El uso de un cifrado anticuado ha abierto un frente delicado para Microsoft en el ámbito de la ciberseguridad. La polémica surgió después de que Ron Wyden, senador de Estados Unidos, señalara públicamente que la compañía mantiene prácticas que facilitan ataques.
En una carta recogida por Ars Technica pidió a la FTC que investigara el caso, al considerar que el empleo por defecto del estándar RC4 en Windows favoreció un ataque de ransomware contra Ascension en 2024.
Aquel incidente derivó en el robo de los datos médicos de 5,6 millones de pacientes y reavivó las críticas sobre cómo Microsoft gestiona la seguridad de sus productos.
Pasado de moda
Wyden advierte de un fallo que permite a los servidores responder erróneamente
El propio Wyden recordó en esa misma comunicación que ya había advertido sobre fallos previos en la arquitectura de Active Directory. Según detalló, incluso cuando se configura con AES, los servidores pueden responder con RC4, lo que abre la puerta a ataques de tipo Kerberoasting. Estos métodos se han popularizado entre grupos de hackers porque hacen más sencillo descifrar contraseñas de cuentas privilegiadas.
En 2023 la empresa reconoció que RC4 facilita el robo de credenciales al permitir descifrados rápidos, algo que se evidenció en el ataque a Ascension. El acceso inicial se produjo a través del portátil de un contratista infectado mientras usaba Edge y Bing.
Los cibercriminales encontraron un resquicio que les facilitaba acceder a credenciales
Wyden criticó duramente esa situación y lo expresó de forma gráfica al afirmar en su carta que “es como un pirómano que vende servicios de bombero”. Con esa acusación puso el foco en lo que considera una contradicción: mantener vulnerabilidades mientras se ofrecen servicios de seguridad.
Los expertos que analizan estos riesgos apuntan que las tarjetas gráficas actuales son capaces de probar miles de millones de combinaciones por segundo contra RC4. Esta capacidad multiplica el peligro de mantener activo un estándar débil.
Lee también“Tenía que hacerlo”: por qué uno de los científicos más brillantes en inteligencia artificial ha dejado su puesto privilegiado en Estados Unidos para irse a trabajar a China
Desde la compañía han prometido que a partir del primer trimestre de 2026 las nuevas instalaciones de Active Directory dejarán de usar RC4 como opción predeterminada, aunque defienden que eliminarlo de golpe provocaría fallos en los sistemas de muchos clientes. De momento, el plan es reducir su uso de manera gradual, una estrategia que no ha servido para silenciar las críticas.