Durante años, Windows ha arrastrado una contradicción difícil de justificar: mientras Microsoft reforzaba su discurso sobre seguridad y confianza cero, en el corazón de su sistema seguía activo un algoritmo de cifrado cuya fragilidad era conocida desde finales del siglo pasado. Esa anomalía tiene ahora fecha de caducidad. La compañía ha confirmado que, a partir de mediados de 2026, RC4 dejará de estar soportado por defecto en Windows, marcando el final de uno de los capítulos más controvertidos de la historia de la seguridad en el ecosistema Microsoft. La decisión no llega pronto. Llega tarde, muy tarde. Pero supone un cambio estructural que afecta directamente a la autenticación, a los entornos corporativos y al núcleo mismo de Active Directory, uno de los pilares del software empresarial moderno.
-Un algoritmo nacido en otra era de la informática
RC4, acrónimo de Rivest Cipher 4, es un algoritmo de cifrado de flujo diseñado en 1987 por Ron Rivest. En su momento fue celebrado por su simplicidad, eficiencia y bajo coste computacional, cualidades especialmente valiosas cuando el hardware era limitado y la criptografía moderna aún estaba en pañales.
Durante años, RC4 se integró en tecnologías críticas de Internet y de los sistemas operativos: desde redes Wi-Fi protegidas con WEP hasta protocolos de cifrado como SSL y TLS en sus primeras versiones. Windows no fue la excepción, y Microsoft lo incorporó profundamente en su arquitectura, especialmente cuando en el año 2000 lanzó Active Directory, el sistema encargado de gestionar identidades, accesos y autenticación en redes corporativas. El problema es que el tiempo no perdona a la criptografía. Lo que fue rápido y práctico en los años noventa se convirtió, con el avance del análisis criptográfico, en un riesgo difícil de defender.
-Vulnerabilidades conocidas, advertencias ignoradas
Las primeras alertas serias sobre RC4 aparecieron ya en la década de 1990, cuando se filtró su algoritmo y comenzaron a documentarse debilidades estructurales. Con el paso de los años, los investigadores demostraron que RC4 presentaba sesgos estadísticos en la generación de claves, lo que permitía a un atacante reconstruir información cifrada bajo determinadas condiciones.
Estos problemas no se quedaron en el ámbito teórico. Ataques como BEAST, y especialmente técnicas como Kerberoasting, explotaron el uso de RC4 en entornos Windows para obtener credenciales de servicios y escalar privilegios dentro de redes empresariales. En muchos casos, bastaba con que un atacante tuviera acceso limitado a la red para comenzar a extraer hashes cifrados con RC4 y romperlos fuera de línea.
Las consecuencias han sido tangibles. Incidentes de gran escala, como el sufrido por Ascension —uno de los mayores operadores sanitarios de Estados Unidos—, demostraron hasta qué punto estas debilidades podían traducirse en filtraciones masivas de datos sensibles, afectando a millones de personas y a infraestructuras críticas.
-Active Directory, el gran obstáculo para el cambio
Si RC4 llevaba años siendo considerado inseguro, ¿por qué seguía activo en Windows? La respuesta está en la compatibilidad y en el peso de Active Directory dentro del mundo corporativo.
Durante décadas, RC4 fue el método de cifrado predeterminado en Kerberos dentro de Active Directory, el sistema de autenticación que utilizan la mayoría de empresas que trabajan con infraestructura Microsoft. Cambiar ese comportamiento implicaba riesgos de compatibilidad con sistemas antiguos, aplicaciones heredadas y configuraciones críticas que muchas organizaciones no estaban preparadas para revisar.
Microsoft optó por una estrategia conservadora: introducir alternativas más seguras, como AES, pero mantener RC4 habilitado por defecto para evitar romper entornos existentes. Una decisión comprensible desde el punto de vista operativo, pero cada vez más difícil de justificar desde la óptica de la seguridad.
La presión no solo vino de la comunidad técnica. En los últimos años, incluso figuras políticas han señalado públicamente a Microsoft por mantener tecnologías consideradas peligrosas, llegando a calificar la situación como un riesgo para la seguridad nacional.
-El cambio definitivo: AES como único estándar por defecto
El anuncio de Microsoft supone, ahora sí, un corte claro con el pasado. A partir de mediados de 2026, los controladores de dominio de Windows Server dejarán de aceptar RC4 de forma predeterminada, y el Centro de Distribución de Claves de Kerberos funcionará exclusivamente con cifrado AES.
RC4 no desaparecerá de golpe del sistema, pero quedará relegado a un uso explícito y excepcional. Solo podrá activarse si un administrador de dominio lo habilita manualmente para cuentas o servicios concretos, asumiendo de forma consciente los riesgos asociados.
En la práctica, esto obliga a las organizaciones a revisar sus infraestructuras, actualizar aplicaciones heredadas y asegurarse de que todos los componentes críticos son compatibles con AES. Es un proceso que requiere planificación, pruebas y tiempo, pero que resulta inevitable si se quiere mantener un entorno mínimamente seguro.
La retirada de RC4 no es una innovación espectacular ni una función visible para el usuario final. Es algo más importante: una limpieza profunda de la base sobre la que se construyen la autenticación y la confianza en Windows.
Microsoft lleva años promoviendo modelos de seguridad avanzados, autenticación multifactor y arquitecturas de confianza cero. Mantener un cifrado vulnerable en el núcleo del sistema era una incoherencia difícil de sostener. Con este movimiento, la compañía no solo corrige una deuda técnica histórica, sino que envía un mensaje claro a las empresas: la compatibilidad ya no puede estar por encima de la seguridad.