– MICROSOFT
MADRID, 16 Dic. (CIBERPRO) –
Microsoft eliminará el cifrado RC4 del protocolo de autenticación Kerberos en Windows a mediados de 2026, con el objetivo de mejorar la seguridad, dado que se ha convertido en un blanco de ataques que intentan robar las credenciales de los usuarios.
RC4 (Rivest Cipher 4) fue implementado en Windows Server 2008, la versión de Windows destinada a servidores, como un algoritmo de cifrado de secuencia simple y fácil de implementar, utilizado en comunicaciones inalámbricas WEP y WAP, así como en el protocolo TLS/SSL (Transport Layer Security) para la transferencia de datos.
Aunque es un cifrado popular, no cuenta con una seguridad sólida y ha sido objeto de ciberataques como Beast y Kerberoasting, que buscan robar las credenciales necesarias para acceder a los sistemas y comprometer las redes.
Por esta razón, 17 años después de su implementación, Microsoft ha decidido eliminarlo de Kerberos, el protocolo de autenticación empleado en Windows Server para validar la identidad de un usuario o un ‘host’, tal como se menciona en un comunicado.
Esta medida se llevará a cabo a mediados de 2026, y después de una actualización, el Centro de Distribución de Claves Kerberos (KDC) en Windows Server 2008 solo aceptará AES-SHA1, un cifrado por bloques simétrico más moderno y seguro, que utiliza dos algoritmos: uno simétrico para asegurar la confidencialidad de los datos y otro de función de ‘hash’ unidireccional para garantizar la integridad y autenticación.
RC4 ha permanecido activo en Windows debido a Active Directory (AD), un servicio de directorio de la compañía que almacena información sobre objetos (usuarios, equipos o grupos) en una red distribuida, facilitando la gestión de inicios de sesión y políticas en toda la red.
Durante este tiempo, RC4 se ha convertido en el único cifrado que AD admite de manera predeterminada. Sin embargo, Microsoft ha estado trabajando en el fortalecimiento de la seguridad de AD durante varios años.
