Windows 10: Seguridad y protección a la identidad para el mundo moderno
Hay mucha emoción y energía alrededor de la vista previa técnica de Windows 10 – incluyendo una emoción increíble sobre el Programa Windows Insider, en donde actualmente logramos 1 millón de registros totales, y más de 200 mil piezas de retroalimentación de usuarios. ¡Gracias por inscribirse al programa y proporcionarnos su retroalimentación! Deseamos que Windows 10 sea un reflejo de lo que necesite en sus negocios, y no puedo estar más emocionado de ver lo que está pasando. En mi último blog, mencioné que daría seguimiento a algunas áreas clave. Hoy, me gustaría enfocarme en la seguridad en Windows 10 que ha sido vital en muchas de las conversaciones con clientes que he tenido desde que anunciamos la disponibilidad de la vista previa técnica. Con razón, la seguridad y la protección a la información son prioritarias para muchos negocios.
En el mundo de hoy, el mercado de los ataques cibernéticos en los negocios es de largo alcance y éstos son cada vez más, de alto perfil y exitosos en su ejecución. Estamos viendo violaciones a la red que resultan de técnicas tan simples como robo de nombres de usuario y contraseñas. En un par de casos recientes, los Hackers se infiltraron en compañías de Fortune 500 utilizando nombres de usuarios y contraseñas robadas que les dieron acceso a sistemas punto de venta y los datos de tarjeta de crédito procesados. Los ataques resultaron en el robo de millones de números de tarjeta de crédito que rápidamente terminaron en el mercado negro. Recientemente, el New York Times reportó que 1200 millones de nombres de usuarios y contraseñas fueron robados por una sola organización de crimen cibernético. Lo cual es para asustarse, considerando que solo hay cerca de 1800 millones de personas en línea en todo el mundo. Estas tenaces organizaciones criminales y algunos estados nacionales no son la única amenaza que enfrentamos. Aún empleados bien intencionados representan un riesgo sustancial que requiere reducirse. Un reporte este año de la compañía de seguridad Stroz Friedberg señaló que el 87% de la alta gerencia admitió cargar de manera regular archivos de trabajo en un correo electrónico o cuenta en la nube personal, mientras que el 58% de los usuarios admitió haber enviado de manera accidental información sensible a una persona equivocada.
Con Windows 10, estamos enfrentando activamente las amenazas modernas a la seguridad con avances para fortalecer la protección de identidad y el control al acceso, protección de la información y resistencia a amenazas. Con esta versión tendremos casi todo integrado para dejar de usar las opciones de autenticación con un solo factor, como contraseñas. Ofrecemos una prevención robusta a la pérdida de datos directo en la plataforma misma y, cuando se trata de amenazas en línea, como Malware, tenemos una gama de opciones para ayudar a las empresas a protegerse contra causas comunes de infección de Malware en PCs.
Protección a la identidad y control de acceso
Para empezar, quiero hablar sobre una solución que proporciona un enfoque muy moderno a las credenciales de identidad y de usuario, algo que representa la siguiente generación de protección a la identidad. Hablé un poco de esto en mi blog el 30 de septiembre. Con esta solución, Windows 10 protege las credenciales del usuario cuando ocurre una violación en el centro de datos. Protege a los usuarios contra robo cuando están comprometidos los dispositivos y hace que los ataques de phishing a identidades sean completamente inefectivos. Es una solución que ofrece beneficios tanto para los negocios como para los consumidores y proporciona toda la conveniencia de una contraseña junto con una seguridad que es verdaderamente de grado empresarial. Representa el destino en nuestra travesía para eliminar el uso de opciones de identidad con un solo factor como las contraseñas. Creemos que esta solución ofrece una protección a la identidad a un nuevo nivel como lo hace la seguridad multifactor, que hoy está limitada a soluciones como tarjetas inteligentes, y se integra directamente al sistema operativo y al dispositivo mismo, eliminando la necesidad de periféricos adicionales de seguridad en hardware.
Una vez inscritos, los dispositivos mismos se vuelven uno de los dos factores requeridos para la autenticación. El segundo factor será un PIN o factor biométrico, como una huella digital. Desde el punto de vista de seguridad, esto significa que un atacante necesitaría tener el dispositivo físico de un usuario, además de los medios para usar las credenciales del usuario, que requeriría acceso al PIN o a la información biométrica de los usuarios. Los usuarios podrán inscribir cada uno de sus dispositivos con estas nuevas credenciales o podrán inscribir un dispositivo único, como un teléfono móvil, que se convertirá efectivamente en su nueva credencial móvil. Les permitirá iniciar sesión en todos sus PCs, redes y servicios Web siempre que su teléfono móvil esté cerca. En este caso, el teléfono, utilizando comunicación via Bluetooth o Wifi, se comportará como una tarjeta inteligente remota y ofrecerá una autenticación de dos factores tanto para el inicio de sesión local como para un acceso remoto.
Si entramos con mayor profundidad a este componente de Windows 10 y vemos tras bambalinas, los equipos de TI y de seguridad encontrarán que las cosas tienen una apariencia muy familiar. La credencial misma puede ser una de dos cosas. Puede ser un par clave generado criptográficamente (claves privadas públicas) producido por Windows mismo o puede ser un certificado proporcionado al dispositivo por las infraestructuras de PKI existentes. Proporcionar estas dos opciones hace que Windows 10 sea excelente para las organizaciones con ambientes PKI existentes y lo hace viable para escenarios Web y del consumidor donde no es tan práctica una identidad respaldada por PKI. Active Directory, Azure Active Directory y las Cuentas de Microsoft brindarán soporte a nuestra nueva solución de credenciales directo de la caja, de tal manera que las empresas y consumidores que utilicen los servicios en línea de Microsoft podrán rápidamente dejar de usar las contraseñas. Esa tecnología está siendo diseñada intencionalmente de tal manera que pueda ser adoptada ampliamente a través de otras plataformas, la Web y otras infraestructuras.
Proteger las identidades del usuario es tan solo una parte de nuestro enfoque de protección a la identidad. La siguiente parte es proteger los tokens de acceso del usuario que son generados una vez que los usuarios han sido autenticados. Hoy, estos tokens de acceso están cada vez más bajo ataque utilizando técnicas como Pass the Hash, Pass the Ticket, etc. Una vez que un atacante tiene estos tokens, pueden acceder a recursos al suplantar de manera efectiva la identidad del usuario sin necesitar las credenciales reales del mismo. Frecuentemente, la técnica también es acompañada de amenazas avanzadas persistentes (APT) y, por tanto, es una técnica que definitivamente deseamos eliminar de la lista de opciones del atacante. Con Windows 10, nuestro objetivo es eliminar este tipo de ataque con una solución arquitectónica que almacene los tokens de acceso del usuario dentro de un contenedor seguro que se ejecuta encima de la tecnología Hyper-V. Esta solución evita que los tokens se extraigan de dispositivos aun en casos en donde esté comprometido el kernel mismo de Windows.
Protección a la información
Con Windows 10, hemos hecho grandes avances en el frente de identidades y pensamos que usted encontrará que estamos igualmente enfocados en la protección a la información. Veamos primero algunos datos que ayudarán a explicar en donde estamos invirtiendo. BitLocker se ha vuelto una tecnología líder en la industria que protege los datos mientras residen en un dispositivo; sin embargo, una vez que salen de allí, ya no están protegidos. Para proteger los datos cuando salen del dispositivo, proporcionamos los servicios Azure Rights Management y Administración de los Derechos de Información (IRM) en Microsoft Office, que típicamente requieren que el usuario opte por activar la protección. Esto deja a las compañías con una pequeña brecha, de tal manera que, si los usuarios no son proactivos, es relativamente fácil que dejen salir de manera accidental datos corporativos. En Windows 10, resolvemos este problema con una solución de prevención a la pérdida de datos (DLP) que separa los datos corporativos de los personales y ayuda a protegerlos utilizando contenedores. Estamos creando esta capacidad en la plataforma misma e integrándola dentro de la experiencia existente del usuario para permitirle una protección sin la interrupción frecuentemente vista en otras soluciones. No habrá necesidad de que el usuario cambie modalidades, o aplicaciones, para proteger los datos corporativos, lo que significa que los usuarios pueden ayudar a mantener los datos seguros sin cambiar su comportamiento. La protección a los datos corporativos en Windows 10 permite la codificación automática de aplicaciones, datos, correos electrónicos o contenidos de sitios Web y otra información sensible corporativa, al llegar al dispositivo desde ubicaciones en redes corporativas. Y cuando los usuarios crean nuevos contenidos originales, esta solución de protección a los datos ayuda a los usuarios a definir qué documentos son corporativos y cuáles son personales. Si se desea, las compañías pueden hasta designar todos los nuevos contenidos creados en el dispositivo como corporativos por política. Además, políticas adicionales pueden permitir a las organizaciones evitar que los datos se copien de contenidos corporativos a documentos no corporativos o ubicaciones externas en la Web, como las redes sociales.
Windows 10 proporciona una solución avanzada de protección a los datos para el escritorio, pero ¿qué pasa con los móviles? Esta solución ofrecerá la misma experiencia en Windows Phone que vimos en el escritorio de Windows y proporcionará interoperabilidad, de tal manera que los documentos protegidos puedan accederse en varias plataformas. Por último, en cuanto a protección a los datos en Windows 10, las organizaciones pueden definir las aplicaciones que tienen acceso a datos corporativos vía políticas. Llevamos esta capacidad un poco más allá y ampliamos esas políticas para resolver requisitos de VPN que muchos de ustedes han compartido con nosotros.
Al igual que usted, cuando estoy en el camino o trabajo desde el hogar, necesito conectarme a datos y aplicaciones críticas para mantenerme productivo. Al brindar soporte a usuarios remotos, los profesionales de TI buscan formas de limitar los riesgos asociados con conectividad a VPN, particularmente con dispositivos BYOD. Windows 10 ayuda, al dar una gama de opciones de control de VPN, desde conectividad constante hasta especificar qué aplicaciones particulares pueden tener acceso vía VPN. Las listas de aplicaciones aceptadas y rechazadas permitirán a los profesionales de TI definir las aplicaciones autorizadas para acceder la VPN y puedan administrarse mediante soluciones MDM para aplicaciones tanto de escritorio como universales. Para los administradores que requieren un control más detallado, pueden restringir aún más el acceso por puertos específicos o direcciones IP. Estas mejoras permiten a los profesionales de TI equilibrar la necesidad de acceso con la necesidad de seguridad y control.
Resistencia a las amenazas
Además, Windows 10 proporciona a las organizaciones la capacidad de cerrar dispositivos, permitiendo una resistencia adicional a amenazas y malware. Debido a que el malware se instala frecuentemente de manera inadvertida en los dispositivos por los usuarios, Windows 10 resuelve esta amenaza al permitir solamente aplicaciones confiables, lo que significa que las aplicaciones inscritas utilizando un servicio de firma proporcionado por Microsoft correrán en dispositivos especialmente configurados. El acceso al servicio de firma estará controlado utilizando un proceso de investigación de antecedentes similar a la forma en que controlamos el acceso a la publicación por proveedores de software independientes (ISV) en el Windows Store y los dispositivos mismos serán bloqueados por el OEM. El proceso de bloqueo que utilizarán los OEMs es similar a lo que hacemos con los dispositivos Windows Phone. Las organizaciones tendrán la flexibilidad de elegir las aplicaciones que son confiables – sólo aplicaciones que son firmadas por ellos mismos, especialmente aplicaciones firmadas de ISVs, aplicaciones de Windows Store ó todo lo anterior. A diferencia de Windows Phone, estas aplicaciones también pueden incluir aplicaciones de escritorio (Win32) – lo que significa que cualquier cosa que se pueda ejecutar en el escritorio de Windows también se podrá ejecutar en estos dispositivos. En última instancia, esta capacidad de bloqueo en Windows 10 proporciona a los negocios una herramienta efectiva en la lucha contra las amenazas modernas y, con esto, viene la flexibilidad de hacerlo funcionar dentro de la mayoría de los entornos.
Hay muchas otras cosas que me encantaría hablar con relación a la seguridad. Y deseo colocar más información sobre diferentes funciones y mejoras a la seguridad en la medida que sean integradas en las versiones del producto. Continúe conectándose para escuchar más de mí sobre las formas en que estamos trabajando para que Windows 10 sea una excelente opción de negocios. Y mientras tanto, si no lo ha hecho aún, revise la vista previa técnica de Windows 10 y denos su opinión.