Redazione RHC : 16 septiembre 2025 07:04
El senador estadounidense Ron Wyden envió una carta el 10 de septiembre a la Comisión Federal de Comercio (FTC) solicitando una investigación sobre Microsoft, acusando a la compañía de «negligencia grave» en materia de ciberseguridad.
El motivo fue el uso de un algoritmo de cifrado RC4 obsoleto e inseguro en Windows, que sigue siendo el algoritmo predeterminado para Active Directory. Según la investigación de la oficina del senador, esta característica fue clave en un ataque a gran escala contra la empresa médica Ascension en 2024, que resultó en la vulneración de 5,6 millones de datos de pacientes. Wyden enfatizó que, mediante ingeniería peligrosa, un atacante podría usar la computadora portátil de un empleado infectado para distribuir ransomware a miles de sistemas a través de Active Directory. En el caso de Ascension, el punto de entrada inicial fue el dispositivo de un empleado, utilizado para realizar una búsqueda en Bing a través de Microsoft Edge. Una vez iniciada la sesión, los hackers utilizaron el método kerberoasting para obtener las contraseñas de las cuentas privilegiadas mediante fuerza bruta y luego propagar el ransomware por toda la red.
RC4, creado en 1987 por Ron Rivest, es reconocido desde hace tiempo como vulnerable: el algoritmo fue descifrado en 1994 y ha sido atacado con éxito en numerosas ocasiones desde entonces. Se ha retirado de la mayoría de los protocolos de comunicación, pero sigue siendo el mecanismo principal de la autenticación Kerberos en Active Directory. A pesar de la disponibilidad de algoritmos más modernos, muchas organizaciones siguen utilizando la configuración predeterminada. Esta configuración permite a los atacantes solicitar tickets cifrados con contraseña del servidor Kerberos, que pueden transferirse fuera de la red y descifrarse mediante potentes GPU. Debido a la falta de sales e iteraciones en el hash MD4 utilizado, un atacante puede probar miles de millones de opciones por segundo. Matt Green, criptógrafo de la Universidad Johns Hopkins, calificó la arquitectura Kerberos con RC4 como un error que debería haberse corregido hace décadas. Señaló que incluso las contraseñas largas que cumplen formalmente con las recomendaciones no están a salvo de ataques de fuerza bruta al usar este esquema. Un factor de riesgo adicional es la configuración incorrecta generalizada de Active Directory, cuando los usuarios comunes acceden a funciones exclusivas del administrador. Esto convierte a kerberoasting en un método de ataque aún más accesible.
En respuesta, Microsoft declaró que el uso de RC4 representa menos del 0,1 % del tráfico y que la compañía desaconseja encarecidamente el uso de este algoritmo. Al mismo tiempo, la compañía reconoció que un cierre completo provocaría la inoperatividad de varios clientes, por lo que la eliminación gradual de RC4 está prevista de forma gradual. Según Microsoft, en el primer trimestre de 2026, las nuevas instalaciones de dominios de Active Directory basados en Windows Server 2025 funcionarán automáticamente sin compatibilidad con RC4. Se están preparando medidas adicionales para los sistemas existentes que deberían minimizar los riesgos y mantener la compatibilidad.
Sin embargo, Wyden cree que la compañía está ocultando deliberadamente el peligro, limitándose a publicaciones discretas en blogs de tecnología en lugar de alertar directamente a los clientes empresariales. También criticó el modelo de negocio de Microsoft, en el que el software principal sigue siendo vulnerable mientras que los servicios de ciberseguridad adicionales se venden por separado. Dijo que se asemeja a «un pirómano que vende servicios de extinción de incendios a sus víctimas». Los expertos recomiendan que las organizaciones sigan las mejores prácticas de seguridad para las cuentas de Active Directory. Microsoft, por su parte, afirma estar en diálogo con el senador y dispuesto a colaborar con las agencias gubernamentales, enfatizando que la hoja de ruta para abandonar el RC4 ya ha sido aprobada.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
