo en el corazón del sistema de autenticación de Windows hasta nuestros días.
Sin embargo, Microsoft ha confirmado finalmente que RC4 será desactivado por defecto en Windows a mediados de 2026, cerrando un capítulo de 25 años marcado por las vulnerabilidades.
Este movimiento, largamente esperado (y demandado) por la comunidad de seguridad, supone la retirada de un algoritmo obsoleto, pero también es un buen ejemplo de las complejidades técnicas y organizativas que impiden 'matar' tecnologías inseguras cuando están profundamente integradas en infraestructuras críticas.
Un algoritmo rápido… y peligrosamente frágil
RC4 (Rivest Cipher 4) fue diseñado en 1987 por Ron Rivest, uno de los criptógrafos más influyentes del siglo XX. Su popularidad inicial se debió a su simplicidad y velocidad, lo que lo llevó a ser ampliamente adoptado en protocolos como WEP, SSL/TLS y, posteriormente, en sistemas de autenticación de Microsoft.
Pero los problemas no tardaron en aparecer. Ya en la década de los noventa, investigadores comenzaron a advertir que RC4 presentaba debilidades estructurales graves, especialmente cuando se utilizaba con claves débiles o sin mecanismos de refuerzo criptográfico. A pesar de ello, en el año 2000 Microsoft lanzó Active Directory con RC4 como cifrado por defecto, una decisión que marcaría la seguridad de Windows durante décadas.
Una tecnología obsoleta… tolerada durante demasiado tiempo
La comunidad de seguridad llevaba años pidiendo la retirada definitiva de RC4. En 2013, Microsoft ya recomendó deshabilitarlo en entornos web. En 2015, el IETF lo prohibió oficialmente en TLS mediante el RFC 7465, ni siquiera como opción de respaldo. Sin embargo, Windows siguió soportándolo en la autenticación de dominio.
El retraso no solo provocó críticas técnicas. En 2024, el senador estadounidense Ron Wyden llegó a acusar a Microsoft de "grave negligencia de seguridad", afirmando que mantener RC4 suponía un riesgo para la seguridad nacional.
Kerberoasting: cuando la teoría se convirtió en crisis real
Uno de los ataques más graves asociados a RC4 es Kerberoasting, una técnica que permite a los atacantes solicitar tickets de servicio Kerberos y crackearlos offline hasta obtener credenciales válidas. Este ataque se ve facilitado por una combinación letal:
Como consecuencia de ello, en los últimos años, múltiples organizaciones han sufrido brechas de seguridad con graves consecuencias: uno de los casos más graves fue el ataque a Ascension, una red hospitalaria estadounidense que vio comprometidos los datos médicos de 5,6 millones de pacientes, afectando a más de 140 hospitales.
¿Por qué ha sido tan difícil eliminar RC4?
Microsoft reconoce que el problema no era únicamente el algoritmo, sino cómo se seleccionaba dentro de un sistema operativo con más de 20 años de evolución. Steve Syfuhs, responsable del equipo de Autenticación de Windows, explicó que RC4 estaba profundamente integrado en reglas heredadas que afectaban a la compatibilidad e interoperabilidad del sistema.
Eliminarlo requería, de hecho, cambios 'quirúrgicos' para evitar romper entornos empresariales complejos. Durante la última década, Microsoft introdujo mejoras graduales que priorizaban AES, logrando que el uso de RC4 decayera hasta volverse prácticamente residual. Solo entonces fue viable anunciar su eliminación definitiva.
Qué cambiará a partir de 2026
A mediados de 2026, Microsoft actualizará los valores predeterminados del KDC (Key Distribution Center) en Windows Server 2008 y posteriores, permitiendo únicamente AES-SHA1 para Kerberos. RC4 quedará desactivado por defecto y solo podrá usarse si un administrador lo habilita de manera explícita.
Microsoft ha enfatizado que la autenticación segura de Windows no necesita RC4, ya que AES-SHA1 está disponible en todas las versiones compatibles desde hace más de una década. Además, ha incorporado nuevas herramientas de auditoría, registros de eventos ampliados y scripts de PowerShell para detectar y eliminar dependencias residuales .
