Microsoft está implementando un importante cambio de seguridad para proteger los entornos Windows de una vulnerabilidad recién descubierta en Kerberos que podría permitir a los atacantes explotar el cifrado RC4 débil. La compañía ha instado a las organizaciones a actuar con rapidez a medida que los controladores de dominio avanzan hacia un cifrado basado en AES más sólido para prevenir posibles riesgos de autenticación.
La falla de seguridad (CVE‑2026‑20833) es una vulnerabilidad de divulgación de información de Kerberos causada por el uso continuo de algoritmos criptográficos débiles y heredados (particularmente RC4) al emitir tickets de servicio. Permite a un atacante autenticado solicitar tickets de Kerberos cifrados con RC4 y luego realizar intentos de craqueo sin conexión para recuperar las contraseñas de las cuentas de servicio, que a menudo tienen privilegios elevados y pueden otorgar un acceso más amplio en todo un entorno.
¿Cuándo entrarán en vigor los cambios de auditoría y aplicación de Kerberos?
Microsoft ha detallado un cronograma para dar a las organizaciones tiempo para detectar, prepararse y migrar de forma gradual del cifrado Kerberos basado en RC4. La fase inicial de implementación comenzó con la actualización del 13 de enero de 2026, que introduce nuevos eventos de auditoría de Kerberos y controles de registro opcionales. Estos cambios permiten a los administradores identificar dónde todavía se utiliza RC4 y comenzar a evaluar el impacto de las futuras aplicaciones. Esta fase inicial es intencionalmente diagnóstica y expone las configuraciones incorrectas y las dependencias heredadas antes de que entren en vigor los valores predeterminados más estrictos.
En abril de 2026, Microsoft cambiará los controladores de dominio para que utilicen AES‑SHA1 como tipo de cifrado predeterminado para las cuentas sin configuraciones explícitas de Kerberos, lo que deshabilitará la reversión automática a RC4. Sin embargo, tenga en cuenta que los entornos que aún dependan de RC4 en este momento pueden experimentar fallas de autenticación.
Finalmente, Microsoft eliminará el modo de auditoría y habilitará el modo de aplicación como el único estado operativo en julio de 2026. Esta fase completa la transición y elimina por completo la reversión de RC4 de la ruta del protocolo Kerberos.
¿Cómo pueden las organizaciones prepararse para este cambio?
Microsoft recomienda cuatro acciones clave para fortalecer la seguridad de Kerberos contra los riesgos relacionados con RC4. Las organizaciones deben comenzar por actualizar todos los controladores de dominio de Active Directory con las actualizaciones de Windows publicadas el 13 de enero de 2026 o posteriores. Luego, deben supervisar de cerca el registro de eventos del sistema en busca de los nueve nuevos eventos de auditoría de Kerberos en Windows Server 2012 y versiones posteriores, que ayudan a identificar las dependencias del cifrado RC4.
Además, las organizaciones deben abordar cualquier evento KDCSVC que señale obstáculos que impidan que se habilite la protección RC4 para eliminar los problemas de configuración. Una vez que se hayan resuelto todos los eventos de auditoría y advertencia, se debe activar el modo de aplicación para mitigar por completo la vulnerabilidad de seguridad.
