Durante más de dos décadas, una pieza fundamental de la seguridad en entornos Windows ha estado sostenida por un algoritmo cuya debilidad era conocida desde hace años, RC4. La permanencia de este cifrado heredado no fue fruto del desconocimiento, sino de la complejidad técnica y operativa que implica modificar los cimientos de infraestructuras críticas utilizadas por miles de organizaciones en todo el mundo.
La decisión anunciada por Microsoft marca un punto de inflexión relevante para la ciberseguridad corporativa. El abandono definitivo de un mecanismo criptográfico históricamente vulnerable, no solo responde a presiones regulatorias y políticas, sino también a una acumulación de incidentes reales que han demostrado su impacto tangible en hospitales, empresas y organismos públicos.
El origen de una debilidad persistente
Cuando Microsoft lanzó Active Directory a comienzos del siglo XXI, eligió un algoritmo de cifrado que en aquel momento era ampliamente aceptado.
Este sistema se convirtió en el método estándar para proteger la autenticación administrativa dentro de los dominios Windows, un componente crítico para la gestión de identidades, permisos y servicios en grandes redes empresariales.
El problema es que dicho cifrado ya había mostrado fallos estructurales poco después de hacerse público en la década de los noventa. Investigadores independientes demostraron que su diseño permitía ataques prácticos capaces de reducir drásticamente el esfuerzo necesario para descifrar comunicaciones.
Aun así, su uso se mantuvo durante años en protocolos ampliamente extendidos, incluso cuando alternativas más robustas ya estaban disponibles.
Active Directory y el atractivo para los atacantes
La autenticación en entornos Windows se apoya en Kerberos, un protocolo diseñado para operar de forma segura sobre redes no confiables. En este contexto, cualquier debilidad en el cifrado utilizado se convierte en un vector de ataque extremadamente atractivo.
Los ciberdelincuentes han visto durante años este punto como una vía privilegiada para escalar privilegios y moverse lateralmente dentro de las redes.
Una de las técnicas más conocidas es el Kerberoasting, documentado desde 2014, que permite a los atacantes solicitar tickets de servicio y luego atacarlos fuera de línea. La combinación de un cifrado débil, ausencia de sal criptográfica y un algoritmo de hash rápido ha facilitado que estas operaciones se realicen con recursos relativamente modestos y en plazos reducidos.
Incidentes reales y presión política
El impacto de estas debilidades dejó de ser teórico hace tiempo. En 2024, una importante organización sanitaria estadounidense sufrió una intrusión que paralizó sistemas en más de un centenar de hospitales. El resultado fue la interrupción de servicios críticos y la exposición de millones de historiales médicos, con consecuencias directas para la seguridad de los pacientes.
Este episodio elevó el debate al ámbito político. Un senador de Estados Unidos acusó públicamente a Microsoft de negligencia grave en materia de ciberseguridad, señalando que el soporte por defecto de este cifrado obsoleto seguía habilitado a pesar de su historial de explotación. La presión regulatoria se sumó así a la evidencia técnica acumulada.
El cambio definitivo hacia estándares modernos
Microsoft confirmó que, a partir de mediados de 2026, los controladores de dominio de Windows Server dejarán de aceptar este cifrado de forma predeterminada. El Centro de Distribución de Claves de Kerberos solo permitirá algoritmos basados en AES con SHA-1, considerados ampliamente seguros dentro del contexto actual.
Este estándar no es nuevo en el ecosistema Windows. Está disponible desde Windows Server 2008 y ya es utilizado por defecto por los clientes modernos. La diferencia clave es que, hasta ahora, los servidores seguían respondiendo a solicitudes que recurrían al cifrado antiguo, manteniendo abierta la puerta a ataques conocidos.
Retos técnicos y sistemas heredados
Eliminar un algoritmo presente en más de veinticinco años de sistemas operativos no es una tarea trivial. Microsoft ha reconocido que durante este tiempo fue necesario aplicar correcciones muy específicas para mitigar fallos críticos sin romper la compatibilidad con aplicaciones y servicios antiguos.
A pesar de las mejoras progresivas que favorecieron el uso de AES, todavía existen sistemas de terceros que dependen exclusivamente de este cifrado para autenticarse. Muchos de ellos cumplen funciones esenciales y pueden pasar desapercibidos en auditorías superficiales, lo que incrementa el riesgo operativo durante la transición.
Herramientas para una migración controlada
Consciente de este escenario, la compañía ha puesto a disposición de los administradores nuevas herramientas de diagnóstico. Las actualizaciones en los registros de Kerberos permitirán identificar qué solicitudes y respuestas siguen utilizando el cifrado heredado, facilitando una visibilidad que antes era limitada.
Además, se han incorporado scripts de PowerShell diseñados para analizar eventos de seguridad y detectar usos problemáticos. Estas medidas buscan reducir el impacto del cambio y permitir que las organizaciones actúen con antelación, evitando interrupciones inesperadas en servicios críticos.
Desde el punto de vista criptográfico, la diferencia entre ambos enfoques es sustancial. Mientras el esquema antiguo utiliza una única iteración de un hash rápido, AES con SHA-1 introduce múltiples rondas que multiplican por miles el tiempo y los recursos necesarios para descifrar contraseñas. Esta diferencia transforma radicalmente la viabilidad de ataques a gran escala.
La eliminación definitiva de este cifrado representa una señal clara de que incluso los gigantes tecnológicos deben, tarde o temprano, romper con decisiones heredadas cuando el riesgo supera cualquier beneficio operativo.
Para los responsables de TI, el mensaje es igualmente claro: auditar, actualizar y no asumir que lo antiguo sigue siendo seguro por costumbre.
