El recorrido de Microsoft hacia Secure by Design: un año de éxito

Por: Bret Arsenault, vicepresidente corporativo y asesor principal de ciberseguridad.

La ciberseguridad es uno de los principales riesgos a los que se enfrentan las empresas. Las organizaciones luchan por navegar por el panorama de amenazas cibernéticas en constante evolución en el que se llevan a cabo 600 millones de ataques de identidad a diario.¹ El tiempo medio que tarda un ciberatacante en acceder a datos privados del phishing es de 1 hora y 12 minutos, y los ciberataques a los estados-nación van en aumento.² Las organizaciones también se enfrentan a una complejidad sin precedentes, lo que dificulta los trabajos de seguridad: el 57% de las organizaciones utilizan más de 40 herramientas de seguridad, lo que requiere importantes recursos y esfuerzos para integrar los flujos de trabajo y los datos.³ Estos desafíos se ven magnificados por la escasez global de talento en seguridad a la que se enfrentan las organizaciones y hay más de 4 millones de puestos de trabajo en seguridad sin cubrir en todo el mundo, el aumento de los riesgos internos y la rápida evolución del panorama regulatorio actual.⁴ Estos desafíos de ciberseguridad no solo pueden aumentar las interrupciones comerciales significativas, sino que también pueden crear daños económicos devastadores: se espera que el costo de la ciberdelincuencia crezca un 15% año tras año, alcanzando los 15,6 billones de dólares para 2029.⁵

Obtengan las últimas actualizaciones de la Iniciativa Futuro Seguro

En noviembre de 2023, para abordar la evolución del panorama digital y regulatorio, y los cambios sin precedentes en el panorama de las ciberamenazas, anunciamos la Iniciativa de Futuro Seguro de Microsoft. La Iniciativa Futuro Seguro (SFI, por sus siglas en inglés) es un esfuerzo de varios años para revolucionar la forma en que diseñamos, construimos, probamos y operamos nuestros productos y servicios, para lograr los más altos estándares de seguridad. SFI es nuestro compromiso de mejorar la postura de seguridad de Microsoft, para mejorar así la postura de seguridad de todos nuestros clientes, y de trabajar con los gobiernos y la industria para mejorar la postura de seguridad de todo el ecosistema.

El año pasado, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA, por sus siglas en inglés), a través de su compromiso «Secure by Design», (Seguro por Diseño) pidió a la industria tecnológica que priorizara la seguridad en cada etapa del desarrollo y la implementación de productos. Este enfoque de incorporar la ciberseguridad en la entrega digital desde el principio también se refleja en la Estrategia de Seguridad Cibernética del Gobierno del Reino Unido, así como en las estrategias de mitigación de los «Ocho Esenciales» del Centro Australiano de Seguridad Cibernética (ACSC, por sus siglas en inglés) para protegerse contra las amenazas cibernéticas. A lo largo de esta publicación de blog, el término «seguro por diseño» abarca tanto «seguro por diseño» como «seguro por defecto».

Lean el compromiso de CISA de Secure by Design

Microsoft se comprometió a trabajar para alcanzar objetivos clave en un espectro de principios de seguridad desde el diseño defendidos por numerosas agencias gubernamentales de todo el mundo. Estos objetivos tienen como meta mejorar los resultados de seguridad para los clientes mediante la incorporación de prácticas sólidas de ciberseguridad en todo el ciclo de vida del producto. Seguimos con integración de nuestros aprendizajes, incorporándolos a nuestros estándares de seguridad y ponemos en práctica estos aprendizajes como caminos pavimentados que pueden permitir un diseño y operaciones seguros a escala. Nuestras actualizaciones de SFI proporcionan ejemplos del progreso de Microsoft en la implementación de los principios de seguridad por diseño, seguridad predeterminada y seguridad en operaciones, y proporcionan mejores prácticas basadas en la propia experiencia de Microsoft, lo que demuestra nuestra dedicación a mejorar la seguridad para los clientes.

Lean a continuación para obtener más información sobre las iniciativas que Microsoft ha emprendido en los últimos 18 meses para respaldar los objetivos de seguridad desde el diseño como parte de nuestra iniciativa SFI. Está organizado en torno a nuestros principios de SFI para proporcionar a nuestros clientes y socios una comprensión de las sólidas medidas de seguridad que implementamos para salvaguardar sus entornos digitales.

Mejora de la seguridad con la autenticación multifactor y la gestión de contraseñas predeterminadas

La autenticación multifactor resistente al phishing proporciona la defensa más sólida contra los ciberataques basados en contraseñas, incluido el relleno de credenciales y el robo de contraseñas. Esto incluye promover la autenticación multifactor entre los clientes, implementarla como un requisito predeterminado para el acceso y participar en los esfuerzos para establecer estándares a largo plazo en la autenticación.

En octubre de 2024, Microsoft implementó la autenticación multifactor obligatoria para el portal de Microsoft Azure, el centro de administración de Microsoft Entra y el centro de administración de Microsoft Intune. Desde entonces, Microsoft ha trabajado con nuestros clientes para reducir las extensiones y avanzar con rapidez en la adopción de la autenticación multifactor. Un logro clave es nuestro progreso en la eliminación de contraseñas en todos los productos. Microsoft ha introducido mejoras para simplificar la autenticación y mejorar las experiencias de inicio de sesión, para hacer hincapié en la facilidad de uso y la seguridad. Los usuarios ahora pueden eliminar contraseñas de sus cuentas y usar claves de acceso en su lugar, para abordar las vulnerabilidades y evitar el acceso no autorizado.

El 26 de marzo de 2025, Microsoft lanzó una nueva experiencia de inicio de sesión para más de mil millones de usuarios. A finales de abril de 2025, la mayoría de los usuarios de cuentas Microsoft verán flujos actualizados de experiencia de usuario de inicio de sesión y registro para aplicaciones web y móviles. Esta nueva experiencia de usuario está optimizada para una experiencia sin contraseña y con clave de paso. Microsoft también está en proceso de actualizar la lógica de inicio de sesión de la cuenta para que la clave de paso sea la opción de inicio de sesión predeterminada siempre que sea posible.

Entre los ejemplos adicionales de cómo Microsoft mejora la autenticación y cómo los clientes pueden aprender del enfoque y las soluciones de Microsoft se incluyen:

• Recomendaciones de Microsoft para que las organizaciones comiencen a implementar la autenticación sin contraseña resistente a la suplantación de identidad (phishing) mediante Microsoft Entra ID.
• Los valores predeterminados de seguridad facilitan la protección contra los ciberataques relacionados con la identidad, como la difusión de contraseñas, la reproducción y el phishing, comunes en los entornos actuales. Obtengan más información sobre las opciones de seguridad preconfiguradas disponibles en Microsoft Entra ID.
• El Acceso Condicional de Microsoft usa señales controladas por identidad como parte de las decisiones de control de acceso.
• Para ayudar a prevenir el phishing, Microsoft agregó protección adicional a Windows Hello, que es la solución de autenticación multifactor integrada en Windows. Windows Hello también se ha ampliado para admitir claves de paso, que son un estándar del sector, y en las que continuamos la evolución. Con Hello y las claves de paso, en Windows, significa que gran parte de la web se puede proteger con la autenticación multifactor, y los usuarios ya no tienen que elegir entre un inicio de sesión simple y un inicio de sesión seguro.
• Descubran cómo Microsoft avanza en los estándares de identidad descentralizados y las credenciales verificables.
• Tras la actualización de GitHub de abril de 2024 sobre un año de progreso en el impulso de la adopción de la autenticación multifactor, en el último año se han implementado más cohortes que requieren la habilitación de la autenticación multifactor. Este esfuerzo continúa con el impulso de la utilización de la autenticación multifactor, con casi el 50% de los usuarios contribuyentes de GitHub que tienen habilitada la autenticación multifactor. De ellos, más del 38% de los usuarios tienen dos o más métodos de autenticación de dos factores habilitados y más de 3,6 millones de usuarios tienen una clave de acceso habilitada en su cuenta. Además, GitHub ha impulsado las mejores prácticas en los métodos de autenticación multifactor y, en noviembre de 2024, envió mejoras en la gestión de la configuración de autenticación multifactor para organizaciones y empresas que permiten la restricción de métodos inseguros de autenticación multifactor, como la mensajería de texto.

Reducción de clases enteras de vulnerabilidades

La mayoría de las vulnerabilidades explotadas hoy en día provienen de tipos que a menudo se pueden mitigar a gran escala, como la inyección de código SQL, las secuencias de comandos entre sitios y las vulnerabilidades del lenguaje de seguridad de la memoria. Los gobiernos pretenden reducirlos a través de alentar a las empresas a adoptar prácticas como la eliminación de errores de lógica de validación de autorización, la habilitación del uso de lenguajes seguros para la memoria, la creación de arquitecturas de firmware seguras y la implementación de protecciones administrativas seguras. El objetivo es minimizar los riesgos de explotación al abordar las vulnerabilidades sistémicas desde su raíz.

Nuestra introducción del uso obligatorio de la biblioteca de autenticación de Microsoft (MSAL, por sus siglas en inglés) en todas las aplicaciones de Microsoft ayuda a garantizar que las defensas de identidad avanzadas, como el enlace de tokens, la evaluación continua del acceso y las detecciones avanzadas de ataques a aplicaciones, se implementen de forma coherente. Esto estandariza los procesos de autenticación seguros, lo que hace que sea mucho más difícil para los atacantes explotar las vulnerabilidades relacionadas con la identidad. MSAL permite a los desarrolladores adquirir tokens de seguridad de la plataforma de identidad de Microsoft para autenticar a los usuarios y acceder a las API web seguras. 

Lean el libro de seguridad de Windows actualizado y manténganse seguros con Windows

Microsoft también se ha comprometido a adoptar lenguajes seguros para la memoria, como Rust, para desarrollar nuevos productos y hacer la transición de los existentes. Este enfoque aborda vulnerabilidades comunes relacionadas con la seguridad de la memoria. Microsoft invierte mucho en lenguaje seguro para mejorar la seguridad de nuestro código, y aplicamos este nuevo enfoque a nuestra plataforma de seguridad y otras áreas clave como el firmware de seguridad de Microsoft Surface y Pluton.

En Windows 11, hemos aplicado una estrategia de seguridad por diseño desde la primera línea de código. Hemos establecido una línea de base de seguridad de hardware, que ayuda a garantizar que todas las PC con Windows 11 tengan una seguridad de hardware consistente que forme una base segura. Windows 11 tiene una configuración segura de forma predeterminada y controles más estrictos sobre qué aplicaciones y controladores pueden ejecutarse. Esto es importante ya que las aplicaciones y los controladores no verificados conducen a ataques de malware y scripts. Y la mayoría de las aplicaciones de malware y ransomware no están firmadas, lo que significa que se pueden crear y distribuir sin que se demuestre que son seguras. Para los consumidores y las organizaciones más pequeñas, Smart App Controles una nueva función que utiliza la IA en la nube para permitir que se ejecuten millones de aplicaciones seguras conocidas, sin importar de dónde las hayan obtenido. En el caso de las organizaciones más grandes, los administradores de TI pueden aplicar directivas de Control de aplicaciones para empresas e implementarlas mediante Intune.  

Con Windows que impulsa soluciones críticas para el negocio en una amplia variedad de clientes, nos comprometemos a ayudar a garantizar que Windows siga como la plataforma más segura y confiable. En Microsoft Ignite en 2024, anunciamos la Iniciativa de Resiliencia de Windows centrada en mejorar la seguridad y la resiliencia del sistema operativo Windows. Esto implica implementar características de seguridad avanzadas, mejorar las capacidades de detección y respuesta a amenazas, y ayudar a garantizar que Windows pueda resistir y recuperarse de los ciberataques. Como parte de la Iniciativa de Resiliencia de Windows, trabajamos para protegernos contra los ciberataques comunes, además de fortalecer la protección de la identidad mencionada anteriormente.  

Como parte de esto, abordamos el desafío de larga data de los usuarios y aplicaciones con privilegios excesivos, que crean un riesgo significativo. Sin embargo, muchas personas no quieren renunciar al control administrativo de su PC. Para ayudar a lograr el equilibrio entre los privilegios de administrador y la seguridad, presentamos la Protección de Administrador (en la actualidad en Windows Insiders). La protección de administrador les brinda la protección de los permisos de usuario estándar de forma predeterminada y, cuando sea necesario, pueden autorizar de forma segura un cambio de sistema Just-In-Time mediante Windows Hello. Una vez que se ha completado el proceso, se destruye el token de administrador temporal. Esto significa que los privilegios de administrador no persisten. La protección del administrador será perjudicial para los ciberatacantes, ya que ya no tienen privilegios elevados de forma predeterminada, lo que ayudará a las organizaciones a garantizar que mantengan el control de Windows. 

También colaboramos con socios de seguridad de endpoints (terminales) para adoptar prácticas de implementación seguras. Esto significa que todas las actualizaciones de los productos de seguridad serán graduales, lo que minimizará los riesgos de implementación y la supervisión para ayudar a garantizar que cualquier impacto negativo se mantenga al mínimo. Además, desarrollamos nuevas capacidades de Windows que permiten a los desarrolladores de productos de seguridad crear sus productos fuera del modo kernel, lo que reduce el impacto en Windows en caso de que se produzca un bloqueo del producto de seguridad.

Otro desarrollo clave es nuestro kit de herramientas de experiencia de usuario (UX, por sus siglas en inglés) segura por diseño. El error humano causa la mayoría de las brechas de seguridad. El kit de herramientas de UX ayuda a crear software más seguro y a mejorar las experiencias de seguridad de los usuarios. Este kit de herramientas representa una nueva forma de pensar, en la que el diseño y la seguridad no están aislados, sino que trabajan juntos desde el principio. Adoptado a nivel interno y compartido hacia afuera, el kit de herramientas ayuda a otras organizaciones de software a mejorar sus prácticas de seguridad.

Otras actividades en las que Microsoft ha trabajado para eliminar clases de vulnerabilidades incluyen:

• Soporte continuo para permitir que los desarrolladores usen el lenguaje seguro para la memoria Rust en Windows.
• Tomar medidas para mitigar los ataques de retransmisión de Windows NT LAN (NTLM, por sus siglas en inglés) de forma predeterminada contra el servicio de Exchange, los servicios de certificados de Active Directory y el protocolo ligero de acceso a directorios (LDAP, por sus siglas en inglés).
• La versión preliminar del Sistema de nombres de dominio (DNS, por sus siglas en inglés) de Confianza cero se amplió para incluir a los clientes empresariales de Windows 11. Esta función ayuda a bloquear los dispositivos solo para acceder a los destinos de red aprobados.
• Los productos de firmware integrado de Surface usan una arquitectura de firmware común.
• Lanzamiento de Windows 365 Link, que es el primer dispositivo PC en la nube para Windows 365. Windows 365 Link elimina los datos y las aplicaciones locales y no tiene usuarios administradores locales y proporciona a los empleados una forma de transmitir de forma más segura su PC en la nube con Windows 365.
• GitHub lanzó Compatibilidad de CodeQL con archivos de flujo de trabajo de GitHub Actions. Esta nueva capacidad de análisis estático identifica fallas comunes de integración continua y entrega continua (CI/CD, por sus siglas en inglés) tanto en las bases de código existentes como antes de que se introduzcan para ayudar a eliminar esta clase de vulnerabilidades. Con esta nueva característica, el Laboratorio de seguridad de GitHub pudo ayudar a proteger más de 75 flujos de trabajo de GitHub Actions en proyectos de código abierto, lo que reveló más de 90 vulnerabilidades diferentes.

Aumento de las tasas de aplicación de parches

La gestión oportuna y eficaz de los parches es necesaria para la ciberseguridad, ya que así es como podemos reducir la ventana de oportunidad para que los actores maliciosos exploten los fallos del software.

Microsoft ha realizado aumentos medibles en la instalación de parches de seguridad, lo que logramos al habilitar la instalación automática de parches de software cuando sea posible y habilitar esta funcionalidad de forma predeterminada, así como al ofrecer soporte generalizado para estos parches.

Microsoft continúa con el lanzamiento de actualizaciones de seguridad importantes el segundo martes de cada mes, conocido como Patch Tuesday. Este cronograma regular garantiza que todos los sistemas reciban actualizaciones oportunas para abordar las vulnerabilidades críticas, para reducir el riesgo de explotación por parte de los ciberatacantes.

Sobre esta base, Microsoft ha realizado avances significativos en la mejora del proceso de actualización con Windows 11. Al reducir el número de reinicios del sistema necesarios de 12 a cuatro por año mediante el uso de actualizaciones de parches en caliente, hemos simplificado aún más las operaciones y alentado a las organizaciones a seguir con el cumplimiento con los requisitos de parches.

Otros ejemplos de nuestros esfuerzos para aumentar las tasas de actualización de parches y seguridad incluyen:

• Windows Hotpatch: Anunciado en Microsoft Ignite 2024, proporciona una reducción del 60% en el tiempo de adopción de actualizaciones de seguridad, con la ayuda de la aplicación de actualizaciones sin problemas sin reinicios del sistema.
• Microsoft ha enfatizado la importancia de comunicar con claridad la vida útil esperada de los productos en el momento de la venta e invertir en capacidades de aprovisionamiento para facilitar las transiciones de los clientes a las versiones compatibles cuando los productos llegan al final de su ciclo de vida. Esta estrategia garantiza que los clientes estén bien informados y puedan adaptarse sin problemas a las nuevas tecnologías.

Adopción de una Política de Divulgación de Vulnerabilidades (VDP) y Vulnerabilidades y Exposiciones Comunes (CVE)

La divulgación coordinada de vulnerabilidades, una práctica que Microsoft adoptó hace más de una década, beneficia tanto a los investigadores de seguridad como a los fabricantes de software al permitir la colaboración para mejorar la seguridad de los productos. Un VDP que autorice las pruebas públicas de los productos, se comprometa a abstenerse de emprender acciones legales contra aquellos que sigan el VDP de buena fe, proporcione un canal claro para informar sobre las vulnerabilidades y permita la divulgación pública de vulnerabilidades de acuerdo con las mejores prácticas coordinadas de divulgación de vulnerabilidades y los estándares internacionales, marca una diferencia real para la ciberseguridad. Además, los fabricantes pueden demostrar transparencia al incluir campos precisos de Enumeración de debilidades comunes (CWE, por sus siglas en inglés) y Enumeración de plataforma común (CPE, por sus siglas en inglés) en cada registro de CVE para los productos del fabricante.

Nuestra adopción de los estándares CWE y CPE en todos los registros CVE de sus productos es un logro importante. Esta transparencia facilita la información precisa y detallada sobre las vulnerabilidades, lo que facilita la corrección oportuna y eficaz. Al emitir CVE con prontitud para todas las vulnerabilidades críticas o de alto impacto, Microsoft demuestra su compromiso de mantener un entorno seguro y proteger a sus clientes de posibles amenazas cibernéticas.

Otro punto destacado notable es la publicación de archivos CSAF legibles por máquina, que proporcionan un canal claro para informar de vulnerabilidades y autorizan las pruebas públicas de los productos de Microsoft. Esto fomenta la colaboración entre los investigadores de seguridad y los fabricantes de software, lo que permite la identificación y mitigación de vulnerabilidades de manera coordinada.

Otras actividades en las que Microsoft ha trabajado para adoptar VDP y CVE incluyen:

• Microsoft ha publicado un archivo security.txt con enlaces a diferentes aspectos de nuestros blogs relacionados con VDP CVE en general.
• Microsoft ahora emite CVE para vulnerabilidades críticas de servicios en la nube, sin importar si los clientes necesitan instalar un parche o tomar otras medidas para protegerse.
• Microsoft ha comenzado a publicar datos de causa raíz para los CVE de Microsoft por medio del estándar de la industria CWE. Al adoptar CWE, se puede facilitar un debate más eficaz en la comunidad sobre cómo descubrir y mitigar las debilidades en el software y el hardware existentes.
• Microsoft agregó un nuevo formato estándar legible por máquina, llamado Marco de asesoramiento de seguridad común (CSAF, por sus siglas en inglés), a toda la información de CVE de Microsoft para ayudar al cliente a acelerar la respuesta y corrección de CVE.

Capacitar a los clientes para detectar y documentar intrusiones

Las organizaciones deben hacer más para detectar incidentes de ciberseguridad y comprender su impacto. Para asegurarse de que pueden hacerlo, los fabricantes deben proporcionar artefactos y herramientas de recopilación de pruebas, como registros de auditoría.

Un ejemplo del compromiso de Microsoft en esta área es la implementación de sensores y registros robustos, lo que mejora la detección de amenazas cibernéticas. Esta iniciativa proporciona a los clientes información procesable sobre posibles intrusiones, lo que permite respuestas rápidas y mitigación de riesgos.

Otras actividades en las que Microsoft ha trabajado para capacitar a los clientes para detectar y documentar inclusiones incluyen:

• Microsoft Purview ha ampliado sus períodos de retención y registro de auditoría, entre otras mejoras de seguridad, para aumentar la visibilidad de la seguridad y las capacidades de respuesta a incidentes para los servicios basados en la nube.
• Microsoft Security Copilot ofrece promptbooks (libros de prompts) prediseñados para automatizar las tareas relacionadas con la seguridad, como las investigaciones de incidentes, el análisis de usuarios y las evaluaciones de inteligencia sobre amenazas, lo que mejora la eficiencia y la precisión en las operaciones de ciberseguridad.
• Microsoft ha proporcionado orientación detallada sobre la implementación de la estrategia Zero Trust del Departamento de Defensa (DoD, por sus siglas en inglés) de los Estados Unidos, con actividades categorizadas en fases objetivo y avanzadas para lograr la adopción total de Zero Trust para 2032.
• El cuaderno de estrategias de implementación de Cloud Logs expandido de Microsoft proporciona instrucciones detalladas sobre la puesta en marcha de nuevas capacidades de registro en Microsoft Purview Audit (Standard).
• Microsoft ha publicado un documento técnico sobre las lecciones aprendidas de la creación de equipos rojos de más de 100 productos de IA generativa en Microsoft. El documento técnico destaca la importancia de comprender los sistemas de IA, romperlos sin gradientes informáticos y la necesidad de la participación humana en el equipo rojo de IA, entre otros temas.

GitHub envió capacidades mejoradas al registro de auditoría de GitHub para proporcionar a los clientes una mayor visibilidad de los eventos y características de la API para permitir la administración, la automatización y la integración empresariales.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

¹Informe de Defensa Digital de Microsoft 2024.

²Informe de defensa digital de Microsoft 2022.

³Encuesta de consolidación de herramientas y proveedores de IDC Norteamérica, 2023.

⁴Estudio de la fuerza laboral de ciberseguridad ISC2 2024.

⁵Costo estimado de la ciberdelincuencia mundial para 2029.