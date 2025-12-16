Microsoft retirará el cifrado RC4 del protocolo de autenticación Kerberos en Windows a mediados de 2026. Esta decisión busca mejorar la seguridad, ya que RC4 se ha convertido en un objetivo frecuente de ataques destinados a robar las credenciales de los usuarios.

RC4 (Rivest Cipher 4) se introdujo en Windows Server 2008, la versión de Windows dedicada a servidores, como un algoritmo de cifrado de secuencia sencillo y fácil de implementar. A lo largo de los años, se ha utilizado en las comunicaciones inalámbricas WEP y WAP, así como en el protocolo TLS/SSL (Transport Layer Security) para la transferencia de datos.

Durante años, RC4 se utilizó en protocolos y tecnologías populares como WEP y WAP para redes inalámbricas. | Foto: Getty Images

Aunque RC4 fue muy popular, no se considera seguro en la actualidad. Ha sido objeto de varios ciberataques, como Beast y Kerberoasting, los cuales buscan robar las credenciales de acceso a los sistemas y comprometer las redes.

Por esta razón, 17 años después de su implementación, Microsoft ha decidido eliminar RC4 de Kerberos, el protocolo de autenticación que se utiliza en Windows Server para verificar la identidad de un usuario o un “host”, según ha informado la compañía en un comunicado.

La eliminación de RC4 se llevará a cabo a mediados de 2026. Tras una actualización, el Centro de Distribución de Claves Kerberos (KDC) en Windows Server 2008 solo admitirá AES-SHA1, un algoritmo de cifrado por bloques simétrico más moderno y seguro. AES-SHA1 emplea dos algoritmos: uno simétrico para garantizar la confidencialidad de los datos y otro de función hash unidireccional para asegurar la integridad y autenticación.

La vulnerabilidad de RC4 ha permitido el desarrollo de ataques como Beast y Kerberoasting. | Foto: NurPhoto via Getty Images

RC4 ha permanecido en uso en Windows debido a Active Directory (AD), el servicio de directorio que almacena información sobre objetos (usuarios, equipos, o grupos) en una red distribuida, y que gestiona los inicios de sesión y las políticas de red. Durante este tiempo, RC4 se ha convertido en el único cifrado que AD soporta por defecto. Sin embargo, Microsoft lleva ya varios años trabajando en el refuerzo de la seguridad de AD.