Microsoft desactiva definitivamente un cifrado obsoleto en Windows. ¿Está su empresa preparada?

Microsoft anunció sus planes para abandonar definitivamente el algoritmo obsoleto RC4 en el sistema de autenticación de Windows. La compañía prepara cambios que afectarán a la infraestructura Kerberos y deberían aumentar la resistencia de las redes corporativas frente a ataques actuales, incluidos los relacionados con el robo de credenciales.

Según la publicación del gerente de programas de Microsoft, Matthew Pelko, a mediados de 2026 se modificarán los valores predeterminados de los controladores de dominio para el centro de distribución de claves Kerberos en Windows Server 2008 y versiones posteriores. De forma predeterminada solo se permitirá el uso de cifrado AES-SHA1 y RC4 quedará desactivado.

El uso del algoritmo antiguo será posible solo mediante una configuración explícita por parte del administrador. En Microsoft subrayan que todas las versiones compatibles de Windows llevan años funcionando con AES-SHA1, por lo que no existe necesidad de RC4.

La compañía advierte que los sistemas y servicios que sigan dependiendo de RC4 podrían experimentar fallos de autenticación tras el cambio de los parámetros predeterminados. Para reducir riesgos, Microsoft propone identificar con antelación esas dependencias. Para ello, en Windows Server 2019, 2022 y 2025 se han mejorado los registros de seguridad y se han añadido nuevas herramientas de auditoría.

En los eventos de Kerberos con identificadores 4768 y 4769 aparecieron campos adicionales que permiten ver qué algoritmos admite la cuenta y cuál se emplea realmente al emitir los tickets. Estos datos ayudan a detectar dispositivos y cuentas que no están preparados para el cambio a AES-SHA1, así como casos en los que todavía se elige RC4 para la sesión.

Además, Microsoft publicó dos scripts de PowerShell. Uno de ellos analiza los registros de eventos y muestra qué claves de cifrado existen para las cuentas detectadas, y el segundo permite evaluar el uso real de los algoritmos en el entorno y filtrar las solicitudes en las que se empleó RC4. Estas herramientas facilitan la preparación de la infraestructura para los cambios futuros y evitan el análisis manual de los registros.

La compañía también ofreció recomendaciones para solucionar problemas típicos. Por ejemplo, si a una cuenta solo le aparecen claves RC4, basta con cambiar la contraseña para que en Active Directory se creen automáticamente claves AES. En los casos en que en los atributos no figure la compatibilidad con AES-SHA1, se recomienda revisar y corregir los parámetros mediante la consola de Active Directory o las políticas de grupo. Se puntualiza por separado que las versiones de Windows que no admiten AES son solo las muy antiguas, como Windows Server 2003, y se aconseja retirarlas de explotación lo antes posible.

Para controlar las configuraciones, Microsoft recomienda utilizar los parámetros básicos de seguridad de Windows Server 2025 y Windows Admin Center, donde ya existen directivas que excluyen RC4 de los algoritmos permitidos para Kerberos. Según la compañía, el abandono de RC4 y la transición a cifrados más robustos es un paso necesario para proteger los entornos corporativos modernos.