{"id":26655,"date":"2023-09-14T13:57:51","date_gmt":"2023-09-14T19:57:51","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26655"},"modified":"2023-09-14T13:58:39","modified_gmt":"2023-09-14T19:58:39","slug":"windows-system-time-sudden-changes","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/windows-system-time-sudden-changes\/26655\/","title":{"rendered":"Hora incorrecta en el sistema e inseguridad con el Secure Time Seeding"},"content":{"rendered":"

Cada cierto tiempo los administradores y usuarios de Windows 10 se preguntan<\/a> por qu\u00e9 la hora de su sistema se ve modificado durante varias semanas, meses e incluso a\u00f1os (unas veces adelant\u00e1ndose<\/a> y otras retras\u00e1ndose<\/a>).<\/p>\n

\u00bfCu\u00e1l puede ser la causa de estos saltos? Los periodistas de Ars Technica hicieron una peque\u00f1a investigaci\u00f3n<\/a> y descubrieron que podr\u00eda estar relacionado con la funci\u00f3n Secure Time Seeding. En este art\u00edculo voy a explicar c\u00f3mo esta funci\u00f3n act\u00faa y qu\u00e9 se puede hacer para evitar esos saltos de hora imprevisibles.<\/p>\n

\u00bfQu\u00e9 es Secure Time Seeding?<\/h2>\n

Secure Time Seeding (STS)<\/a> se a\u00f1adi\u00f3 a Windows 10 en 2015. Esta funci\u00f3n pretende corregir las discrepancias entre la hora que da el sistema y la real, especialmente para cuando la bater\u00eda del ordenador se agota y el reloj en tiempo real<\/a> muere provocando que los ajustes de hora no tengan nada que ver con la realidad.<\/p>\n

Pero \u00bfpor qu\u00e9 es tan necesaria que esta discrepancia en la hora se corrija? Curiosamente, por seguridad. Por lo general, el intercambio de datos cliente-servidor (incluida la conexi\u00f3n del sistema con los servidores de hora<\/a> de internet) est\u00e1n protegidos con protocolos encriptados SSL\/TLS. Para establecer una conexi\u00f3n real con el servidor, el cliente primero tiene que verificar el certificado digital, el cual tiene un periodo de validez determinado. Por ello, si la hora del sistema tiene un error significativo, el certificado puede considerarlo caducado y no establecer\u00e1 una conexi\u00f3n segura.<\/p>\n

Es un c\u00edrculo vicioso: el ordenador para fijar la hora actual debe saber cu\u00e1l es. No tiene por qu\u00e9 ser una hora totalmente precisa, una hora aproximada tambi\u00e9n puede funcionar. Pero cu\u00e1nto mayor sea la diferencia entre la hora del sistema y la hora real, mayor ser\u00e1 la posibilidad de que el certificado sea identificado como caducado.<\/p>\n

STS introduce, al menos desde el punto de vista de sus desarrolladores, una manera de que el sistema pueda autom\u00e1ticamente identificar y corregir las grandes discrepancias, incluso cuando no se puede establecer una conexi\u00f3n segura con ning\u00fan servidor. Para conseguirlo usan las marcas de tiempo y las fechas de caducidad que contienen los certificados digitales en los datos enviados a los servidores de cliente durante el establecimiento inicial de una conexi\u00f3n segura (los handshakes de SSL y TLS).<\/p>\n

El algoritmo de STS es desconocido. Pero la idea general es que Windows extrae los datos del handshake de SSL y los usa para calcular un rango fiable de la hora actual, asign\u00e1ndole una probabilidad. A medida que dispone de nuevos datos, el rango se actualiza y la probabilidad puede aumentar gradualmente. Cuando alcanza un determinado umbral, el STS decide cambiar la hora del sistema a la hora media del rango que considera fiable. En teor\u00eda, esa precisi\u00f3n deber\u00eda de ser suficiente para establecer una conexi\u00f3n segura, conectarse a un servidor de hora actual y obtener la hora exacta.<\/p>\n

\u00bfPor qu\u00e9 deber\u00edas desactivar Secure Time Seeding?<\/strong><\/p>\n

El principal problema es que la funci\u00f3n est\u00e1 activada por defecto en Windows 10 y funciona independientemente a si el reloj integrado en el ordenador ha sido sincronizado alguna vez. Como consecuencia, STS puede reestablecer la hora cada vez que el algoritmo secreto de Windows decida que hay demasiadas se\u00f1ales que le indiquen que la hora del reloj no es la correcta y que debe solucionarlo.<\/p>\n

No se saben a\u00fan la raz\u00f3n por la que Secure Time Seeding falla. Una posible causa es que aumento significativo de las implementaciones SSL\/TLS que env\u00edan una marca de tiempo incorrecta durante el handshake. El principal sospechoso de esto ser\u00eda el uso frecuente de la biblioteca OpenSSL que, en lugar de la hora actual del servidor, pone valores aleatorios en la marca del tiempo.<\/p>\n

Adem\u00e1s, este fallo puede ocurrir en cualquier versi\u00f3n del sistema operativo: en Windows Server 2016, en Windows Server 2019 y tambi\u00e9n en Windows Server 2022. Y mientras que para los usuarios habituales de ordenador el problema es poco m\u00e1s que una molestia, para los servidores puede ser catastr\u00f3fico, ya que su correcto funcionamiento depende a menudo de que la hora sea exacta.<\/p>\n

Existe un consejo no oficial<\/a> al respecto de un trabajador s\u00e9nior del soporte del servicio t\u00e9cnico oficial de Microsoft para administradores de controladores de dominio Active Directory:<\/p>\n

\u201cHola gente, si administras controladores de dominio Active Directory, quiero darte un consejo NO OFICIAL que es \u00fanicamente mi opini\u00f3n personal: desactiva Secure Time Seedind para V32time en tus CDs.\u201d<\/p><\/blockquote>\n

\"Consejo<\/a>

Consejo no oficial de un ingeniero s\u00e9nior especializado en Windows: desactiva Secure Time Seeding.<\/p><\/div>\n

Desactiva Secure Time Seeding en Windows<\/h2>\n

Para desactivar STS localiza, localiza la siguiente clave de registro de Windows:<\/p>\n

\u00a0HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\Config<\/p><\/blockquote>\n

Encuentra el valor UtilizeSslTimeData y ponlo a 0.<\/p>\n

\"Desactivaci\u00f3n<\/a>

Desactivaci\u00f3n de Secure Time Seeding en el registro de Windows.<\/p><\/div>\n

Tambi\u00e9n puedes ejecutar el siguiente comando<\/a> como administrador en el s\u00edmbolo del sistema de Windows (CMD).<\/p>\n

reg add HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\w32time\\Config \/v UtilizeSslTimeData \/t REG_DWORD \/d 0 \/f<\/p><\/blockquote>\n

Es necesario reiniciar el sistema despu\u00e9s de haber cambiado el valor. Si esto es complicado o imposible, puedes forzar la actualizaci\u00f3n con este comando:<\/p>\n

W32tm.exe \/config \/update<\/p><\/blockquote>\n

Hecho esto, la funci\u00f3n STS dejar\u00e1 de molestarte. Ahora solo queda asegurarse de que el reloj del sistema siempre sea preciso. Respecto a esto, el art\u00edculo de Ars Technica<\/a> da un par de consejos \u00fatiles para los administradores de servidores.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

\u00bfPor qu\u00e9 el sistema de Windows puede cambiar de repente la hora y c\u00f3mo evitar que esto suceda?<\/p>\n","protected":false},"author":2726,"featured_media":26658,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[38,288,647,79],"class_list":{"0":"post-26655","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-seguridad","11":"tag-ssl","12":"tag-vulnerabilidades","13":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/windows-system-time-sudden-changes\/26655\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/windows-system-time-sudden-changes\/26162\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/windows-system-time-sudden-changes\/21623\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/windows-system-time-sudden-changes\/28859\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/windows-system-time-sudden-changes\/26469\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/windows-system-time-sudden-changes\/29140\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/windows-system-time-sudden-changes\/35996\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/windows-system-time-sudden-changes\/48956\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/windows-system-time-sudden-changes\/20952\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/windows-system-time-sudden-changes\/21736\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/windows-system-time-sudden-changes\/30440\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/windows-system-time-sudden-changes\/26743\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/windows-system-time-sudden-changes\/32471\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/windows-system-time-sudden-changes\/32125\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/windows\/","name":"Windows"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26655","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26655"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26655\/revisions"}],"predecessor-version":[{"id":26660,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26655\/revisions\/26660"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26658"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26655"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26655"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26655"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}