Durante años, una de las vulnerabilidades más críticas de Windows ha seguido activa a pesar de estar directamente relacionada con ciberataques masivos que marcaron la historia de la seguridad informática. Hablamos de un sistema de cifrado claramente obsoleto que, sorprendentemente, ha permanecido en el sistema operativo hasta hoy… aunque por fin tiene los días contados.
Lo realmente llamativo no es que se elimine, sino que Microsoft haya tardado 25 años en hacerlo, incluso después de que RC4 fuera catalogado como inseguro por la comunidad de ciberseguridad y llegara a recibir críticas desde el propio Senado de Estados Unidos por seguir permitiendo su uso.
Ahora sí, el cambio es oficial. Microsoft ha anunciado que retirará definitivamente el soporte del cifrado RC4. A partir de mediados de 2026, Windows solo aceptará AES de forma predeterminada, un algoritmo mucho más moderno y seguro, tal y como ha confirmado la compañía en un comunicado reciente.
¿Qué es RC4?
RC4, siglas de Rivest Cipher 4, es un algoritmo de cifrado de flujo compatible con Windows que fue creado por Ron Rivest en 1987. Durante años fue muy popular por dos motivos claros: era rápido y sencillo de implementar. Gracias a eso, terminó utilizándose en protocolos tan conocidos como SSL/TLS para la web segura o WEP en redes Wi-Fi.
El problema es que lo que antes era una ventaja hoy es justo lo contrario. RC4 se considera un cifrado inseguro y totalmente obsoleto, ya que presenta vulnerabilidades graves que permiten a los atacantes descifrar información, sobre todo cuando se usan claves débiles o implementaciones incorrectas. Ataques bien conocidos, como BEAST, dejaron claro hace tiempo que RC4 ya no estaba a la altura de los estándares actuales de seguridad.
En el año 2000, Microsoft lanzó Active Directory, su servicio de directorio para autenticar usuarios y gestionar accesos en entornos empresariales. Y aquí llegó el gran problema: en uno de los pilares de la seguridad de Windows, RC4 pasó a ser el único sistema de cifrado soportado por defecto, una decisión que se mantuvo activa hasta hoy.
Por qué RC4 lleva 25 años dando problemas
Las primeras señales de alarma llegaron pronto. Ya en 1994, tras la filtración de su algoritmo, expertos en criptografía demostraron que RC4 presentaba riesgos importantes y podía ser explotado mediante distintas técnicas de ataque.
Con el paso de los años, y debido a su enorme presencia en entornos corporativos de todo el mundo, estas debilidades se convirtieron en una puerta de entrada perfecta para los cibercriminales. Uno de los ejemplos más claros es el ataque conocido como Kerberoasting, que aprovecha RC4 para robar credenciales y moverse libremente dentro de redes empresariales.
Las consecuencias han sido muy reales. Uno de los casos más sonados fue el ataque a Ascension, una gran empresa del sector sanitario en Estados Unidos, que afectó a 140 hospitales y terminó con la exposición de los datos médicos de 5,6 millones de pacientes, información que acabó en manos de ciberdelincuentes.
El nivel de riesgo llegó a ser tan alto que incluso en 2024, el senador estadounidense Ron Wyden pidió a las autoridades que investigaran a Microsoft por lo que calificó como una “grave negligencia de seguridad” al seguir permitiendo el uso de RC4, llegando a describirlo como un riesgo para la seguridad nacional.
Podría interesarte leer: Paquete NPM Malicioso Roba Cuentas y Mensajes de WhatsApp
¿Por qué ha sido tan complicado eliminar RC4?
Según reconoce Microsoft, el problema no era solo RC4, sino todo lo que había construido a su alrededor durante más de 20 años de evolución de Windows. Steve Syfuhs, responsable del equipo de Autenticación de Windows, explicó que este cifrado estaba profundamente incrustado en reglas heredadas que afectaban directamente a la compatibilidad y la interoperabilidad del sistema.
Eliminarlo de golpe no era una opción. Hacerlo mal podía romper entornos empresariales complejos, algo inasumible para organizaciones que dependen de Active Directory a diario. Por eso, el proceso ha sido lento y casi “quirúrgico”.
Durante la última década, Microsoft fue introduciendo cambios graduales para priorizar AES, lo que provocó que el uso de RC4 fuera cayendo poco a poco hasta convertirse en algo casi residual. Solo en ese punto fue realmente viable anunciar su retirada definitiva.
Qué cambiará a partir de 2026
El cambio clave llegará a mediados de 2026. A partir de entonces, Microsoft actualizará los valores predeterminados del KDC (Key Distribution Center) en Windows Server 2008 y versiones posteriores, permitiendo únicamente el cifrado AES-SHA1 en Kerberos.
En la práctica, RC4 quedará desactivado por defecto y solo podrá utilizarse si un administrador lo habilita de forma explícita, algo que Microsoft no recomienda salvo casos muy concretos.
La compañía insiste en que la autenticación segura de Windows ya no necesita RC4, ya que AES-SHA1 está disponible en todas las versiones compatibles desde hace más de diez años. Además, para facilitar la transición, Microsoft ha añadido nuevas herramientas de auditoría, registros de eventos más detallados y scripts de PowerShell que permiten detectar y eliminar cualquier dependencia residual de RC4 antes de que llegue la fecha límite.