Microsoft recientemente ha emitido una nuevo aviso de seguridad para los administradores de TI que se encargan de gestionar los controladores de dominio de Windows, marcando el inicio de una nueva fase de refuerzo en la protección de Kerberos. Este protocolo de autenticación vuelve a estar bajo la lupa tras descubrirse la vulnerabilidad CVE-2026-20833, que afectaba a múltiples versiones de Windows Server.
Hace un año, la compañía había implementado un proceso de endurecimiento de Kerberos para evitar los ataques relacionados con el cifrado. Ahora, ese esfuerzo se amplía con nuevas medidas que buscan eliminar algoritmos obsoletos y reforzar la seguridad de las credenciales en entornos corporativos.
Nueva fase de refuerzo contra CVE-2026-20833
La vulnerabilidad CVE-2026-20833 permite a los atacantes aprovechar los algoritmos de cifrados débiles como RC4 para obtener tickets de servicio y robar credenciales de cuentas de servicios. Según la propia compañía, el fallo impacta a los controladores de dominio que ejecutan las siguientes versiones de Windows Server:
- Windows Server 2008 y 2008 R2 (Garantía Premium)
- Windows Server 2012 y 2012 R2 (ESU)
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
Para mitigar este riesgo, la empresa ha lanzado actualizaciones críticas dentro del Patch Tuesday de enero de 2026, que incluyen eventos de auditoría y ajustes en el registro del sistema para facilitar una transición segura hacía algoritmos modernos como AES-SHA1.
Recomendamos a todos los administradores aplicar las actualizaciones más recientes y comenzar a monitorear los eventos de auditoría para prepararse para las próximas fases de implementación, señaló Microsoft en su comunicado oficial.
Tres fases de implementación progresiva
Microsoft ha dividido el proceso de refuerzo en tres etapas que se extenderán hasta mediados de 2026:
- Fase de Implementación Inicial (enero a abril de 2026)
- Se introducen eventos de auditoría y el valor de registro RC4DefaultDisablementPhase para permitir un uso seguro de AES-SHA1.
- Segunda Fase de Implementación (abril a julio de 2026)
- Los controladores de dominio comenzarán a aplicar AES-SHA1 incluso en cuentas sin el atributo msds-SupportedEncryptionTypes definido.
- Fase de Cumplimiento (julio de 2026 en adelante)
- Se eliminará definitivamente la subclave RC4DefaultDisablementPhase, bloqueando el uso de RC4 y cerrando la puerta a ataques basados en cifrados antiguos.
Qué deben hacer los administradores de TI
Microsoft ha instado a los equipos de TI a instalar las actualizaciones de enero de 2026 cuanto antes y monitorear los registros de auditoría para verificar si sus sistemas están listos para adoptar la siguiente fase de refuerzo.
La compañía también recomienda revisar las configuraciones de cifrado en Active Directory y documentar cualquier dependencia con algoritmos antiguos, ya que estos dejarán de ser compatibles durante 2026. El artículo técnico completo y las guías detalladas se encuentran disponibles en el portal de soporte de Microsoft.