Por: David Weston, vicepresidente de Seguridad Empresarial y de Sistema Operativo.
Los atacantes constantemente evolucionan y se vuelven cada vez más sofisticados y destructivos: el tiempo promedio que toma a un atacante acceder a tus datos privados si caes víctima de una estafa de phishing por correo electrónico es de 1 hora y 12 minutos. Microsoft rastrea más de 35 familias de ransomware y más de 250 atacantes de los Estados nación, ciberdelincuentes y otros atacantes. Contamos con la mejor inteligencia de amenazas: procesamos más de 43 trillones de señales al día, incluyendo 2,500 millones de búsquedas en dispositivos diariamente, y bloqueamos 921 ataques de contraseña cada segundo. Colaboramos con más de 15,000 socios en nuestro ecosistema de socios y tenemos más de 8,500 ingenieros, investigadores, científicos de datos, expertos en ciberseguridad, cazadores de amenazas, analistas geopolíticos y equipos de respuesta de primera línea en 77 países. Combinamos la inteligencia humana y de máquina con una IA integrada para aprender continuamente del panorama de los ataques y contamos con un equipo dedicado, Microsoft Offensive Research and Security Engineering (MORSE), que trabaja para detener las amenazas antes de que lleguen a nuestros dispositivos. Todo esto se incorpora en el proceso de diseño para proporcionar un Windows más seguro en cada versión.
“Debido a que Microsoft diseñó desde cero el modelo de seguridad de Windows 11 para que asumiera que algún componente se ha visto comprometido, los atacantes encontrarán mucho más difícil pasar desapercibidos (y persistir) en el ambiente que como solían hacerlo en las arquitecturas tradicionales”. – SANS Institute
Protección que evoluciona con el panorama de las amenazas
Hoy, nos complace anunciar que las funciones de seguridad de las que escucharon hablar en abril ya están disponibles en Windows 11.
Control de aplicaciones
Hemos agregado funciones que brindan a las personas la flexibilidad de elegir sus propias aplicaciones, mientras conservan una fuerte seguridad. Smart App Control (control inteligente de aplicaciones) es una nueva función para las personas o las empresas pequeñas que ayuda a evitar los ataques de secuencia de comandos automáticamente y a proteger a los usuarios contra la ejecución de las aplicaciones poco confiables o sin firma que por lo general se relacionan con el malware o las herramientas de ataque. Esta función crea un modelo de IA que utiliza una inteligencia basada en los 43 trillones de señales de seguridad que se recopilan a diario para predecir si una aplicación es segura. El control de aplicaciones es conocido por ser uno de los métodos más eficaces para proteger contra el malware, pero puede ser difícil de implementar. Windows 11 utiliza el poder de la IA para generar una política de control de aplicaciones que se actualiza continuamente y permite ejecutar aplicaciones seguras comunes y conocidas, al tiempo que bloquea las aplicaciones desconocidas o aquellas asociadas con malware nuevo. Nuestros clientes nos han pedido simplificar este proceso y lo hemos hecho.
La estrategia del control inteligente de aplicaciones cumple el objetivo de ofrecer una protección avanzada de aplicaciones a todos. Smart App Control está integrado en las mismas capacidades del núcleo del sistema operativo que se utilizan en Windows Defender Application Control. Smart App Control se incluye en todas las ediciones cliente de Windows con instalaciones limpias de Windows 11 Update 2022. De manera alternativa, el equipo de TI de las empresas puede utilizar Microsoft Intune con Windows Defender Application Control para aplicar políticas de forma remota para controlar qué aplicaciones pueden ejecutarse en los dispositivos del lugar de trabajo.3
Protección de controladores vulnerables
El malware se dirige cada vez más a los controladores para explotar las vulnerabilidades, desactivar los agentes de seguridad y comprometer los sistemas. Windows 11 utiliza seguridad basada en virtualización (VBS) para mejorar la protección del kernel contra las amenazas potenciales.
- La integridad de código protegida por hipervisor (HVCI), también conocida como integridad de la memoria, se activará automáticamente en todos los dispositivos Windows 11 nuevos. HVCI utiliza seguridad basada en virtualización para ejecutar la integridad de código en modo kernel (KMCI) dentro del entorno VBS seguro en vez del kernel principal de Windows. Esto ayuda a evitar ataques que intenten modificar el código en modo kernel, tales como los controladores. La función de KMCI consiste en revisar que todo el código del kernel esté firmado correctamente y que no se haya manipulado antes de autorizar su ejecución.
HVCI asegura que solo el código comprobado pueda ejecutarse en el modo kernel. El hipervisor utiliza las extensiones de virtualización del procesador para aplicar protecciones a la memoria, las cuales evitan que el software en modo kernel ejecute código que no se haya comprobado primero por el subsistema de integridad de código. HVCI ayuda a proteger contra los ataques comunes como WannaCry, que dependen de la capacidad de inyectar código dañino en el kernel. HVCI puede ayudar a evitar la inyección de código dañino en modo kernel aun cuando los controladores y otro software en modo kernel contengan errores.
- La lista de bloqueo de controladores vulnerables de Microsoft es otra protección importante contra las amenazas persistentes avanzadas y los ataques de ransomware que explotan los controladores vulnerables conocidos. Aplicada por primera vez en Windows 11 Update 2022, la política de bloqueo ahora está activada por defecto en todas las PC Windows nuevas, y los usuarios pueden optar por aplicar la política desde la aplicación Windows Security.
El kernel de Windows es el software más privilegiado y, por lo tanto, un blanco atractivo de los ataques de malware. Puesto que Windows tiene requisitos rigurosos para ejecutar código en el kernel, los ciberdelincuentes por lo general explotan las vulnerabilidades en los controladores de kernel para obtener acceso. Gracias a que utiliza Windows Defender Application Control, la lista de bloqueo de kernel evita la ejecución de versiones vulnerables. Microsoft colabora con los socios del ecosistema para identificar y responder constantemente ante los controladores de kernel potencialmente vulnerables. Los usuarios que deseen el nivel más alto de protección pueden crear una lista de permisos para implementar un control de controladores.
Protección de identidad mejorada y gestión de contraseñas simplificada
Con Windows 11 pueden proteger sus datos valiosos y crear un ambiente de trabajo híbrido seguro con la seguridad avanzada más reciente, que las pymes afirman reducen 2.8 veces las instancias de robo de identidad.2 He aquí algunas mejoras que pueden ayudarles a mantenerse seguros ahora y en el futuro.
- Windows Defender Credential Guard está habilitado por defecto en Windows 11 Enterprise. Credential Guard utiliza seguridad de virtualización respaldada por hardware para proteger contra las técnicas de robo de credenciales como pass-the-hash o pass-the ticket. Asimismo, esta función ayuda a evitar que el malware acceda a los secretos del sistema, incluso si el proceso está ejecutándose con privilegios de administrador.
- El aislamiento de credenciales con protección Local Security Authority (LSA) habilitada por defecto ofrece protección adicional en los dispositivos empresariales Windows 11 nuevos. LSA es uno de los procesos críticos que verifica la identidad de un usuario. Con protección LSA, Windows cargará solo el código confiable y firmado, lo que dificultará considerablemente el robo de credenciales.
- La protección contra phishing mejorada en Microsoft Defender Smartscreen puede detectar y alertar al usuario cuando ingrese su contraseña en una aplicación o sitio web comprometido. Además promueve una buena higiene de credenciales, ya que alerta a los usuarios cuando intentan reutilizar contraseñas o almacenarlas en un lugar poco seguro como un archivo de texto. Esto trasciende la protección basada en navegador para crear una protección avanzada contra phishing en el propio sistema operativo, lo que permite a los usuarios tomar medidas proactivas antes de que las contraseñas puedan usarse contra ellos o su organización. Los administradores de TI pueden personalizar las alertas con una solución MDM como Microsoft Intune.2
- Eliminen el uso de contraseñas con Windows Hello para Empresas. Con protección integrada activada, Windows ayuda a bloquear los ataques al software y firmware desde el momento en que encienden su dispositivo. Y para un solo inicio de sesión seguro y conveniente, pueden aprovechar la protección y conveniencia de la autenticación sin contraseña con Windows Hello para Empresas y un identificador único como su rostro, huella dactilar o NIP. Estos identificadores únicos están ligados a sus dispositivos y solo ustedes pueden utilizarlos desde esos dispositivos para obtener un solo inicio de sesión seguro y conveniente en su PC y servicios en la nube.
- También hemos simplificado en extremo la implementación de Windows Hello para Empresas. Por ejemplo, hemos eliminado los requisitos para la infraestructura de clave pública (PKI). Vean este modelo de implementación para una manera sencilla y segura de configurar una experiencia moderna de inicio de sesión sin contraseña.
- Y si deciden eliminar el uso de contraseñas, podrán aprovechar el sensor de presencia para un inicio de sesión seguro manos libres. Los sensores de detección de presencia funcionan con Windows Hello para iniciar sesión cuando te acerques al dispositivo y bloquearlo cuando te alejes.i La función es óptima y puede habilitarse fácilmente en los dispositivos equipados con sensores de presencia.
Asegurar las políticas de TI y el cumplimiento
- El bloqueo de configuración disponible solo en equipos de núcleo seguro que están diseñados para una mayor seguridad, ayuda a evitar la desviación de la configuración que se produce cuando los usuarios con derechos de administrador local cambian la configuración y ponen los dispositivos fuera de sincronía con las directivas de seguridad de TI. Con el bloqueo de configuración, Windows 11 monitorea las claves del registro que configuran cada función, aun si el dispositivo no está conectado al internet. Cuando un cambio se detecta, el dispositivo se revierte de inmediato a un estado de PC de núcleo protegido deseado por la TI.
El bloqueo de configuración complementa las bases de seguridad de Windows 11 y está, en parte, protegido por características de hardware específicas. La función monitorea un conjunto preconfigurado de proveedores de servicios de configuración y políticas. Si se asigna cualquiera de esas políticas a los dispositivos, el bloqueo de configuración conservará los ajustes definidos.
Innovación continua para mejorar la seguridad de todos
Seguimos agregando protección desde el chip hasta la nube, con énfasis en los beneficios de utilizar dispositivos nuevos y modernos con características de hardware optimizadas para la seguridad y el trabajo híbrido.
Por ejemplo, si trabajan en escenarios de datos confidenciales, las PC de núcleo protegido con Windows 11 pueden ser una gran opción. Estos dispositivos vienen con protecciones adicionales habilitadas, incluyendo protección avanzada de firmware, para el nivel más alto de seguridad de Windows. Asimismo, ahora detectaremos si un dispositivo es capaz de soportar Windows Defender System Guard y notificar a los usuarios en la aplicación Windows Security que la función se ha habilitado.
Esta actualización a la aplicación Windows Security está disponible actualmente para la población de Windows Insider y pronto lo estará para todos.
El procesador de seguridad Microsoft Pluton diseñado por Microsoft y nuestros socios de silicio, se integra directamente en el silicio de la CPU proporcionando protección para activos sensibles como credenciales y claves de cifrado aislándolos del resto del sistema. El firmware de Pluton también recibe actualizaciones de seguridad directamente desde la nube a través del proceso de actualizaciones de Windows, lo que ayuda a los equipos de seguridad y TI a simplificar la administración y garantizar que tengan la protección más reciente y continua contra las amenazas.
Estamos trabajando juntos hacia un futuro más seguro y esperamos ofrecer más innovación que no solo detecte las amenazas, sino que también las prevenga. Microsoft ha prometido invertir USD $20,000 millones en I+D de seguridad a lo largo de cinco años.ii Estamos comprometidos con su seguridad y continuaremos mejorando la seguridad que proporciona Windows con estándares de seguridad predeterminados para ayudarles a crecer ahora y en el futuro.
Para obtener más información sobre la seguridad desde el chip hasta la nube en Windows 11, visiten nuestro sitio web y echen un vistazo a nuestro Libro de Seguridad de Windows 11 para conocer la manera en que Microsoft optimiza Windows 11 con confianza cero.
Para más información sobre las soluciones de Seguridad de Microsoft, visiten nuestro sitio web. Agreguen el blog de Seguridad a sus Favoritos para mantenerse al día de nuestra cobertura experta en temas de seguridad. Sígannos también en @MSFTSecurity para obtener las últimas noticias e información actualizada sobre ciberseguridad.
1Cyber Signals: 3 strategies for protection against ransomware, Vasu Jakkal. 30 de agosto de 2022.
2MORSE security team takes proactive approach to finding bugs, Elliott Smith. 3 de agosto de 2022.
3La disponibilidad puede variar por región.
4Microsoft has a $20 billion hacking plan, but cybersecurity has a big spending problem, Eric Rosenbaum. 8 de septiembre de 2021.
5Depende del hardware.