Seguridad de Windows 11: ¿Es suficiente?

Mucho ya se ha escrito sobre Windows 11, el último sistema operativo de Microsoft que el gigante del software está llamando "el Windows más seguro hasta ahora". Sin embargo, como muchos en el mundo de la tecnología se han apresurado a señalar, la mayoría de los PC que actualmente ejecutan Windows no admiten los requisitos avanzados del sistema para el nuevo Sistema Operativo (SO).

Para aprovechar al máximo las mejoras de seguridad de Windows 11, los PC deben estar equipados con una CPU ultramoderna con extensiones de virtualización, firmware de Interfaz Unificada de Firmware Extensible (UEFI, por sus siglas en inglés) con capacidad de arranque seguro y un chip de seguridad avanzado compatible con TPM 2.0. Estas y otras restricciones aseguran el soporte para una gran cantidad de características de ciberseguridad que hacen que Windows 11 sea mucho más resistente que sus predecesores. Sin embargo, también aseguran que la mayoría de las organizaciones se tomen su tiempo para actualizar sus sistemas.

Para analizar eficazmente los pros y contras de la actualización a Windows 11, deberá comprender qué características de seguridad están incluidas y disponibles; cómo estas características se ven facilitadas por los nuevos requisitos de hardware y software; y cuánto impacto se espera que tenga la actualización en su postura general de ciberseguridad.

Entre los mandatos más onerosos para la actualización a Windows 11 están los requisitos de la CPU. Windows 11 requiere un procesador avanzado de 64 bits y 1 GHz con extensiones de virtualización y dos o más núcleos (por ejemplo, procesador Intel de octava generación, AMD Zen 2 o Qualcomm 7 u 8 Series). Estas especificaciones permiten a Windows 11 aprovechar al máximo una característica conocida como seguridad basada en virtualización (VBS, por sus siglas en inglés).

Utilizando las funciones de virtualización de hardware, VBS crea y aísla una petición segura de memoria del resto del sistema operativo para administrar datos o procesos confidenciales. Este aislamiento limita el grado en que un determinado hackeo o una explotación puede comprometer la seguridad del sistema.

Según una declaración del equipo de Windows en agosto de 2021:

“Si bien no estamos requiriendo VBS al actualizar a Windows 11, creemos que los beneficios de seguridad que ofrece son tan importantes que queríamos los requisitos mínimos del sistema para garantizar que cada PC que ejecuta Windows 11 pueda cumplir con la misma seguridad en la que se basa el Departamento de Defensa de los Estados Unidos (DoD, por sus siglas en inglés). En asociación con nuestros socios OEM y de Silicon, habilitaremos VBS e Integridad del Código Protegida por Hipervisor (HVCI, por sus siglas en inglés) en la mayoría de los nuevos PC durante este próximo año. Y continuaremos buscando oportunidades para expandir VBS a través de más sistemas con el tiempo".

Varias características de seguridad diferentes en Windows 11 dependen de VBS para la implementación:

Protección de Datos del Kernel (KDP, por sus siglas en inglés), por ejemplo, utiliza VBS para marcar partes del kernel de Windows como de solo lectura, asegurándose de que los controladores y el software que se ejecutan en el kernel de Windows (es decir, el código del sistema operativo en sí) no puedan ser manipulados.

⦁ Protector de aplicaciones utiliza VBS para crear entornos virtuales desechables (contenedores) en los que los usuarios pueden interactuar con sitios web o archivos de Microsoft Office que no se han incluido explícitamente en la lista blanca. Esto garantiza que el contenido no confiable cargado a través de Microsoft Edge, Internet Explorer o Microsoft Office permanezca aislado del sistema operativo host y los datos empresariales, lo que limita el daño que puede causar cualquier contenido infectado.

Protector de credenciales es una función de seguridad del sistema operativo que aísla Windows NTLM, credenciales Kerberos y otros secretos en un entorno protegido por VBS, lo que garantiza que solo el software de sistema privilegiado pueda obtener acceso. Esta función ayuda a proteger su sistema de ataques de robo de credenciales como Pasar el Ticket (PtT, por sus siglas en inglés) y Pasar el Hash (PtH, por sus siglas en inglés).

⦁ Del mismo modo, la ⦁ Seguridad de Inicio de Sesión Mejorada de Windows Hello utiliza VBS para aislar y proteger los datos de autenticación (incluida la biometría) utilizados para iniciar sesión en un dispositivo determinado, lo que garantiza que solo se pueda acceder a los datos a través de procesos seguros que se ejecutan en el entorno VBS. También admite la creación de rutas seguras para los datos de autenticación que se proporcionan a través de componentes externos (por ejemplo, un sensor de huellas dactilares o una cámara).

Además de los requisitos del procesador, Windows 11 requiere un chip TPM para administrar las claves criptográficas, así como para proteger el firmware y el sistema operativo de su ordenador personal. El Módulo de Plataforma de Confianza (TPM, por sus siglas en inglés) proporciona protección antimanipulación a nivel de hardware para operaciones sensibles como la generación de claves, el cifrado y el arranque del sistema. La versión 2.0 de la especificación TPM está integrada en todas las CPU compatibles con Windows 11 y cuenta con algunas mejoras importantes.

Interfaz Unificada de Firmware Extensible (UEFI, por sus siglas en inglés) viene en lugar de la tradicional BIOS Legacy. Este entorno de arranque programable inicializa los dispositivos e inicia el gestor de arranque del sistema operativo. Los PC con UEFI 2.3.1 y un chip TPM también son compatibles con Arranque Seguro (Secure Boot, en inglés), una función que comprueba todo el código que se ejecuta antes de que se cargue el sistema operativo, así como la firma digital del gestor de arranque del sistema operativo. Todas las máquinas Windows 11 vienen con Arranque Seguro UEFI completamente habilitado desde el principio, lo que garantiza que el firmware y el software autorizados con firmas digitales de confianza solo se puedan ejecutar durante el proceso de arranque, y protege el sistema contra kits de arranque y rootkits.

Windows 11 es el primer sistema operativo que admite Microsoft Pluton, el nuevo procesador de seguridad diseñado y actualizado por Microsoft que se integrará en futuras CPU Intel, AMD y Qualcomm para PC con Windows. Pluton implementa seguridad de extremo a extremo que es creada, mantenida y actualizada por Microsoft, y se integrará con el proceso estándar de Windows Update, proporcionando una integración más estrecha y segura con el sistema operativo a nivel de hardware. Esta integración ayuda a remediar una vulnerabilidad física de las implementaciones de TPM actuales, donde los atacantes en posesión de un dispositivo aún pueden dirigirse al canal de comunicación entre la CPU y TPM para robar o modificar información en tránsito.

Estos requisitos de Windows 11 garantizan la compatibilidad con una serie de tecnologías de seguridad avanzadas. Algunos, como Arranque Seguro UEFI, están habilitados de forma predeterminada en cualquier instalación de Windows 11, lo que facilita la protección Zero Trust lista para usar.

La Protección de Pila Reforzada por Hardware (HSP, por sus siglas en inglés) es una característica que ayuda a identificar y cerrar los exploits que funcionan al secuestrar el flujo de ejecución de código de una aplicación. HSP permite a las aplicaciones utilizar el hardware local de la CPU para proteger la pila (de memoria), donde el código se almacena en tiempo de ejecución, contra modificaciones. Esto se logra comparando la pila de llamadas de la aplicación con una pila de sombras (un registro protegido por hardware del flujo de ejecución de código normal de la aplicación). Si la integridad de la pila se ha visto comprometida, el proceso finalizará.

Si bien esta característica ha estado disponible desde marzo de 2020 (al menos en compilaciones de desarrolladores), el mecanismo de pila de sombras solo está disponible en ciertos conjuntos de chips avanzados, como los requeridos por Windows 11, lo que garantiza una adopción más generalizada en el nuevo sistema operativo.

La salud del dispositivo está asegurada con Windows 11, gracias a características como Arranque UEFI y Protección de Datos del Kernel. Como tal, el sistema operativo también garantiza el soporte listo para usar para la certificación de dispositivos remotos; es decir, la verificación remota de que cualquier dispositivo Windows que se conecte a su red es realmente confiable. La certificación establece la confianza mediante la validación de la identidad e integridad de los componentes esenciales de hardware y software. El método de certificación remota proporciona a las partes confiadoras un informe de dispositivo verificable, imparcial y resistente a la manipulación sobre un compañero remoto.

Microsoft Azure Attestation (MAA) es un excelente ejemplo de un servicio de certificación remota que se puede utilizar para revisar el estado del dispositivo de Windows de forma integral y utilizar esta información para imponer el acceso condicional a aplicaciones y datos basados en la nube a través de Azure Active Directory.

Microsoft ha dado grandes pasos para asegurarse de que su nuevo sistema operativo es seguro y está listo para usar. El hardware centrado en la seguridad necesaria, que admite características como VBS y Arranque Seguro UEFI, aún puede permitir que Windows 11 neutralice totalmente clases completas de ataques de malware, como rootkits y ataques de Programación Orientada al Retorno (ROP, por sus siglas en inglés).

Sin embargo, la mayoría de los usuarios de Windows continúan trabajando con máquinas más antiguas. Muchos de esos usuarios ya están ansiosos por probar el nuevo sistema operativo y es posible que no entiendan completamente que las nuevas mejoras de seguridad de Windows 11 van de la mano con las nuevas restricciones de hardware. Algunos incluso pueden estar considerando eludir los requisitos del sistema. Sin embargo, los usuarios (o administradores de TI) que instalan Windows 11 mientras eluden los requisitos de hardware o deshabilitan las funciones de seguridad importantes, están perdiendo muchos de los beneficios de seguridad de la plataforma.

Por otra parte, tenga en cuenta que muchos de los vectores de ataque abordados por su estrategia de ciberseguridad actual no se abordan específicamente por las nuevas características de seguridad en Windows 11. Los ciberdelincuentes están constantemente buscando nuevas vulnerabilidades y creando nuevos programas maliciosos y otros exploits, algunos de los cuales aún funcionarán bien en sistemas protegidos por TPM, como el phishing. Esto se hace aún más evidente cuando se tiene en cuenta que, a pesar de la afluencia de nuevas tecnologías implementadas en Windows 11, Microsoft todavía está obligado a seguir admitiendo numerosas aplicaciones heredadas y proporcionar compatibilidad con versiones anteriores. En consecuencia, es razonable esperar que muchas vulnerabilidades no reportadas anteriormente que afectan a Windows 10 también se apliquen a Windows 11 (como de hecho se reveló en una actualización reciente del parche).

Cuando todo está dicho y hecho, las nuevas características de seguridad en Windows 11 son absolutamente un paso en la dirección correcta. Además, Microsoft parece estar abordando los nuevos problemas informados con bastante rapidez. Dicho esto, las personas, las organizaciones y los Proveedores de Servicios Gestionados (MSP, por sus siglas en inglés) descubrirán que solo pueden lograr una seguridad y protección eficientes con soluciones desarrolladas por proveedores de ciberseguridad como Acronis. Centradas en la integración de la protección de datos, la ciberseguridad y la gestión de la carga de trabajo, las soluciones de Acronis previenen las ciberamenazas modernas, incluidos los ataques de día cero, y permiten a los administradores de seguridad recuperar datos, aplicaciones y sistemas a través de una única plataforma.

Ya sea un usuario doméstico, una empresa o un proveedor de servicios, Acronis ofrece la mejor protección de ciberseguridad del mercado actual. Las soluciones incluyen:

Para usuarios domésticos: Acronis Cyber Protect Home Office (anteriormente Acronis True Image) ofrece todo lo que un usuario doméstico necesita para proteger su PC o Mac y los datos de copia de seguridad, haciéndolos más resistentes a las amenazas actuales, desde fallas de disco hasta ataques de ransomware. Gracias a su integración única de copia de seguridad y ciberseguridad en uno, ahorra tiempo y reduce el costo, la complejidad y el riesgo causado por la gestión de soluciones de múltiples puntos.

Para empresas: Acronis Cyber Protect ofrece a las empresas una solución de protección cibernética que integra de forma nativa la ciberseguridad, la protección de datos y la gestión de la carga de trabajo para proteger los puntos finales, los sistemas y los datos. Al integrar la protección de datos con la ciberseguridad, su empresa puede eliminar la complejidad, ofrecer una mejor protección contra las amenazas actuales y maximizar la eficiencia al ahorrar tiempo y dinero.

Para los proveedores de servicios: Acronis Cyber Protect Cloud combina copias de seguridad y recuperación, antimalware de última generación y gestión de carga de trabajo en una solución. La integración y la automatización proporcionan una facilidad inigualable para los MSP, reduciendo la complejidad al tiempo que aumentan la productividad y disminuyen los costos operativos.