Un código obsoleto de 1987 provocó la filtración de datos de 5,6 millones de personas; ahora Microsoft está bajo la lupa de las autoridades.

El senador estadounidense Ron Wyden envió una carta a la Comisión Federal de Comercio (FTC) exigiendo que se investigue a Microsoft, acusando a la compañía de "negligencia grave" en materia de ciberseguridad. El motivo fue el uso en Windows del algoritmo de cifrado RC4, obsoleto e inseguro, que todavía se aplica por defecto en Active Directory. Según la investigación de la oficina del senador, esa característica jugó un papel clave en el ataque masivo contra la corporación médica Ascension en 2024, que condujo a la exposición de datos de 5,6 millones de pacientes.

Wyden subrayó que, debido a "decisiones de ingeniería peligrosas", a un atacante le basta con un portátil infectado de un empleado para desplegar ransomware en miles de sistemas a través de Active Directory. En el caso de Ascension, el punto inicial de entrada fue el dispositivo de un contratista, desde el que se realizó una búsqueda en Bing mediante Microsoft Edge. Tras obtener acceso, los atacantes usaron la técnica kerberoasting para probar contraseñas de cuentas privilegiadas y propagar el ransomware por toda la red.

RC4, creado en 1987 por Ron Rivest, hace tiempo fue reconocido como vulnerable: el algoritmo fue roto ya en 1994 y desde entonces ha sido objeto de múltiples ataques exitosos. En la mayoría de los protocolos de comunicación se ha dejado de usar, pero en Active Directory sigue siendo el mecanismo básico en la autenticación Kerberos. A pesar de la disponibilidad de algoritmos más modernos, muchas organizaciones continúan con las configuraciones predeterminadas. Esa configuración permite a los atacantes solicitar al servidor Kerberos tickets cifrados con contraseña que pueden extraerse de la red y descifrarse con potentes GPU. Debido a la ausencia de sal y de iteraciones en el hash MD4 utilizado, el atacante puede probar miles de millones de variantes por segundo.

El criptógrafo de la Universidad Johns Hopkins, Matt Green, calificó la arquitectura Kerberos con RC4 como "un error que debería haberse corregido hace décadas". Señaló que incluso contraseñas largas que cumplen formalmente las recomendaciones no resisten el proceso de fuerza bruta con ese esquema. Un factor adicional de riesgo es la configuración errónea frecuente de Active Directory, cuando usuarios normales obtienen acceso a funciones destinadas a administradores. Esto hace que el kerberoasting sea una vía de ataque aún más accesible.

Microsoft en respuesta afirmó que el uso de RC4 representa menos del 0,1% del tráfico y que la compañía desaconseja encarecidamente su uso. Al mismo tiempo, la corporación reconoció que desactivarlo por completo causaría problemas a ciertos clientes, por lo que la retirada de RC4 se planea de forma gradual. Según Microsoft, en el primer trimestre de 2026 las nuevas instalaciones de dominios Active Directory sobre Windows Server 2025 funcionarán de forma automática sin soporte para RC4. Para los sistemas existentes se están preparando medidas adicionales destinadas a minimizar los riesgos sin perder compatibilidad.

Wyden, sin embargo, opina que la compañía oculta deliberadamente el peligro, limitándose a publicaciones discretas en blogs técnicos en lugar de advertir directamente a los clientes corporativos. También criticó el modelo de negocio de Microsoft, en el que el software principal permanece vulnerable y los servicios adicionales de ciberseguridad se venden aparte. En sus palabras, esto recuerda a una situación en la que "el incendiario vende servicios contra incendios a sus víctimas". Los expertos recomiendan que las organizaciones sigan las mejores prácticas de seguridad para las cuentas de servicio de Active Directory.

Microsoft, por su parte, afirma que dialoga con el senador y está dispuesta a cooperar con los organismos gubernamentales, subrayando que la hoja de ruta para la retirada de RC4 ya está aprobada.