El senador estadounidense Ron Wyden se queja, y motivos no le faltan. Acusa a Microsoft de suponer un riesgo de ciberseguridad nacional, cuando se cumplen 11 meses desde que la empresa reconoció que Windows sigue siendo compatible con el protocolo de cifrado RC4, obsoleto desde hace años. A día de hoy no ha puesto solución al problema y sigue dejando abierto un camino fácil y conocido para acceder a redes corporativas e incluso gubernamentales.
Lee tambiénMaría Aperador, experta en ciberseguridad: “Las ciberestafas siempre siguen el mismo modus operandi”
El problema adquiere una dimensión especialmente preocupante al tratarse de Windows, un sistema operativo presente en tres cuartas partes de los ordenadores del mundo. Y todavía más, al acercarse el 14 de octubre, la fecha en que Microsoft dejará de dar soporte oficial a Windows 10.
En una carta pública, Wyden insta a la Comisión Federal de Comercio estadounidense a investigar lo que él considera una negligencia por parte de Microsoft en el terreno de la ciberseguridad, en tanto que sigue dando compatibilidad al protocolo de cifrado RC4, creado en los años 80 y manifiestamente inseguro.
Microsoft, acusada de negligente en el terreno de la ciberseguridad.
RC4
Una cuestión fácil de entender
El matemático y criptógrafo Ron Rivest creó este sistema de cifrado en 1987 y pronto se convirtió en un estándar. Fue un sistema seguro protegido por secreto empresarial durante muchos años hasta que, en 1994, se filtró una descripción técnica en una comunidad de programación y en pocos días dieron con el algoritmo de cifrado. Desde entonces, RC4 dejó de ser un sistema seguro, aunque Windows lo seguía dando como bueno y lo aceptaba en sus protocolos de comunicación.
Cualquiera que tenga la llave para descifrar RC4 tendrá acceso a todos los directorios y carpetas de la red en la que se infiltre, si está cifrada con este protocolo
De hecho, Windows lo acepta incluso para configurar carpetas seguras, accesibles solo para administradores de sistemas. Por tanto, cualquiera que tenga la llave para descifrar RC4 tendrá acceso a todos los directorios y carpetas de la red en la que se infiltre, si las credenciales están cifradas con este protocolo. Y ya sabemos que acceder a una red es tan fácil como que cualquier usuario básico haga clic en un enlace inapropiado.
Actualmente, la mayoría de redes y directorios están cifrados con otros sistemas más modernos y seguros, pero todavía existe una minoría de usuarios que utiliza RC4.
Senador de EEUU Ron Wyden advierte del riesgo de ciberseguridad de Microsoft.
Microsoft lo reconoció hace casi un año
En octubre de 2024, una nota en el blog de Microsoft ya desaconsejaba el uso de RC4 como método de encriptación por defecto y anunciaba que en una próxima actualización lo deshabilitaría automáticamente. El caso es que todavía no lo ha hecho.
En mayo de 2024 se produjo un ataque de este tipo a Ascension, una institución sanitaria estadounidense, del que se obtuvieron 5,6 millones de datos personales y privados. La brecha se produjo a partir de un uso imprudente de un usuario básico de la red, que sin saberlo otorgó las claves a los ciberdelincuentes para infiltrarse como administradores en todas las carpetas que quisieran y obtener así los datos más protegidos.
La acusación del senador
“El soporte todavía vigente de Microsoft a la antigua e insegura tecnología de cifrado RC4 expone innecesariamente a sus clientes a ransomware y otras ciberamenazas, al permitir que los hackers que han accedido a cualquier ordenador de una red corporativa descifren las contraseñas de las cuentas privilegiadas utilizadas por los administradores”, escribe Wyden. “Según Microsoft, esta amenaza se puede mitigar configurando contraseñas largas de al menos 14 caracteres, pero el software de Microsoft no exige esa longitud para las cuentas privilegiadas”.
La facilidad de acceso mediante esta vulnerabilidad radica en que los hackers pueden descargarse en su ordenador la petición de acceso por contraseña y realizar todos los intentos que sean necesarios hasta que dan con la palabra clave. Una vez la tienen, vuelven a la red corporativa que quieren invadir y entran sin que nadie lo sospeche.
Lee tambiénLa comunidad nudista se rebela contra Elon Musk y sus planes con SpaceX: “Las tortugas y los nudistas se tendrán que ir”
A fecha de hoy, Microsoft todavía no ha oficializado una fecha aproximada de actualización de seguridad para cubrir este riesgo. En su lugar, advierte que si no desactivan manualmente el protocolo RC4 como sistema de cifrado por defecto (“por defecto” significa que Microsoft lo elige por ti), estarán expuestos a un importante riesgo de ciberseguridad.
Este es el motivo por el que el senador Wyden acusa de negligencia a Microsoft: porque sabiendo que hay usuarios en riesgo, hace 11 meses que no lo resuelve.
