BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Lo bueno, lo malo y lo demás de Windows 10
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

La seguridad de Windows 10 arregla vulnerabilidades viejas del SO

La seguridad de Windows 10 incorpora años de mejoras para eliminar o mitigar problemas a largo plazo con vulnerabilidades de Windows.

Las personas razonables pueden estar en desacuerdo sobre cuándo o cómo actualizar a la última iteración de Windows, pero Microsoft dice que toma en serio la seguridad en Windows 10. ¿Qué tan en serio? Una forma rápida de medirlo es con una mirada a temas como el intercambio inseguro de archivos y la falta de herramientas de seguridad como firewall, protección contra malware y encriptación, que nuestro colaborador frecuente Kevin Beaver publicó en nuestro portal hermano SearchSecurity en 2008, y luego compararlos con el estado actual de la seguridad de Windows 10.

Algunas de las vulnerabilidades de Windows más comunes ya habían estado molestando a los expertos en seguridad durante años. Ahora que Windows 10, también conocido como "la última versión de Windows”, está ganando terreno, es el momento de volver a examinar esas quejas y gemidos para ver qué tan bien los ha abordado Microsoft, o incluso si debería hacerlo.

Permisos de archivos y compartir que le dan todo a todo el mundo

Microsoft hizo tan fácil compartir archivos con Windows XP que los usuarios que configuraban mal sus sistemas a menudo descubrían que los fisgones en las redes Wi-Fi públicas tenían pleno acceso a todos sus datos. A pesar de que las soluciones de seguridad para estas vulnerabilidades de Windows parecían simples, el problema siguió en Windows Vista y persistió con cuestiones de intercambio de archivos en Windows 7 y más allá.

"Los usuarios que comparten para hacer sus archivos locales disponibles en toda la red suelen ser los culpables", escribió Kevin Beaver en 2008. "A veces son administradores negligentes; otras veces son errores honestos. Por desgracia, con demasiada frecuencia se le acceso completo al ‘grupo Todos’ a todos los archivos en el sistema".

Las malas decisiones son más difíciles de hacer con las nuevas características de seguridad de Windows 10, que incluyen múltiples advertencias antes de exponer los archivos compartidos en redes no confiables. Además, el permiso predeterminado de intercambio de archivos está configurado para dar acceso solo a los usuarios de Windows autenticados en el sistema host, y el acceso por defecto es de solo lectura.

Aun así, los errores probablemente se seguirán cometiendo. Según Wes Miller, analista de investigación de Directions on Microsoft, "si un usuario configura mal su sistema, toma malas decisiones, puede ponerse a sí mismo en riesgo accidentalmente. No hay mucho que Windows pueda hacer allí para evitar eso”.

Más importante aún, ahora hay disponibles mejores herramientas de seguridad de datos como parte de la pila de Windows, incluyendo el cifrado de Bitlocker y el sistema de gestión de derechos de Azure. Según Miller, "Azure Rights Management y el cifrado en general puede proteger la información para que no caiga en las manos equivocadas, incluso si se filtra (intencionalmente o no).”

Falta de protección antimalware y firewall

En 2008, Beaver encontró “software antivirus y antispyware deshabilitados y no instalados en absoluto, con nadie consciente del problema", así como una "falta de protección de firewall personal... otro control de seguridad básica que aún no está habilitada en muchos sistemas Windows".

Muchos de esos sistemas Windows vulnerables eran probablemente versiones sin parchar de XP o más antiguas. Microsoft sí incluyó protección personal de firewall con Windows XP, pero tenía que ser activado por el usuario hasta que, finalmente, después de los ataques de Blaster y del gusano Sasser, Microsoft los encendió por defecto en XP SP2 (2004). Incluso entonces, Windows Firewall solo protegía conexiones entrantes y, debido a problemas de filtración en las redes empresariales, muchas organizaciones optaron por retrasarlo en lugar de implementarlo.

Sin embargo, las lecciones fueron aprendidas, y Microsoft se niveló con la versión de Windows 7 de Windows Firewall, empezando con apagar la detección de redes en las redes públicas y proporcionando una mayor integración con el sistema operativo, así como con la adición de controles mejorados para pequeños comercios y empresas. Con las mejoras entregadas en Windows 8, algunos proveedores terceros de firewall incluso comenzaron a poner a cuestas sus propios productos sobre el módulo base de firewall de base, en lugar de tratar de duplicar sus características por su cuenta.

Microsoft pasó por una evolución similar con Windows Defender, originalmente ofrecido como un complemento antispyware para Windows XP, que se expandió a antimalware y se convirtió en la versión mejorada de Windows 8.

Windows Defender y Windows Firewall ambos se enviaron habilitados empaquetados con Windows, y apagarlos –a propósito o por error– se ha hecho más difícil.

Miller dijo: “El firewall y el antimalware integrados son una especie de línea de base ahora, y hay alternativas que construyen sobre ellos y otras que los reemplazan El firewall ha seguido mejorando desde que se lanzó por primera vez con XP, y es más importante que nunca en un mundo donde muchas de las redes a las que nos conectamos son hostiles“.

Cifrado de unidades débil o inexistente

Microsoft Bitlocker para el cifrado de disco completo se ha estado enviando con Windows desde Vista y Windows 7, pero al principio estaba disponible solo en Windows Ultimate o Enterprise SKU de gama más alta. Con Windows 10, todo el mundo tiene Bitlocker. Con los años, Bitlocker ha ganado aceptación considerable, incluso en comparación con otros productos de cifrado de disco completo.

Según Miller, “el cifrado de unidad ya está disponible a través de Windows, lo que es de gran importancia y puede ayudar a las empresas a tomar la decisión correcta acerca de cómo proteger sus datos".

Bitlocker ha evolucionado más allá del cifrado de disco completo hasta el punto en que ahora se puede utilizar para el bloqueo de unidades extraíbles, así como el cifrado de dispositivo completo para dispositivos móviles, y hay herramientas disponibles para gestionar la implementación de BitLocker en la empresa y cifrar volúmenes en servidores Windows .

Parches faltantes en Windows, así como software de terceros

Diga adiós a los "Martes de Parches" y hola a Windows Update, o más bien "hola, otra vez”. Windows Update ha estado presente desde Windows 98, cuyo éxito Microsoft atribuyó en parte –soporte USB e Internet Explorer fueron importantes también– a la existencia de la página web de Windows Update.

El problema de los parches es incluso abordado para la actualización de los sistemas Windows  empresariales. “La División de Servicio a Largo Plazo (Long Term Servicing Branch) da una opción para las empresas que, o bien tienen un requisito conocido de que las nuevas características no lleguen sin previo aviso, o simplemente necesitan un punto de referencia establecido para 10 años de soporte, ideal para el punto de servicio u otros sistemas de misión crítica. La División Actual para Empresas (Current Branch for Business) ofrece a las organizaciones un poco de holgura para asegurarse de que pueden y realizan actualizaciones de prueba cuando llegan, contra su software y servicios. Windows Update for Business está evolucionando para ser el mecanismo para gestionar eso", dijo Miller.

Los departamentos de TI de las empresas también podrán retrasar la distribución general de actualizaciones para permitir la prueba de compatibilidad con las aplicaciones heredadas y el entorno empresarial.

En cuanto a los proveedores empujando actualizaciones automáticamente, está sucediendo para algunos pero no para otros, y no hay nada que Microsoft pueda hacer al respecto. Google comenzó  empujando las actualizaciones de Chrome de forma automática en el 2011, y Microsoft hizo lo mismo para Internet Explorer en 2012.

Débil configuración de la política de seguridad de Windows

En 2008, Beaver denunció deficiencias en la configuración predeterminada de la política de Windows: “El registro de auditoría que no está siendo habilitado para eventos fallidos, no hay protectores de pantalla protegidos con contraseña, no se requiere Ctrl + Alt + Supr para iniciar la sesión, no se requiere de complejidad en las contraseñas y se muestra el nombre del último usuario que inició sesión". Y continuó: "Las políticas para controlar estos problemas son fáciles de implementar a nivel local en cada sistema de Windows para departamentos de Windows más pequeños que no ejecutan Active Directory. Es incluso más fácil para las empresas más grandes a través de Active Directory Group Policy”.

¿Han cambiado las cosas? Sí, pero esto no es necesariamente un área donde Microsoft tiene el mayor control sobre las vulnerabilidades de Windows. "Microsoft se esfuerza para enviar buenas configuraciones de políticas –muchas de ellas difieren, en función de si un sistema está unido a un dominio de Active Directory o no– pero si una organización quiere políticas más estrictas, pueden proveérselas así" dijo Miller.

Contraseñas débiles o inexistentes

El problema de las contraseñas es que, para ser eficaces, tienen que ser fuertes, pero si son fuertes, no son eficaces porque los usuarios tienen problemas para usarlas.

Beaver escribió en 2008: "No puedo decirle cuántos sistemas (especialmente las computadoras portátiles con Windows) veo que no tienen una contraseña asignada a la cuenta de administrador, o la contraseña del usuario por defecto es la misma que el nombre de usuario. El problema de la contraseña ha existido desde los albores del tiempo, así que no hay excusa para este".

En estos días, muchos expertos sugieren que no son contraseñas débiles o malos usuarios, sino que las propias contraseñas están en falta, y la solución es deshacerse de ellas por alguna forma de autenticación de dos factores que incluya un factor biométrico.

Según Miller, "en los próximos cinco años, entre el Touch ID en los dispositivos de Apple y Hello en dispositivos de Windows, vamos a ver desaparecer a la contraseña y ya no va a ser la preocupación que una vez fue”.

Eso es exactamente lo que Microsoft está defendiendo, sobre todo para la empresa, con Microsoft Passport, que es la pieza que hace la autenticación, y Microsoft Hello, que es la parte que se encarga de la biométrica. El problema es que el hardware con capacidad de dos factores aún no es el estándar.

Miller sugirió adaptar una estrategia a corto plazo de comprender cómo Microsoft Passport "ayuda a gestionar su identidad a través de la web", pero con el objetivo a largo plazo de utilizar  "Microsoft Hello como el hardware para aprovechar, a medida que se vuelva más común”.

Windows Mobile y otras debilidades de dispositivos móviles

En 2008, el estado de la seguridad móvil de Windows era un gran lío: un mínimo de herramientas para la gestión y administración de dispositivos, autenticación débil o ninguna, falta de cifrado, pero un montón de espacio de almacenamiento disponible en los dispositivos y un control de parches y actualización del sistema irregulares.

Las cosas están mucho mejor ahora. "Microsoft tiene una mucho mejor historia sobre cómo asegurar sus dispositivos móviles hoy en día de lo que tenían en esa época, cuando había en realidad solo Exchange y ActiveSync como las únicas opciones de Microsoft para asegurar esos dispositivos", dijo Miller.

Con Windows 10, comentó Miller, "usted tiene la capacidad de proteger el contenido cuando está en un dispositivo, borrar el contenido si el dispositivo se pierde, sin borrar el contenido del usuario”.

Ahora, la gestión de dispositivos móviles es cada vez más una parte importante de cualquier caja de herramientas de seguridad de Windows para la empresa, aunque puede tener un precio por comprar nuevos servicios, en particular, la Enterprise Mobility Suite, según Miller.

Sistemas rebeldes ejecutando servicios desconocidos y no administrados

En 2008, Beaver dijo:”Los sistemas de legado de Windows que no están dentro del alcance de la seguridad empresarial y el cumplimiento”. Estos sistemas se instalaron y se dejaron para que hicieran su trabajo, sin ningún tipo de supervisión o soporte o parches, y aunque no fueron descubiertos y subvertidos por atacantes, aún pueden causar más problemas de lo que valen. Pueden ser casi imposibles de erradicar, ya que no hay manera fácil o sencilla de encontrarlos todos.

Mientras que muchos, quizás la mayoría, de los sistemas viejos, no endurecidos y sin parches, como Windows 98, NT y 2000 han sido extirpados de la empresa, los sistemas Windows viejos y sin soporte son más la responsabilidad de la empresa para erradicarlos y sustituirlos, que un problema que Microsoft puede resolver.

Algunas cosas nunca cambian

El cambio puede ser universal, pero algunas cosas nunca cambian. Muchas vulnerabilidades de seguridad del pasado están encerradas en Windows 10, pero la conclusión hoy sigue siendo la misma que en 2008, cuando escribió Beaver entonces:

"Lo fundamental es saber qué hay en sus sistemas y qué se puede hacer con sus sistemas. Esta es la receta para un entorno seguro de Windows”.

Próximos pasos

Más sobre Windows:

¿Se han olvidado de Windows?

¿Realmente Windows 10 es la última versión de Windows?

Opciones de configuración para el Inicio en Windows 10

Investigue más sobre Los sistemas operativos Windows

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close