¡Buenas noticias para la seguridad informática! Microsoft ha anunciado que finalmente dará de baja el obsoleto cifrado RC4, una vulnerabilidad que ha afectado a Windows durante 26 años y ha sido explotada en innumerables ataques devastadores. Este antiguo algoritmo, introducido por primera vez con Active Directory en el año 2000, se convirtió en la única forma de asegurar este componente crucial de Windows. RC4, desarrollado en 1987, a pesar de que sus debilidades fueron evidentes pocos años después de su filtración, persistió en protocolos de seguridad hasta hace aproximadamente una década.
Microsoft ha sido uno de los últimos bastiones en soportar RC4, aunque gradualmente se fue migrando a estándares más seguros como AES. Sin embargo, por defecto, los servidores Windows seguían respondiendo a peticiones de autenticación RC4, convirtiéndose en un punto débil para los atacantes. Un ejemplo reciente y alarmante de su explotación fue la brecha de seguridad en Ascension, que afectó a 140 hospitales y expuso los datos médicos de 5.6 millones de pacientes. Esta situación llevó al senador Ron Wyden a acusar a Microsoft de negligencia grave en ciberseguridad.
Finalmente, la compañía ha confirmado la depreciación de RC4, citando su susceptibilidad al "Kerberoasting", un tipo de ataque conocido desde 2014 y que fue la causa principal de la intrusión en Ascension. A mediados de 2026, los controladores de dominio de Windows Server 2008 y versiones posteriores dejarán de permitir RC4 por defecto, habilitando únicamente el cifrado AES-SHA1. Esto significa que RC4 solo se usará si un administrador lo configura explícitamente. AES-SHA1, considerado seguro, ha estado disponible desde Windows Server 2008 y es considerablemente más robusto contra ataques que RC4. Microsoft está proporcionando herramientas, como actualizaciones en los logs de KDC y scripts de PowerShell, para ayudar a los administradores a identificar sistemas que aún dependan de RC4, facilitando la transición hacia un entorno más seguro.
Fuente Original: https://arstechnica.com/security/2025/12/microsoft-will-finally-kill-obsolete-cipher-that-has-wreaked-decades-of-havoc/
Artículos relacionados de LaRebelión:
- Ascentra Labs IA para Consultores Adios Excel
- Airbus Ditching Microsoft Still a Work in Progress
- Microsoft Ataque DDoS record en la nube mitigado
- Adios Boton Me Gusta Facebook Externo Meta Retira
- EEI 25 Anos de Presencia Humana Espacial
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario