Queria compartir esta nota publicada por Microsoft-News. Saludos.

Por: David Weston, vicepresidente de seguridad empresarial y de sistemas operativos.

Antes de la conferencia Microsoft Build 2024, anunciamos una nueva clase de computadoras con Windows, Copilot+ PC. Junto con esta nueva y emocionante clase de PC, presentamos importantes características y actualizaciones de seguridad que hacen que Windows 11 sea más seguro para los usuarios y las organizaciones y brindan a los desarrolladores las herramientas para priorizar la seguridad.

El panorama actual de amenazas no se parece a ninguno que hayamos visto antes. Los ataques crecen en velocidad, escala y sofisticación. En 2015, nuestros sistemas de identidad detectaban alrededor de 115 ataques de contraseñas por segundo. Menos de una década después, ese número ha aumentado un 3.378% a más de 4 mil ataques de contraseñas por segundo.¹ Este panorama requiere enfoques de seguridad más sólidos y completos que nunca, en todos los dispositivos y tecnologías que usamos en nuestras vidas, tanto en el hogar como en el trabajo.

La ciberseguridad a la vanguardia de todo lo que hacemos

Siempre hemos tenido un compromiso de larga data con la seguridad en Windows. Hace varios años, cuando vimos que los ciberatacantes explotaban cada vez más el hardware, introdujimos la PC de núcleo seguro para ayudar a proteger desde el chip hasta la nube y esa capa crítica de la computación.

A medida que hemos visto que los ciberataques basados en la identidad aumentan a un ritmo alarmante a lo largo de los años, hemos ampliado nuestras ofertas sin contraseña de forma rápida y amplia. En septiembre de 2023, anunciamos la ampliación de la compatibilidad con claves de acceso con autenticación entre dispositivos, y continuamos con el aprovechamiento de ese impulso. A principios de este mes, anunciamos la compatibilidad con claves de paso para las cuentas de consumidor de Microsoft y para las claves de paso vinculadas al dispositivo en la aplicación Microsoft Authenticator para usuarios de iOS y Android, para ampliar nuestro apoyo a esta iniciativa de la industria respaldada por FIDO Alliance. Las claves de acceso en Windows están protegidas por la tecnología Windows Hello que abarca Windows Hello y Windows Hello para empresas. Este último paso se basa en casi una década de trabajo crítico para fortalecer Windows Hello para brindar a los usuarios opciones de inicio de sesión más fáciles y seguras y eliminar los puntos de vulnerabilidad.

A principios de este mes, ampliamos nuestra Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés), para dejar claro que priorizamos la seguridad por encima de todo. SFI, un compromiso que compartimos por primera vez en noviembre de 2023, prioriza el diseño, la construcción, las pruebas y el funcionamiento de nuestra tecnología de una manera que ayude a garantizar una entrega segura y confiable de productos y servicios. Con estos compromisos en mente, no solo hemos incorporado nuevas características de seguridad en Windows 11, sino que también hemos duplicado las características de seguridad que estarán activadas de forma predeterminada. Nuestro objetivo se mantiene simple: hacer que sea fácil mantenerse seguro con Windows. 

Hoy compartimos emocionantes actualizaciones que hacen que Windows sea más seguro desde el primer momento, por diseño y de forma predeterminada.

Hardware moderno y seguro

Creemos que la seguridad es un deporte de equipo. Trabajamos en estrecha colaboración con nuestros socios fabricantes de equipos originales (OEM, por sus siglas en inglés) para complementar las características de seguridad de los OEM y ofrecer dispositivos más seguros desde el primer momento.

Si bien las PC de núcleo seguro alguna vez se consideraron dispositivos especializados para aquellos que manejan datos confidenciales, ahora los usuarios de Windows pueden beneficiarse de la seguridad mejorada y la IA en un solo dispositivo. Anunciamos que todas las Copilot+ PC serán PC de núcleo seguro, lo que brindará seguridad avanzada a los dispositivos comerciales y de consumo. Además de las capas de protección de Windows 11, los equipos de núcleo seguro proporcionan protecciones de firmware avanzadas y medición dinámica de la raíz de confianza para ayudar a proteger desde el chip hasta la nube.

El procesador de seguridad Microsoft Pluton estará habilitado de forma predeterminada en todos los equipos Copilot+. Pluton es una tecnología de seguridad del chip a la nube, diseñada por Microsoft y creada por socios de silicio, con los principios de Zero Trust en el núcleo. Ayuda a proteger las credenciales, las identidades, los datos personales y las claves de cifrado, lo que hace que sea mucho más difícil de eliminar, incluso si un ciberatacante instala malware o tiene posesión física de la PC.

Todos los equipos Copilot+ también se enviarán con la seguridad de inicio de sesión mejorada (ESS, por sus siglas en inglés) de Windows Hello. Esto proporciona inicios de sesión biométricos más seguros y elimina la necesidad de una contraseña. ESS proporciona un nivel adicional de seguridad a los datos biométricos al aprovechar los componentes especializados de hardware y software, como la seguridad basada en virtualización (VBS, por sus siglas en inglés) y el Módulo de plataforma segura 2.0 para ayudar a aislar y proteger los datos de autenticación y asegurar el canal en el que se comunican. ESS también está disponible en otros dispositivos compatibles con Windows 11.

Adelántense a las amenazas en evolución con Windows

Para mejorar la seguridad del usuario desde el principio, actualizamos de manera continua las medidas de seguridad y habilitamos nuevos valores predeterminados dentro de Windows.

Windows 11 está diseñado con capas de seguridad habilitadas de forma predeterminada, por lo que pueden concentrarse en su trabajo, no en su configuración de seguridad. Las funciones listas para usar, como las protecciones de credenciales, los escudos contra malware y la protección de aplicaciones, condujeron a una caída del 58% en los incidentes de seguridad, incluida una reducción de 3,1 veces en los ataques de firmware. En Windows 11, el hardware y el software trabajan juntos para ayudar a reducir la superficie de ataque, proteger la integridad del sistema y proteger los datos valiosos.²

El robo de credenciales e identidad es uno de los principales objetivos de los ciberatacantes. La habilitación de la autenticación multifactor con Windows Hello, Windows Hello para empresas y las claves de paso son soluciones eficaces de autenticación multifactor. Pero, a medida que más personas habilitan la autenticación multifactor, los ciberatacantes se alejan de los simples ataques basados en contraseñas y centran su energía en otros tipos de robo de credenciales. Hemos trabajado para hacer esto más difícil con nuestras últimas actualizaciones:

• Protección de la autoridad de seguridad local: Windows tiene varios procesos críticos para comprobar la identidad de un usuario, incluida la autoridad de seguridad local (LSA, por sus siglas en inglés). LSA autentica a los usuarios y comprueba los inicios de sesión de Windows, para controlar tokens y credenciales, como contraseñas, que se usan para el inicio de sesión único en cuentas de Microsoft y servicios de Microsoft Azure. La protección LSA, que antes estaba activada de forma predeterminada para todos los dispositivos comerciales nuevos, ahora también está habilitada de forma predeterminada para los nuevos dispositivos de consumo. Para los usuarios que actualicen donde no se haya habilitado de manera previa, para los nuevos dispositivos de consumo y para los usuarios que actualicen donde no se haya habilitado, la protección LSA entrará en un período de gracia. La protección LSA evita que LSA cargue código que no sea de confianza y evita que los procesos que no son de confianza accedan a la memoria LSA, lo que ofrece una protección significativa contra el robo de credenciales.³
• Obsolescencia de NT LAN Manager (NTLM): La obsolescencia de NTLM ha sido una gran petición de nuestra comunidad de seguridad, ya que fortalecerá la autenticación de los usuarios, y la obsolescencia está prevista para la segunda mitad de 2024.
• Avance de la protección de claves en Windows mediante VBS: ahora disponible en versión preliminar pública para Windows Insiders, esta característica ayuda a ofrecer una barra de seguridad más alta que el aislamiento de software, con un rendimiento más sólido en comparación con las soluciones basadas en hardware, ya que funciona con la CPU del dispositivo. Si bien las claves respaldadas por hardware ofrecen sólidos niveles de protección, VBS es útil para servicios con altos requisitos de seguridad, confiabilidad y rendimiento.
• Protección de Windows Hello: con la tecnología de Windows Hello que se ha ampliado para proteger las claves de paso, si usa un dispositivo sin datos biométricos integrados, Windows Hello se ha reforzado aún más de forma predeterminada para usar VBS para aislar las credenciales, para proteger de ataques de nivel de administrador.

También hemos dado prioridad a ayudar a los usuarios a saber en qué aplicaciones y controladores se puede confiar para proteger mejor a las personas de los ataques de phishing y el malware. Windows crea nuevas capacidades de bandeja de entrada y proporciona más características para la comunidad de desarrolladores de aplicaciones de Windows para ayudar a fortalecer la seguridad de las aplicaciones.

• Smart App Control: Ahora disponible y activado de forma predeterminada en nuevos sistemas seleccionados en los que puede proporcionar una experiencia óptima, Smart App Control se ha mejorado con el aprendizaje de IA. A través de un modelo de IA basado en los 78 billones de señales de seguridad que Microsoft recopila cada día, esta función puede predecir si una aplicación es segura. La política mantiene en ejecución las aplicaciones comunes y conocidas como seguras, mientras que las aplicaciones desconocidas conectadas a malware están bloqueadas. Esta es una protección increíblemente efectiva contra el malware.
• Firma de confianza: las aplicaciones sin firmar plantean riesgos significativos. De hecho, la investigación de Microsoft ha revelado que una gran cantidad de malware viene en forma de aplicaciones sin firmar. La mejor manera de garantizar una compatibilidad perfecta con Smart App Control es al firmar su aplicación. La firma contribuye a su confiabilidad y ayuda a garantizar que una «buena reputación» existente sea heredada por futuras actualizaciones de la aplicación, lo que hace que sea menos probable que los sistemas de detección de amenazas la bloqueen de manera inadvertida. La firma de confianza, que se ha trasladado de manera reciente a la versión preliminar pública, simplifica este proceso al administrar todos los aspectos del ciclo de vida del certificado. Además, se integra con herramientas de desarrollo populares, como Azure DevOps y GitHub.
• Aislamiento de aplicaciones Win32: una nueva característica de seguridad, en la actualidad en versión preliminar, el aislamiento de aplicaciones Win32 facilita a los desarrolladores de aplicaciones de Windows la contención de daños y la protección de las opciones de privacidad del usuario en caso de que la aplicación se vea comprometida. El aislamiento de aplicaciones Win32 se basa en AppContainers, que ofrecen un límite de seguridad, y componentes que virtualizan los recursos y proporcionan acceso asincrónico a otros recursos, como el acceso a impresoras, registros y archivos. El aislamiento de aplicaciones Win32 está cerca de la disponibilidad general gracias a los comentarios de nuestra comunidad de desarrolladores. Los desarrolladores de aplicaciones ahora pueden usar el aislamiento de aplicaciones Win32 con una integración perfecta de Visual Studio.
• Hacer que los usuarios administradores sean más seguros: la mayoría de las personas se ejecutan como administradores completos en sus dispositivos, lo que significa que las aplicaciones y los servicios tienen el mismo acceso al kernel y otros servicios críticos que los usuarios. Y el problema es que estas aplicaciones y servicios pueden acceder a recursos críticos sin que el usuario lo sepa. Esta es la razón por la que Windows se actualiza para requerir acceso administrativo justo a tiempo al kernel y otros servicios críticos según sea necesario, no todo el tiempo, y claro está que no de forma predeterminada. Esto hace que sea más difícil para una aplicación abusar de manera inesperada de los privilegios de administrador y colocar en secreto malware o código malicioso en Windows. Cuando esta función está habilitada, por ejemplo, cuando una aplicación necesita permisos especiales, como derechos de administrador, se les pedirá su aprobación. Cuando se necesita una aprobación, Windows Hello proporciona una manera segura y sencilla de aprobar o denegar estas solicitudes, lo que les da a ustedes, y solo a ustedes, control total sobre su dispositivo. En la actualidad en versión preliminar privada, pronto estará disponible en versión preliminar pública. 
• Enclaves de VBS: antes solo disponibles para las características de seguridad de Windows, los enclaves de VBS ahora están disponibles para desarrolladores de aplicaciones de terceros. Este entorno ejecutivo de confianza basado en software dentro del espacio de direcciones de una aplicación host ofrece una protección profunda del sistema operativo de cargas de trabajo confidenciales, como el descifrado de datos. Prueben las API del enclave de VBS para experimentar cómo el enclave está protegido tanto de otros procesos del sistema como de la propia aplicación host. Esto da como resultado más seguridad para las cargas de trabajo confidenciales.

A medida que vemos que los ciberatacantes idean nuevas estrategias y objetivos, seguimos con el reforzamiento del código de Windows para abordar dónde los malos actores gastan su tiempo y energía.

• Impresión protegida de Windows: A finales de 2023, lanzamos el modo de impresión protegida de Windows para crear un sistema de impresión más moderno y seguro que maximice la compatibilidad y ponga a los usuarios en primer lugar. Este será el modo de impresión predeterminado en el futuro.
• Información sobre herramientas: En el pasado, se ha explotado la información sobre herramientas, lo que ha provocado el acceso no autorizado a la memoria. En versiones anteriores de Windows, la información sobre herramientas se administraba como una sola ventana para cada escritorio, establecida por el kernel y reciclada para mostrar cualquier información sobre herramientas. Renovamos el funcionamiento de la información sobre herramientas para que sea más segura para los usuarios. Con el enfoque actualizado, la responsabilidad de administrar el ciclo de vida de la información sobre herramientas se ha transferido a la aplicación respectiva que se utiliza. Ahora, el kernel monitorea la actividad del cursor e inicia cuentas regresivas para la visualización y ocultación de las ventanas de información sobre herramientas. Cuando estas cuentas regresivas concluyen, el kernel notifica al entorno de nivel de usuario que genere o elimine una ventana de información sobre herramientas.
• Autenticación del servidor TLS: Los certificados de autenticación del servidor TLS (seguridad de la capa de transporte) verifican la identidad del servidor con un cliente y garantizan conexiones seguras. Aunque antes se admitían claves de cifrado RSA de 1024 bits, los avances en la potencia informática y el criptoanálisis requieren que Windows ya no confíe en estas longitudes de clave débiles de forma predeterminada. Como resultado, no se confiará en los certificados TLS con claves RSA de menos de 2048 bits que se encadenan a raíces en el Programa raíz de confianza de Microsoft.

Por último, con cada versión de Windows, agregamos más palancas para que los clientes comerciales bloqueen Windows dentro de su entorno.

• Actualización de configuración: la actualización de configuración permite a los administradores establecer una programación para que los dispositivos vuelvan a aplicar la configuración de directiva sin necesidad de registrarse en Microsoft Intune u otros proveedores de administración de dispositivos móviles, lo que ayuda a garantizar que la configuración permanezca configurada por el administrador de TI. Se puede configurar para que se actualice cada 90 minutos de forma predeterminada o con una frecuencia de hasta 30 minutos. También hay una opción para pausar la actualización de configuración durante un período configurable, útil para la resolución de problemas o el mantenimiento, después del cual se reanudará de manera automática o un administrador puede reactivarla de manera manual.
• Firewall: el proveedor de servicios de configuración de firewall (CSP, por sus siglas en inglés) en Windows, ahora aplica una aplicación de reglas de firewall de todo o nada de cada bloque atómico de reglas. Antes, si el CSP encontraba un problema con la aplicación de cualquier regla de un bloque, el CSP no solo detenía esa regla, sino que también dejaba de procesar las reglas posteriores, lo que dejaba una posible brecha de seguridad con los bloques de reglas implementados de manera parcial. Ahora, si alguna regla del bloque no se puede aplicar de manera correcta al dispositivo, el CSP dejará de procesar la regla posterior y se revertirán todas las reglas de ese mismo bloque atómico, lo que eliminará la ambigüedad de los bloques de reglas implementados de manera parcial.
• Cifrado de datos personales (PDE): PDE mejora la seguridad al cifrar los datos y descifrarlos solo cuando el usuario desbloquea su PC con Windows Hello para empresas. PDE permite dos niveles de protección de datos. Nivel 1, donde los datos permanecen encriptados hasta que la PC se desbloquea por primera vez; o Nivel 2, donde los archivos se cifran cada vez que la PC está bloqueada. PDE complementa la protección de nivel de volumen de BitLocker y proporciona cifrado de doble capa para datos personales o de aplicaciones cuando se empareja con BitLocker. PDE ya está en versión preliminar y los desarrolladores pueden aprovechar la API de PDE para proteger el contenido de su aplicación, lo que permite a los administradores de TI administrar la protección mediante su solución de administración de dispositivos móviles. 
• DNS Zero Trust: ahora en versión preliminar privada, esta característica restringirá de forma nativa los dispositivos Windows para que se conecten solo a destinos de red aprobados por nombre de dominio. El tráfico IPv4 e IPv6 saliente se bloquea y no llegará al destino previsto a menos que un servidor DNS protegido y de confianza lo resuelva o un administrador de TI configure una excepción. Planifiquen ahora para evitar problemas de bloqueo mediante la configuración de aplicaciones y servicios para usar el solucionador de DNS del sistema.

Exploren las nuevas características de seguridad de Windows 11

En verdad creemos que la seguridad es un deporte de equipo. Al asociarnos con fabricantes de equipos originales, desarrolladores de aplicaciones y otros en el ecosistema, además de ayudar a las personas a protegerse mejor, ofrecemos un Windows que es más seguro por diseño y seguro por defecto. El Libro de seguridad de Windows está disponible para ayudarles a obtener más información sobre lo que facilita a los usuarios la seguridad con Windows.

Obtengan más información sobre Windows 11.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

¹Guía de contraseñas de Microsoft, Equipo de Microsoft Identity Protection. Año 2016.

²Informe de encuesta de Windows 11, Techaisle. Febrero 2022.

³Los usuarios pueden administrar su estado de protección LSA en la aplicación de seguridad de Windows en Seguridad del dispositivo -> Aislamiento del núcleo -> Autoridad de seguridad local.