Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Problemas de autenticación por tarjetas inteligentes tras actualización de seguridad de Windows

Problemas de autenticación por tarjetas inteligentes tras actualización de seguridad de Windows

por Dragora

Microsoft ha confirmado que las actualizaciones de seguridad de Windows de octubre de 2025 están provocando problemas de autenticación con tarjetas inteligentes y certificados digitales en todas las versiones compatibles de Windows 10, Windows 11 y Windows Server, incluyendo las más recientes destinadas a una implementación generalizada.

De acuerdo con la compañía, el origen de la falla se encuentra en una modificación interna de los Servicios Criptográficos de Windows, un cambio diseñado para fortalecer la seguridad de la infraestructura criptográfica, pero que ha tenido efectos colaterales en los procesos de autenticación de algunos sistemas.


Fallas en autenticación y firma digital tras la actualización

Los usuarios y administradores afectados están reportando una amplia gama de errores relacionados con la autenticación basada en certificados, incluyendo:

  • Imposibilidad de firmar documentos electrónicos.

  • Fallas en aplicaciones que dependen de certificados RSA.

  • Tarjetas inteligentes no reconocidas como proveedores de servicio criptográfico (CSP) en aplicaciones de 32 bits.

  • Mensajes de error como:

    • “Tipo de proveedor no válido especificado”.

    • “Error CryptAcquireCertificatePrivateKey”.

Estos errores impactan especialmente en entornos corporativos donde se utilizan tarjetas inteligentes para acceder a sistemas, firmar digitalmente documentos o ejecutar autenticaciones seguras.


Cambio de CSP a KSP: una mejora de seguridad con efectos secundarios

Microsoft explicó que la causa principal está relacionada con la transición del modelo CSP (Cryptographic Service Provider) a KSP (Key Storage Provider), un cambio implementado para reforzar la seguridad criptográfica de Windows.

“Este problema está relacionado con una reciente mejora de seguridad de Windows para usar KSP en lugar de CSP para certificados de tarjetas inteligentes basados en RSA con el objetivo de mejorar la criptografía”, aclaró la compañía en un comunicado oficial.

El cambio afecta la forma en que los certificados RSA de las tarjetas inteligentes son manejados por el sistema, lo que ha provocado incompatibilidades con aplicaciones y controladores más antiguos que aún dependen de CSP.


Cómo detectar si tu tarjeta inteligente está afectada

Microsoft indicó que es posible detectar si una tarjeta inteligente será afectada antes de instalar la actualización. Para ello, los administradores pueden revisar el registro de eventos del sistema y comprobar si aparece el Identificador de evento 624 asociado al servicio de tarjeta inteligente.

Si este evento está presente, es probable que, tras instalar la actualización de seguridad de octubre de 2025, el sistema experimente errores de autenticación o firma digital.


La raíz del problema: CVE-2024-30098

El fallo está directamente relacionado con la vulnerabilidad CVE-2024-30098, una falla de omisión de funciones de seguridad en los Servicios Criptográficos de Windows.

Para mitigar este riesgo, las actualizaciones de octubre habilitan por defecto una corrección de seguridad que cambia la clave del Registro DisableCapiOverrideForRSA a valor 1, lo que aísla las operaciones criptográficas del sistema respecto a las implementaciones de las tarjetas inteligentes.

Aunque esta modificación evita que un atacante cree una colisión hash SHA1 para eludir firmas digitales, también ha provocado interrupciones en la autenticación RSA en ciertos entornos corporativos.


Solución temporal: editar el Registro de Windows

Hasta que Microsoft publique una solución definitiva, los usuarios y administradores pueden restablecer la compatibilidad manualmente modificando la clave del Registro DisableCapiOverrideForRSA.

Procedimiento recomendado:

  1. Abrir el Editor del Registro

    • Presiona Win + R, escribe

      1
      regedit

      y presiona Enter.

    • Acepta los permisos del Control de cuentas de usuario (UAC).

  2. Navegar hasta la subclave

    1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais
  3. Editar la clave DisableCapiOverrideForRSA

    • Si existe, haz doble clic en ella.

    • En el campo Datos de valor, escribe:

      1
      0

      .

  4. Guardar los cambios y reiniciar

    • Cierra el Editor del Registro.

    • Reinicia el equipo para aplicar los cambios.

Advertencia: Antes de realizar cualquier modificación en el Registro, es crucial crear una copia de seguridad del sistema. Un error en esta área podría afectar la estabilidad del sistema operativo.

Microsoft confirmó que esta es una solución temporal. La clave de Registro DisableCapiOverrideForRSA será eliminada en abril de 2026, por lo que los usuarios deberán colaborar con sus proveedores de software y hardware para actualizar sus aplicaciones y controladores antes de esa fecha.

Resultado de imagen de Problemas de autenticación por tarjetas inteligentes


Antecedentes: otros problemas tras las actualizaciones recientes

Este no es el primer incidente causado por las actualizaciones de seguridad recientes de Windows. En semanas anteriores, Microsoft también:

  • Solucionó un error de autenticación de tarjeta inteligente en Windows 10 que afectaba las conexiones por Escritorio remoto.

  • Corrigió fallas en sitios web de IIS y conexiones HTTP/2 localhost (127.0.0.1) que se rompían tras las actualizaciones acumulativas.

  • Eliminó dos retenciones de compatibilidad que bloqueaban la actualización a Windows 11 versión 24H2 a través de Windows Update.

Estos incidentes destacan los riesgos y desafíos de mantener la compatibilidad entre nuevas medidas de seguridad y entornos empresariales con infraestructura heredada.


Recomendaciones para administradores y empresas

Los equipos de TI y seguridad deben implementar medidas preventivas para minimizar los efectos de esta actualización:

  • Verificar la compatibilidad de las tarjetas inteligentes con KSP antes de instalar las actualizaciones.

  • Actualizar controladores y software de autenticación de los proveedores correspondientes.

  • Supervisar los registros de eventos del sistema para detectar errores de autenticación.

  • Evitar modificaciones permanentes al Registro, ya que la solución temporal será eliminada por Microsoft en 2026.

  • Seguir las actualizaciones del Centro de Soporte de Microsoft para aplicar futuras correcciones oficiales.


En fin…

El incidente de autenticación con tarjetas inteligentes demuestra cómo los avances en seguridad criptográfica de Windows pueden impactar temporalmente la funcionalidad de sistemas empresariales.

Aunque Microsoft ha ofrecido una solución temporal mediante el Registro, la compañía recomienda que los usuarios trabajen con sus proveedores para adaptar sus sistemas a la nueva infraestructura KSP antes de abril de 2026.

La migración completa hacia un modelo de criptografía más robusto es esencial para proteger los entornos corporativos contra vulnerabilidades como CVE-2024-30098, pero exige una transición planificada y supervisada.

Fuente: Bleeping Computer

You may also like

Dejar Comentario

Click to listen highlighted text!