Seguridad de Windows 11: ¿Es suficiente?

Se ha escrito mucho sobre Windows 11, el sistema operativo más reciente de Microsoft, que el gigante del software llama “el Windows más seguro hasta ahora”. Sin embargo, como muchos en el mundo tecnológico se han apresurado a señalar, la mayoría de las PC que actualmente ejecutan Windows no admite los requisitos avanzados del sistema para el nuevo sistema operativo (OS, por sus siglas en inglés).

Para aprovechar al máximo las mejoras de seguridad de Windows 11, las PC deben estar equipadas con una CPU ultramoderna con extensiones de virtualización, firmware UEFI compatible con Secure Boot (arranque seguro) y un chip de seguridad avanzado compatible con TPM 2.0. Estas y otras restricciones garantizan la compatibilidad con una gran cantidad de funciones de ciberseguridad las cuales hacen a Windows 11 mucho más resistente que sus predecesores. Sin embargo, también aseguran que la mayoría de las organizaciones se tomará su tiempo para actualizar sus sistemas.

Para analizar de forma eficaz los pros y los contras de la actualización a Windows 11, deberá comprender qué características de seguridad están incluidas y disponibles; cómo estas características se facilitan, gracias a los nuevos requisitos de hardware y software; y cuánto impacto se espera de la actualización en su postura general de ciberseguridad.

Entre los mandatos más onerosos para actualizar a Windows 11 se encuentran los requisitos de la CPU. Windows 11 requiere un procesador avanzado de 64 bits y 1 GHz con extensiones de virtualización y dos o más núcleos (por ejemplo, procesador Intel de 8.º generación, AMD Zen 2 o Qualcomm serie 7 u 8). Estas especificaciones permiten a Windows 11 aprovechar al máximo una función conocida como seguridad basada en virtualización (VBS, por sus siglas en inglés.).

Mediante el uso de las funciones de virtualización de hardware, la VBS crea y aísla una petición segura de memoria del resto del sistema operativo para gestionar datos o procesos confidenciales. Este aislamiento limita el grado en que un ataque o un acceso no autorizado puede comprometer la seguridad del sistema.

Según una declaración del equipo de Windows en agosto de 2021:

“Si bien no requerimos la VBS al actualizar a Windows 11, creemos que las ventajas de seguridad ofrecidas son tan importantes que queríamos los requisitos mínimos del sistema para garantizar a todas las PC con Windows 11 la posibilidad de contar con la misma seguridad en la cual confía el Departamento de Defensa de los Estados Unidos (DoD, por sus siglas en inglés). En asociación con nuestros socios fabricantes de equipos originales (OEM, por sus siglas en inglés) y de Silicon, habilitaremos la VBS y la HVCI en la mayoría de las PC nuevas durante el próximo año. Y seguiremos buscando oportunidades para ampliar la VBS a través de más sistemas con el tiempo”.

Varias características de seguridad diferentes en Windows 11 dependen de la VBS para la implementación:

Kernel Data Protection (KDP), por ejemplo, utiliza la VBS para marcar partes del núcleo del sistema operativo de Windows como de sólo lectura, lo cual garantiza que los controladores y el software ejecutados en el núcleo de Windows (es decir, el código del sistema operativo en sí) no se puedan alterar.

Application Guard utiliza la VBS para crear entornos virtuales desechables (contenedores) en los cuales los usuarios pueden interactuar con sitios web o archivos de Microsoft Office no incluidos de forma explícita en la lista blanca. Esto garantiza que el contenido no confiable cargado a través de Microsoft Edge, Internet Explorer o Microsoft Office permanece aislado del sistema operativo host y de los datos de la empresa, lo cual limita los daños que puede causar cualquier contenido infectado.

Credential Guard es una característica de seguridad del sistema operativo que aísla el NTLM de Windows, las credenciales Kerberos y otros secretos en un entorno protegido por la VBS, lo cual garantiza que sólo el software del sistema privilegiado pueda obtener acceso. Esta característica ayuda a proteger el sistema de ataques de robo de credenciales, como "pass the ticket (PtT)" y "pass the Hash (PtH)".

⦁ De forma similar, la ⦁ Seguridad mejorada para el inicio de sesión de Windows Hello utiliza la VBS para aislar y proteger los datos de autenticación (incluida la biometría) utilizados para iniciar sesión en un dispositivo determinado, así se garantiza que sólo se pueda acceder a los datos a través de procesos seguros ejecutados en el entorno de la VBS. También admite la creación de rutas seguras para los datos de autenticación proporcionados a través de componentes externos (por ejemplo, un sensor de huella dactilar o una cámara).

Además de los requisitos del procesador, Windows 11 requiere un chip TPM para administrar claves criptográficas, así como para proteger el firmware y el sistema operativo de su computadora personal. El Trusted Platform Module (TPM) proporciona protección anti-alteración a nivel de hardware para operaciones importantes tales como generación de claves, cifrado y arranque del sistema. La versión 2.0 de la especificación del TPM está integrada en todas las CPU compatibles con Windows 11 y presenta algunas mejoras importantes.

United Extensible Firmware Interface (UEFI) se suministra en lugar del BIOS tradicional heredado. Este entorno de arranque programable inicializa los dispositivos e inicia el gestor de arranque del sistema operativo. Las PC con UEFI 2.3.1 y un chip del TPM también admiten Secure Boot (arranque seguro), una característica que comprueba todo el código ejecutado antes de cargar el sistema operativo, así como la firma digital del gestor de arranque del sistema operativo. Todos los equipos con Windows 11 incluyen el UEFI Secure Boot totalmente habilitado desde el principio, lo cual garantiza que el firmware y el software autorizados con firmas digitales de confianza se puedan ejecutar por sí solos durante el proceso de arranque y protege el sistema contra kits de arranque y rootkits.

Windows 11 es el primer sistema operativo compatible con Microsoft Pluton, el nuevo procesador de seguridad actualizado y diseñado por Microsoft que se integrará en las futuras CPU de Intel, AMD y Qualcomm para PC con Windows. Pluton implementa seguridad integral creada, mantenida y actualizada por Microsoft, y se integrará con el proceso estándar de Windows Update, y proporcionará una integración más estricta y segura con el sistema operativo a nivel de hardware. Esta integración ayuda a corregir una vulnerabilidad física de las implementaciones actuales del TPM, en las cuales los atacantes poseedores de un dispositivo aún pueden apuntar al canal de comunicación entre la CPU y el TPM para robar o modificar información en tránsito.

Estos requisitos de Windows 11 garantizan la compatibilidad con una serie de tecnologías de seguridad avanzadas. Algunos, como el UEFI Secure Boot, están habilitados de forma predeterminada en cualquier instalación de Windows 11, lo que facilita la protección Zero Trust lista para usar.

Hardware-enforced stack protection (HSP) es una característica que ayuda a identificar y cerrar vulnerabilidades que funcionan al secuestrar el flujo de ejecución de código de una aplicación. La HSP permite a las aplicaciones utilizar el hardware de la CPU local para proteger contra modificaciones a la pila (de memoria), donde el código se almacena en tiempo de ejecución. Esto se logra al comparar la pila de llamadas de la aplicación con una pila oculta (un registro protegido por hardware del flujo de ejecución de código normal de la aplicación). Si la integridad de la pila se ve comprometida, el proceso finalizará.

Aunque esta característica está disponible desde marzo de 2020 (al menos en compilaciones para desarrolladores), el mecanismo de pila oculta solo está disponible en ciertos chipsets avanzados, como los requeridos por Windows 11, lo que garantiza una adopción más generalizada en el nuevo sistema operativo.

Windows 11 garantiza el estado de los dispositivos gracias a características como el UEFI Secure Boot y la Kernel Data Protection. Como tal, el sistema operativo también garantiza compatibilidad inmediata para la atestación remota de dispositivos; es decir, la verificación remota de que cualquier dispositivo Windows conectado a su red es, de hecho, confiable. La atestación establece la confianza mediante la validación de la identidad y la integridad de los componentes esenciales de hardware y software. El método de atestación remota proporciona a las partes de confianza un informe de dispositivo verificable, imparcial y resistente a alteraciones sobre un par remoto.

Microsoft Azure Attestation (MAA) es un excelente ejemplo de un servicio de atestación remota que se puede utilizar para revisar el estado del dispositivo Windows de forma exhaustiva y utilizar esta información para imponer el acceso condicional a aplicaciones y datos basados en la nube a través de Azure Active Directory.

Microsoft ha dado grandes pasos para garantizar que su nuevo sistema operativo sea seguro desde el primer momento. El hardware necesario centrado en la seguridad, compatible con características como la VBS y el UEFI Secure Boot, puede permitir a Windows 11 neutralizar por completo clases enteras de ataques de malware, como rootkits y ataques de programación orientada al retorno (ROP, por sus siglas en inglés).

Sin embargo, la mayoría de los usuarios de Windows aún trabaja con equipos antiguos. Muchos de esos usuarios están ansiosos por probar el nuevo sistema operativo y quizás no comprendan completamente que las nuevas mejoras de seguridad de Windows 11 van de la mano con las nuevas restricciones de hardware. Algunos pueden incluso estar considerando omitir los requisitos del sistema. Sin embargo, los usuarios (o administradores de TI) que instalan Windows 11 sin tener en cuenta los requisitos de hardware o desactivan características de seguridad importantes, en consecuencia, pierden muchas de las ventajas de seguridad de la plataforma.

Además, tenga en cuenta que muchos de los vectores de ataque abordados por su estrategia actual de ciberseguridad no se abordan de manera específica en las nuevas características de seguridad de Windows 11. Los cibercriminales buscan de forma constante nuevas vulnerabilidades y crean nuevo malware y otros accesos no autorizados, algunos de los cuales seguirán funcionando bien en sistemas protegidos con el TPM, tal como el phishing. Esto se hace aún más evidente cuando se tiene en cuenta que, a pesar de la afluencia de nuevas tecnologías implementadas en Windows 11, Microsoft sigue obligado a soportar numerosas aplicaciones heredadas y a proporcionar compatibilidad con versiones anteriores. Por consiguiente, quizás muchas vulnerabilidades que no se han informado con anterioridad las cuales afectan a Windows 10 también se apliquen a Windows 11 (como se reveló de hecho en una actualización de revisión reciente).

Cuando todo está dicho y hecho, las nuevas características de seguridad en Windows 11 son en lo absoluto un paso en la dirección correcta. Además, Microsoft parece abordar con bastante rapidez los problemas notificados de forma reciente. Dicho esto, las personas, las organizaciones y los proveedores de servicios gestionados (MSP, por sus siglas en inglés) descubrirán que pueden lograr una seguridad y protección eficaces solo con soluciones desarrolladas por proveedores de ciberseguridad como Acronis. Centradas en la integración de la protección de datos, la ciberseguridad y la gestión de cargas de trabajo, las soluciones de Acronis evitan las ciberamenazas modernas, incluidos los ataques de día cero y permiten a los administradores de seguridad recuperar datos, aplicaciones y sistemas a través de una única plataforma.

Tanto si es usuario doméstico, una empresa o un proveedor de servicios, Acronis ofrece la mejor protección de ciberseguridad del mercado actual. Sus soluciones incluyen:

Para usuarios domésticos: Acronis Cyber Protect Home Office (anteriormente Acronis True Image) ofrece todo lo que un usuario doméstico necesita para proteger su PC o Mac y los datos de copia de seguridad, lo cual la hace más resiliente a las amenazas actuales, desde fallas de disco hasta ataques de ransomware. Gracias a su integración única de copias de seguridad y ciberseguridad en una solución, permite ahorrar tiempo y reducir el costo, la complejidad y el riesgo que conlleva la gestión de soluciones de múltiples puntos.

Para empresas: Acronis Cyber Protect ofrece a las empresas una solución de protección cibernética que integra de forma global la ciberseguridad, la protección de datos y la gestión de cargas de trabajo para proteger terminales, sistemas y datos. Al integrar la protección de datos con la ciberseguridad, su empresa puede eliminar la complejidad, ofrecer una mejor protección frente a las amenazas actuales y maximizar la eficacia mediante el ahorro de tiempo y dinero.

Para proveedores de servicios: Acronis Cyber Protect Cloud combina copias de seguridad y recuperación, anti-malware de próxima generación y gestión de cargas de trabajo en una única solución. La integración y la automatización proporcionan una facilidad sin igual para los MSP, lo cual reduce la complejidad al tiempo que aumenta la productividad y disminuye los costos operativos.