Post de Bret Arsenault, Corporate Vice President and Chief Cybersecurity Advisor
En Microsoft, renovamos y hacemos evolucionar continuamente nuestra estrategia de ciberseguridad para adelantarnos a las amenazas dirigidas a nuestros productos y clientes. Como parte de nuestros esfuerzos para dar prioridad a la transparencia y demostrar nuestros avances, estamos compartiendo de forma periódica los hitos y los progresos que estamos consiguiendo con la Iniciativa Futuro Seguro (SFI por sus siglas en inglés). Se trata de un compromiso de varios años que avanza la forma en que diseñamos, construimos, probamos y operamos nuestra tecnología, con el fin de garantizar que los productos y servicios que ofrecemos son seguros, fiables y dignos de confianza, ayudando a nuestros clientes a alcanzar sus objetivos de transformación digital y a proteger sus datos y activos de actores maliciosos.
La misión de Microsoft de capacitar a todas las personas y organizaciones del planeta para lograr más depende de la seguridad. Reconocemos que Microsoft desempeña un papel pionero en tecnología de vanguardia, mientras, al mismo tiempo, tenemos la responsabilidad de liderar y velar por la protección de nuestros clientes y de nuestra propia infraestructura frente a las ciberamenazas. Ante el ritmo, escala y complejidad exponencialmente crecientes del panorama de la seguridad, es fundamental que evolucionemos para ser más dinámicos, proactivos y actuemos de forma más integrada en lo que respecta a nuestro modelo de seguridad, para seguir satisfaciendo las necesidades y expectativas cambiantes tanto de nuestros clientes como del mercado. Nuestra vasta historia en innovación es ejemplo de nuestro compromiso de ofrecer productos y servicios innovadores, impactantes y fiables que transforman industrias y vidas. Este legado continúa mientras trabajamos constantemente para establecer nuevos puntos de referencia para salvaguardar nuestro futuro digital.
Para ampliar nuestra estrategia de seguridad integrada, en noviembre de 2023 lanzamos la Iniciativa Futuro Seguro (SFI) para hacer frente a la creciente velocidad, escala y sofisticación de los ciberataques actuales. Esta iniciativa es una estrategia con la que nos anticipábamos y que refleja las medidas que estamos tomando para «construir y responder mejor» en materia de seguridad, utilizando la automatización y la IA para mejorar este trabajo y reforzar la protección de identidades frente a ciberataques altamente sofisticados. No se trata de adaptar nuestras defensas a un único ciberataque: SFI subraya la importancia de un modelo de seguridad en evolución continua y proactiva, que se adapte al panorama digital en constante cambio.
Han pasado cuatro meses desde que presentamos la Iniciativa SFI, y los logros en nuestros desarrollos de ingeniería demuestran las acciones concretas que hemos implementado para certificar que la infraestructura de seguridad de Microsoft se mantenga fuerte en un entorno digital en constante cambio. A continuación, se comparte información actualizada sobre la iniciativa.
Transformación del desarrollo de software con automatización e IA
Como señalábamos cuando anunciamos SFI el pasado 2 de noviembre de 2023, estamos evolucionando nuestro ciclo de vida de desarrollo de seguridad (SDL) hacia un SDL continuo, que definimos como la aplicación de procesos sistemáticos para integrar continuamente protección de ciberseguridad contra patrones de amenazas emergentes, a medida que nuestros ingenieros codifican, prueban, despliegan y ponen en producción nuestros sistemas y servicios. Más información sobre el SDL continuo aquí.
Como parte de dicha evolución hacia la SDL continua, estamos desplegando CodeQL para el análisis de código en el 100% de nuestros productos comerciales. CodeQL es una potente herramienta de análisis estático en el ámbito de la seguridad del software. Ofrece funciones avanzadas en numerosos lenguajes de programación que detectan errores de seguridad complejos en el código fuente. Mientras que nuestros repositorios de código pasan por una rigurosa evaluación SDL aprovechando las herramientas tradicionales, como parte de nuestra iniciativa SFI, ahora usamos CodeQL para cubrir el 86% de nuestros repositorios de código Azure DevOps de nuestras áreas de negocio, de Cloud e IA, empresa y dispositivos, seguridad, y misiones estratégicas y tecnología. Estamos yendo más allá y anticipamos que completar el proceso de consolidación del último 14% será un viaje complejo y que llevará varios años, ya que hay repositorios de código específicos y herramientas de ingeniería que requieren trabajo adicional. En 2023, incorporamos más de mil millones de líneas de código fuente a CodeQL, lo que pone de manifiesto nuestro compromiso por seguir progresando en este sentido.
Entre los esfuerzos para ampliar la adopción de lenguajes seguros en memoria, donamos 1 millón de dólares en diciembre de 2023 a la Fundación Rust, un partner integral en la gestión del lenguaje de programación Rust. Asimismo, aportaremos otros 3,2 millones de dólares al proyecto Alpha-Omega. En asociación con la Open Source Security Foundation (OpenSSF) y codirigido con Google y Amazon, la misión de Alpha-Omega es impulsar mejoras de seguridad en los proyectos y ecosistemas de software de código abierto más extendidos y críticos para la infraestructura mundial. Nuestra contribución de este año ayudará a ampliar la cobertura, duplicando el número de proyectos de código abierto ampliamente desplegados que analizamos, entre los que se incluyen 100 de las bibliotecas de IA de código abierto más utilizadas. El Informe Anual Alfa-Omega 2023 destaca las mejoras en seguridad y procesos del año pasado y los avances hacia el fomento de una cultura sostenible de seguridad en las comunidades de código abierto.
Los avances que hemos logrado impulsados por la SFI junto a la ampliación de la SDL continua, el fomento de las actualizaciones seguras de código abierto y la adopción de lenguajes seguros para la memoria, refuerzan los cimientos del software en los propios productos y plataformas de Microsoft, así como en la industria en general.
Refuerzo de la protección de la identidad frente a ataques muy sofisticados
Como parte de nuestros avances en ingeniería SFI, hemos reforzado el uso de bibliotecas de identidad estándar, como Microsoft Authentication Library (MSAL) en toda Microsoft. Esta iniciativa es fundamental para lograr un marco de verificación de identidad cohesivo y fiable. Facilita una gestión de identidades de usuarios, dispositivos y servicios sin fisuras y conforme a las políticas en todas las plataformas y productos de Microsoft, lo que garantiza una estrategia de seguridad fortificada y coherente.
Nuestros esfuerzos ya han dado como resultado logros dignos de mención en varias áreas clave. Por ejemplo, hemos alcanzado un hito importante con la plena integración de MSAL en Microsoft 365 en las cuatro plataformas principales: Windows, macOS, iOS y Android, algo que marca un avance significativo hacia la estandarización universal. Esta integración garantiza que las aplicaciones de Microsoft 365 estén respaldadas por un mecanismo de autenticación unificado. En el ecosistema Azure, que abarca herramientas críticas como Microsoft Visual Studio, Azure SDK y Microsoft Azure CLI, MSAL ha sido totalmente adoptado, lo que demuestra nuestro compromiso con los procesos de autenticación seguros y simplificados dentro de nuestras herramientas de desarrollo. Además, más del 99% de las solicitudes internas de autenticación de servicio a servicio, que utilizan Microsoft Entra para la autorización, ahora utilizan MSAL, lo que pone de relieve nuestra dedicación a impulsar la seguridad y la eficiencia en las comunicaciones entre servicios. En última instancia, estos hitos refuerzan aún más la identidad y la autorización en todo nuestro entorno, haciendo cada vez más difícil que las amenazas y los intrusos se muevan entre usuarios y sistemas.
De cara al futuro, nos hemos fijado objetivos ambiciosos para seguir reforzando nuestra infraestructura de seguridad. Para finales de este año, queremos automatizar completamente la gestión de las claves Microsoft Entra ID y Microsoft Account (MSA). Este proceso incluirá la rotación rápida y el almacenamiento seguro de las claves dentro de los módulos de seguridad de hardware (HSM), lo que mejorará significativamente nuestras medidas de seguridad. Además, estamos en vías de garantizar que las aplicaciones más utilizadas de Microsoft realicen la transición a bibliotecas de identidad estándar para finales de año. Con estas iniciativas no sólo pretendemos aumentar la seguridad, sino también mejorar la experiencia del usuario y agilizar los procesos de autenticación en toda nuestra gama de productos.
Mantenerse al día sobre las últimas actualizaciones de la Iniciativa Futuro Seguro
A medida que avanzamos con la SFI, en Microsoft mantenemos inquebrantable nuestro compromiso por renovar y hacer evolucionar continuamente nuestra estrategia de seguridad y ofrecer transparencia en nuestras comunicaciones. Nos dedicamos a innovar, proteger y liderar en una era en la que las amenazas digitales cambian constantemente. Los logros que hemos compartido hoy son sólo una parte de nuestra estrategia global para salvaguardar la infraestructura digital y a los clientes que confían en ella.
En los próximos meses, seguiremos compartiendo nuestros avances en la mejora de nuestras capacidades, el despliegue de tecnologías innovadoras y el fortalecimiento de nuestras colaboraciones para hacer frente a las complejidades de la ciberseguridad. Estamos comprometidos con construir un mundo digital más seguro, centrándonos en la transparencia y la seguridad en cada paso.
Para obtener más información sobre la SFI de Microsoft y leer más detalles sobre nuestros tres avances en ingeniería, visite nuestro site de seguridad integrada.
Obtenga más información sobre las soluciones de seguridad de Microsoft y visite el blog de seguridad para mantenerse al día en estos temas. Además, puede seguirnos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
Post original aquí