Microsoft retirará el cifrado RC4 de Windows para reforzar la seguridad de los inicios de sesión tras varias brechas

Microsoft retirará el cifrado RC4 del protocolo de autenticación Kerberos de Windows a mediados de 2026, una decisión que pretende mejorar la seguridad, ya que se ha convertido en objetivo de ataques que buscan robar las credenciales de los usuarios.

RC4 (Rivest Cipher 4) se introdujo en Windows Server 2008, la variante de Windows dedicada a los servidores, como un algoritmo de cifrado de secuencia sencillo y fácil de implementar, que se ha utilizado en las comunicaciones inalámbricas WEP y WAP y en el protocolo TLS/SSL (Transport Layer Security) para la transferencia de datos.

Se considera un cifrado popular que, sin embargo, no goza de una seguridad robusta y ha sido objeto de ciberataques como Beast y Kerberoasting, que buscan robar las credenciales de acceso a los sistemas y comprometer las redes.

Por ello, 17 años después de su implementación, Microsoft ha decidido retirarlo de Kerberos, el protocolo de autenticación que se utiliza en Windows Server para comprobar la identidad de un usuario o un 'host', como informa en un comunicado.

Ello ocurrirá a medidos de 2026, y tras una actualización, el Centro de Distribución de Claves Kerberos (KDC) en Windows Server 2008 solo admitirá AES-SHA1, un tipo de cifrado por bloques simétrico, más moderno y seguro, que emplea dos algortimos: uno simétrico para la confidencialidad de los datos y otro de función de 'hash' unidireccional para integridad y autenticación,

RC4 ha permanecido en uso en Windows debido Active Directory (AD), un servicio de directorio de la compañía tecnológica que almacena información sobre objetos (usuarios, equipos o grupos) en una red distribuida para administrar los inicios de sesión en los equipos y las políticas de toda la red.

En este tiempo, RC4 se ha convertido en el único cifrado que AD soporta de manera predeterminada. No obstante, Microsoft lleva ya unos años trabajo en el refuerzo de la seguridad de AD.