RC4 es un algoritmo de cifrado heredado en el que Kerberos se ha basado durante décadas para proteger el tráfico de autenticación en Active Directory Entornos de Active Directory (AD). Eso está a punto de cambiar, tanto si su entorno está preparado como si no.
Como parte del endurecimiento de la seguridad vinculado a CVE-2026-20833Microsoft está eliminando gradualmente el cifrado RC4 en la autenticación Kerberos. La actualización de Windows de abril de 2026 marca la primera fase en la que el Centro de Distribución de Claves (KDC) de Kerberos deja de aceptar RC4 como método de reserva implícito. Los entornos que no hayan configurado sus dependencias de RC4 están a punto de descubrirlas de la peor manera posible: mediante fallos de autenticación en producción.
La comunidad de seguridad ha constatado desde hace tiempo que el cifrado RC4 es débil. Lo difícil es saber dónde sigue presente en tu entorno. Es criptográficamente obsoleto, una superficie de ataque bien documentada y se mantiene activo únicamente por compatibilidad con sistemas antiguos. RC4 ha persistido en entornos de Active Directory mucho más tiempo del previsto.
En este blog, analizaremos por qué las dependencias RC4 son tan difíciles de detectar, qué riesgos existen si pasan desapercibidas y cómo Silverfort Esto brinda a los equipos de seguridad la visibilidad necesaria para detectarlos y solucionarlos antes de que las autoridades lo hagan por usted.
Por qué RC4 en Kerberos es una brecha de seguridad crítica
Para entender por qué es importante la descontinuación de RC4, es útil: Repasemos brevemente cómo funciona la autenticación Kerberos.. Cuando un Cuando una cuenta de usuario o de servicio se autentica en un entorno de AD, el KDC de Kerberos emite un ticket.esencialmente un contraseña protegida criptográficamente que otorga acceso a un recurso específico.Algoritmo de cifrado electrónico utilizado para proteger ese billete. determina lo difícil que es para un atacante grieta él.
Aquí es donde RC4 crea una exposición real. Cuando los tickets Kerberos se cifran con RC4, quedan expuestos a un ataque conocido como kerberastingEn este tipo de ataque, un atacante con cualquier cuenta de dominio válida puede solicitar un ticket de servicio para un recurso legítimo, capturarlo y desconectarlo para descifrarlo mediante fuerza bruta, sin necesidad de privilegios elevados ni alertas. Cuanto más débil sea el cifrado, más rápido será el descifrado.
Con RC4, ese proceso es significativamente más rápido en comparación con el cifrado del Estándar de Cifrado Avanzado (AES), especialmente para cuentas de servicio con contraseñas más antiguas o débiles. El resultado es un camino directo desde una cuenta de dominio básica hasta el compromiso total de la cuenta de servicio, y desde ahí, movimiento lateral en todo el entorno.
Modernice la seguridad de su Active Directory.
Aprenda cómo prevenir el abuso de movimiento lateral y escalada de privilegios en Active Directory (ANUNCIO).
¿Por qué es difícil encontrar dependencias RC4?
Si RC4 es un riesgo bien conocido, ¿por qué tantos entornos aún dependen de él? La respuesta no es negligencia, sino visibilidad. La exposición a RC4 a menudo no se manifiesta por sí sola. Puede estar presente silenciosamente en segundo plano, a menudo en lugares que no se han tocado en años.
La razón principal es un único atributo de AD: Tipos de cifrado compatibles con msDS. Cuando este atributo no se establece explícitamente en una cuenta, el KDC no tiene instrucciones sobre qué cifrado utilizar; históricamente, esto significaba que se permitían RC4, AES-128 o AES-256. La mayoría de los entornos tienen miles de cuentas donde este atributo simplemente no está definido, y cada una de ellas es un objetivo potencial para ataques de Kerberoasting y vulneración de seguridad.
Existen dos tipos de cuentas que corren un riesgo particular: las cuentas de servicio y las cuentas de máquina.
cuentas de servicio en Active Directory: El mayor punto ciego para RC4
Cuentas de servicio Son cuentas de usuario creadas para ejecutar aplicaciones, servicios o procesos automatizados. A diferencia de las cuentas de usuario normales, sus contraseñas se gestionan manualmente y, en muchos entornos, no se han restablecido en años.
Si la contraseña de una cuenta de servicio se configuró antes de Windows Server 2008 (la versión que introdujo la compatibilidad con el cifrado AES en Active Directory), nunca se generaron claves AES para esa cuenta. Actualizar el dominio por sí solo no soluciona el problema. Solo un restablecimiento de contraseña activa la generación de claves AES en lugar de RC4. Pero antes de poder hacerlo, es necesario saber qué cuentas se encuentran en este estado, y ahí es donde la mayoría de los entornos carecen de visibilidad.
Cuentas de máquinas en Active Directory: Un tipo diferente de dependencia
Cuentas de máquina son creados automáticamente por Active Directory para cada dispositivo que se une al dominio. A diferencia de las cuentas de servicio, sus contraseñas se renuevan automáticamente, por lo que las credenciales obsoletas no representan un problema en este caso.
El problema reside en el propio sistema operativo. Los dispositivos que ejecutan versiones de Windows anteriores a Server 2008 no son compatibles con el cifrado AES. Para estas cuentas, RC4 no es solo una opción predeterminada, sino un requisito indispensable hasta que se actualice el sistema.
El resultado es que la exposición a RC4 en la mayoría de los entornos no se concentra en un solo lugar. Se distribuye entre cuentas de servicio y de máquina, cada una con un motivo diferente para la dependencia y una ruta de remediación distinta.
Cronograma de descontinuación de RC4: Qué sucede en cada fase y por qué es importante ahora.
Microsoft ha estructurado la descontinuación de RC4 como un despliegue gradual, lo que da a las organizaciones algo de tiempo para prepararse, pero ese tiempo se está agotando.
El 2026 de enero La actualización introdujo la fase de auditoría. Se seguía permitiendo el cifrado RC4, pero se añadieron nuevos mecanismos de registro para que las organizaciones pudieran ver dónde se estaba utilizando.
El 2026 abril La actualización es donde comienza la aplicación. El Centro de Distribución de Claves (KDC) ahora opera en modo solo AES de forma predeterminada para las cuentas donde Tipos de cifrado compatibles con msDS no está definido. RC4 ya no es una opción de reserva, y cualquier cuenta de servicio o máquina que aún dependa de él comenzará a experimentar fallos de autenticación. Existe una solución temporal: Fase de desactivación predeterminada de RC4 La clave de registro permite a los administradores revertir manualmente el comportamiento del controlador de dominio mientras completan la corrección. Sin embargo, esta es claramente una opción a corto plazo.
En julio de 2026La opción de reversión se eliminará por completo. El cifrado RC4 solo funcionará si se configura explícitamente en cuentas individuales, pero Microsoft no recomienda seguir este método inseguro. Sin un proceso de corrección completo, cualquier dependencia RC4 restante provocará fallos de autenticación sin posibilidad de reversión.
El riesgo no reside únicamente en los fallos de autenticación. Cuentas de servicio que no pueden autenticarse significa que las aplicaciones se caen y los procesos automatizados se detienen, un problema operativo que puede conducir a disrupción en toda la empresaAdemás, cualquier dependencia RC4 que permanezca configurada explícitamente después de julio se convierte en un punto débil permanente en su autenticación Kerberos.
Cómo encontrar la exposición a RC4 en su entorno con Silverfort
Silverfort Ayuda a identificar las dependencias de RC4 en su entorno mediante dos enfoques complementarios: evaluación proactiva de la postura y supervisión de la autenticación en tiempo real, sin necesidad de configuración ni scripts adicionales.
La investigación sigue un flujo natural de dos pasos: comenzar con indicadores de riesgo para identificar de forma proactiva las cuentas y los dispositivos con mayor probabilidad de tener dependencias de RC4, y luego analizar en detalle los registros de autenticación para confirmar cuáles están utilizando específicamente RC4 en flujos de autenticación en tiempo real.
Paso 1-Indicadores de riesgo: Iidentificar cuentas con exposición a cifrado débil
SilverfortGestión de la postura de seguridad de identidad (ISPM) Supervisa continuamente su entorno y activa automáticamente los indicadores de riesgo cuando se detecta un cifrado débil en el tráfico de autenticación. Dos indicadores son directamente relevantes para la exposición a RC4:
- Cifrado débil (usuarios)—se genera cuando una cuenta de usuario se autentica utilizando RC4 u otros tipos de cifrado Kerberos débiles.
- Cifrado débil (servidores)—se plantea cuando se observa lo mismo para cuentas de servicio o de máquinas
Estos indicadores le proporcionan una lista inmediata y práctica de cuentas en las que se ha identificado un cifrado débil en el tráfico de autenticación; no solo cuentas que podrían estar en riesgo según su configuración, sino cuentas en las que se está utilizando activamente un cifrado débil en este preciso momento.
Más allá de los indicadores de cifrado débil, dos adicional Las categorías de la NIMF ayudan a completar el panorama. Usuarios con contraseñas antiguas identifica Es muy probable que las cuentas de servicio contengan solo claves RC4, ya que sus contraseñas son anteriores a Windows Server 2008 y nunca se generaron claves AES. Sistemas operativos antiguos dispositivos de superficie que no Admite el cifrado AES, lo que le brinda una visión clara de qué cuentas de máquina necesitan excepciones RC4 manuales configuradas o un plan de desactivación implementado antes de que se apliquen las medidas de seguridad.
Paso 2: Registros de autenticación: Confirmar e investigar el uso de RC4
Una vez que tenga su lista de cuentas marcadas, SilverfortRegistros de autenticación te permite profundizar (nota: puedes Obtenga más información sobre cómo obtener visibilidad e inteligencia de identidad aquí.). Filtrar por el Respuesta débilmente encriptada Boleto débilmente cifrado Indicadores de riesgo para obtener visibilidad por autenticación sobre dónde se está utilizando RC4. Para cada autenticación, puede ver:
- La cuenta de usuario o de servicio involucrada
- El host de origen
- El servicio objetivo o SPN
- El controlador de dominio que emitió el ticket
Esto proporciona el contexto preciso necesario para confirmar qué cuentas utilizan específicamente el cifrado RC4, priorizar las medidas correctivas y contar con un proceso de toma de decisiones informado junto con los equipos responsables de los sistemas afectados.
No esperes a que Microsoft encuentre tu exposición a RC4 por ti.
Silverfort Te brinda la visibilidad para encontrar dependencias RC4 antes de que la aplicación de Microsoft lo haga por ti, lo que resulta en fallas de autenticación y pérdida de productividad. Y, con SilverfortGracias al monitoreo continuo, puedes hacer un seguimiento de tu progreso a medida que solucionas los problemas. Con la fecha límite de julio de 2026 acercándose, no hay mejor momento para saber en qué situación te encuentras.
¿No está seguro por dónde empezar? Descargue nuestra Lista de verificación de preparación para la remediación RC4 para evaluar su exposición y priorizar sus próximos pasos y, si desea ver cómo Silverfort poder ayudar, programar una llamada con uno de nuestros expertos.
