LA VOZ DE GOICOECHEA (Por Carolina González).- Microsoft en el ojo del huracán en EEUU. Un senador acusa a la compañía de dejar abiertas vulnerabilidades en Windows que tendrían que haberse resuelto hace tiempo.
Al hablar de ciberseguridad, seguro que muchas veces se piensa en ataques o hackeos que parece que solo van a afectar a grandes empresas o gobiernos. Pero lo cierto es que los fallos en sistemas como Windows, que se usan todos los días, pueden afectar a más de uno en su casa.
Ron Wyden, senador de EEUU, precisamente ha querido dar la voz de alarma sobre esto. Afirma que la mera existencia de un cifrado obsoleto llamado RC4 en Windows deja las redes de empresas y gubernamentales totalmente desnudas a ataques que tampoco son cosa del otro mundo, es decir, son previsibles pero muy peligrosos.
Acusan directamente a Microsoft, afirmando que sabía que RC4 estaba obsoleto hace años, pero que ha tardado más de 11 meses en actuar, y todavía no ha cerrado la puerta.
"Cualquiera que tenga la llave para descifrar RC4 tendrá acceso a todos los directorios y carpetas de la red en la que se infiltre, si está cifrada con este protocolo", comenta.
¿Qué es RC4 y por qué supone un grave problema para la seguridad de Windows?
Para que te hagas una ligera idea de lo que estamos hablando, RC4 fue creado en 1987 por el matemático Ron Rivest, fue durante muchos años 'el rey' del cifrado porque era rápido y relativamente seguro. Pero su fama decayó cuando en 1994 alguien filtró su diseño y se descubrió cómo vulnerarlo.
El grave problema es que Windows, sin embargo, aún lo utiliza para proteger algunas comunicaciones, incluyendo aquellas que dan acceso a carpetas y datos protegidos.
La consecuencia ya te la puedes imaginar: alguien con malas intenciones que logre 'romper' RC4 tiene acceso libre a recursos muy sensibles dentro de las redes, lo que puede dar pie desde robo de información hasta ataques de ransomware devastadores.
Un caso real que efectivamente alerta de este problema fue el ataque en 2024 a Ascension, una red hospitalaria estadounidense, donde cibercriminales usaron esto para exfiltrar millones de datos personales y médicos. El origen fue un usuario que hizo clic en un enlace equivocado, abrió la puerta a los hackers para entrar como administradores.
Entonces, ¿por qué Microsoft mantiene RC4?
El 11 de octubre de 2024 Microsoft publicó que ya no recomendaría usar RC4 y que lo desactivaría automáticamente en futuras actualizaciones. Sin embargo, esas actualizaciones todavía no han llegado o no se han aplicado a todos los usuarios, y la configuración sigue usando RC4 'por defecto'.
Wyden comenta que Microsoft solo recomienda configuraciones de seguridad sin obligación, lo que deja el sistema vulnerable a ataques indeseados.
"Según Microsoft, esta amenaza se puede mitigar configurando contraseñas largas de al menos 14 caracteres, pero el software de Microsoft no exige esa longitud para las cuentas privilegiadas", comenta Wyden.
Pero el problema de RC4 va mucho más allá y en los últimos meses se han descubierto todo tipo de vulnerabilidades críticas en Windows, incluyendo fallos que permiten la ejecución remota de código sin necesidad de que el usuario haga nada.
Por ejemplo, un error en el servicio de escritorio remoto de Windows permite que un atacante envíe paquetes manipulados y tome el control total del sistema de la nada. Además, el kernel de Windows, la parte central de su sistema, ha registrado errores que ponen en jaque la seguridad, junto a vulnerabilidades en componentes como los servicios de cifrado o drivers críticos.
Empresas como Microsoft han publicado cientos de parches en 2025 para intentar defenderse, pero todo esto no es sencillo y el tamaño del código hacen que siempre haya nuevas ventanas abiertas de par en par.
Para entender bien la dimensión, imagina que Windows está construido con más de 100 millones de líneas de código hechas en C, C++ y otros lenguajes. Por eso las actualizaciones vierten millones de líneas de código corregidas que, a su vez, pueden generar nuevas vulnerabilidades.
Aunque Microsoft ya se mueve en la dirección correcta a través de sus Patch Tuesday y nuevos desarrollos en programación más segura con la intención de que Windows 12 sea un auténtico búnker, los expertos y legisladores ya han dejado bastante clara la necesidad de acelerar y priorizar estas acciones.
Ron Wyden, senador de EEUU, precisamente ha querido dar la voz de alarma sobre esto. Afirma que la mera existencia de un cifrado obsoleto llamado RC4 en Windows deja las redes de empresas y gubernamentales totalmente desnudas a ataques que tampoco son cosa del otro mundo, es decir, son previsibles pero muy peligrosos.
Acusan directamente a Microsoft, afirmando que sabía que RC4 estaba obsoleto hace años, pero que ha tardado más de 11 meses en actuar, y todavía no ha cerrado la puerta.
"Cualquiera que tenga la llave para descifrar RC4 tendrá acceso a todos los directorios y carpetas de la red en la que se infiltre, si está cifrada con este protocolo", comenta.
¿Qué es RC4 y por qué supone un grave problema para la seguridad de Windows?
Para que te hagas una ligera idea de lo que estamos hablando, RC4 fue creado en 1987 por el matemático Ron Rivest, fue durante muchos años 'el rey' del cifrado porque era rápido y relativamente seguro. Pero su fama decayó cuando en 1994 alguien filtró su diseño y se descubrió cómo vulnerarlo.
El grave problema es que Windows, sin embargo, aún lo utiliza para proteger algunas comunicaciones, incluyendo aquellas que dan acceso a carpetas y datos protegidos.
La consecuencia ya te la puedes imaginar: alguien con malas intenciones que logre 'romper' RC4 tiene acceso libre a recursos muy sensibles dentro de las redes, lo que puede dar pie desde robo de información hasta ataques de ransomware devastadores.
Un caso real que efectivamente alerta de este problema fue el ataque en 2024 a Ascension, una red hospitalaria estadounidense, donde cibercriminales usaron esto para exfiltrar millones de datos personales y médicos. El origen fue un usuario que hizo clic en un enlace equivocado, abrió la puerta a los hackers para entrar como administradores.
Entonces, ¿por qué Microsoft mantiene RC4?
El 11 de octubre de 2024 Microsoft publicó que ya no recomendaría usar RC4 y que lo desactivaría automáticamente en futuras actualizaciones. Sin embargo, esas actualizaciones todavía no han llegado o no se han aplicado a todos los usuarios, y la configuración sigue usando RC4 'por defecto'.
Wyden comenta que Microsoft solo recomienda configuraciones de seguridad sin obligación, lo que deja el sistema vulnerable a ataques indeseados.
"Según Microsoft, esta amenaza se puede mitigar configurando contraseñas largas de al menos 14 caracteres, pero el software de Microsoft no exige esa longitud para las cuentas privilegiadas", comenta Wyden.
Pero el problema de RC4 va mucho más allá y en los últimos meses se han descubierto todo tipo de vulnerabilidades críticas en Windows, incluyendo fallos que permiten la ejecución remota de código sin necesidad de que el usuario haga nada.
Por ejemplo, un error en el servicio de escritorio remoto de Windows permite que un atacante envíe paquetes manipulados y tome el control total del sistema de la nada. Además, el kernel de Windows, la parte central de su sistema, ha registrado errores que ponen en jaque la seguridad, junto a vulnerabilidades en componentes como los servicios de cifrado o drivers críticos.
Empresas como Microsoft han publicado cientos de parches en 2025 para intentar defenderse, pero todo esto no es sencillo y el tamaño del código hacen que siempre haya nuevas ventanas abiertas de par en par.
Para entender bien la dimensión, imagina que Windows está construido con más de 100 millones de líneas de código hechas en C, C++ y otros lenguajes. Por eso las actualizaciones vierten millones de líneas de código corregidas que, a su vez, pueden generar nuevas vulnerabilidades.
Aunque Microsoft ya se mueve en la dirección correcta a través de sus Patch Tuesday y nuevos desarrollos en programación más segura con la intención de que Windows 12 sea un auténtico búnker, los expertos y legisladores ya han dejado bastante clara la necesidad de acelerar y priorizar estas acciones.
*
Los comentarios expresados en las secciones de opinión, derechos de respuesta, reclamos del pueblo, campos pagados, negociemos, y en la opinión de los lectores y comentarios de terceros al final de las notas o en las páginas de redes sociales, son responsabilidad exclusiva de sus autores. La Voz de Goicoechea (www.lavozdegoicoechea.info) es un medio de comunicación independiente, y no toma como suyas dichas opiniones por lo que no se responsabiliza por el contenido emitido por terceros. Todas las imágenes que muestra este medio, se utilizan solo con fines ilustrativos, por tanto se respetan todos los derechos de autor según corresponda en cada caso, siendo nuestra principal labor de la informar a nuestros lectores.
Porque nuestros seguidores internacionales, nos lo han solicitado. Ahora
pueden apoyarnos financieramente, desde cualquier lugar del mundo
https://www.paypal.me/LaVozdeGoicoechea
For more information, please write to us at: soporte@lavozdegoicoechea.info
Apóyanos para seguir ejerciendo un periodismo serio e
independiente
Somos La Voz de Goicoechea
El periódico digital de nuestro querido cantón
Escríbannos a nuestro correo electrónico
Y déjanos tus comentarios al final de cada nota que presentamos
nos interesa tú opinión al respecto. Te invitamos a participar...
nos interesa tú opinión al respecto. Te invitamos a participar...
2017 © 2025
Miembro de la Red de Medios Alternativos Independientes - REDMAI
Producciones Periodísticas y Publicitarias Montezuma
Goicoechea, San José - Costa Rica
.jpg)
0 Comentarios
Queremos ver tus comentarios, estos nos enriquecen y ayudan a mejorar nuestras publicaciones :
_______________________________________________