La temida “pantalla azul de la muerte”, que durante décadas ha sido una pesadilla por los usuarios de Windows, desaparecerá a finales del verano. Tras la actualización a Windows 11 24H2, la pantalla de reinicio obligatorio será negra, pero lo especial es que proporcionará el código de la incidencia y del controlador defectuoso, permitiendo una recuperación más rápida que, según Microsoft, en la mayoría de los casos, se completaría en dos segundos. Se acompaña de un replanteamiento profundo de las relaciones de la compañía con la industria de la ciberseguridad, una interacción preciada sin la cual cientos de proveedores de esta categoría de software podrían llegar a perder su razón de existir.
Charlie Bell
No es casualidad que la novedad se anuncie en estas fechas. El sábado 19 se cumplirá un año del apagón masivo que afectó a 8,5 millones de sistemas basados en Windows, paralizando aeropuertos, bancos, sistemas de pago y un sinfín de actividades dependientes del sistema operativo de Microsoft. El desastre fue provocado por un error de programación en una actualización del software de seguridad Falcon, de la compañía CrowdStrike, que afectó al kernel de Windows [nota: componente del sistema operativo que da acceso al hardware cada vez que un programa lo solicita]
Fue un error, no un ataque, pero puso en evidencia puntos débiles que exigen corrección. Bloquear el acceso de terceros al kernel debería ser, a priori, la solución más al alcance, pero resulta inviable por la sencilla razón de que la mayor parte de las soluciones de terceros – la llamada industria de la seguridad – se ejecutan en el kernel de Windows, que por esto fue el foco del incidente del 2024. Microsoft ha escogido un blindaje más sofisticado, que se presenta como una colaboración con los proveedores de soluciones cuya finalidad sería compartir diseños y requisitos técnicos sin coartar su autonomía.
Microsoft afirma no tener interés en imponer sus propias reglas: según la compañía, sólo busca promover un ecosistema de interés común a todos los actores del mercado de seguridad. Tiene lógica que fuera precisamente Crowdstrike el primero en acoger la idea de lo que de facto sería una plataforma universal de seguridad para dispositivos Windows. A la iniciativa, bautizada como Windows Resiliency Initiative (WRI) se han sumado TrendMicro, Bitdefender y ESET entre otros, mientras Palo Alto Networks – desde una posición preponderante – se muestra reticente, quizá temiendo subordinar su libertad estratégica a la voluntad de Microsoft.
El propósito explícito es reaccionar ante el golpe sufrido por su reputación sin ser directamente responsable del error: pretende reivindicar que la ciberresiliencia ha de estar en el centro de su sistema operativo, no sólo a través de sus propias actualizaciones, sino también mediante la integración con terceros y la securización de los endpoints. La creación de un ecosistema de seguridad es uno de los pilares de WRI: ya el año pasado, en ocasión de la conferencia Windows Endpoint Security Ecosystem Summit, Microsoft se puso en campaña para vender la idea a proveedores y a funcionarios del gobierno de Estados Unidos. Un resultado buscado era la colaboración más estrecha con los miembros de un grupo adyacente, la Microsoft Virus Initiative (MVI).
La hoja de ruta prevista contempla una primera versión privada de la WRI en la que cada partner ha de aportar sus comentarios. En una primera fase, el primer beneficiario será el software antivirus que se comercializa bajo múltiples marcas. Pero no se queda ahí.
Es sólo el paso que se ha marcado Microsoft para alzar su voz en el mercado de la ciberseguridad, al tiempo que evita sospechas de tener intenciones aviesas. Otra pieza del dispositivo reposa en una alianza con CrowdStrike para mejorar la identificación de los actores maliciosos. Hasta la fecha, un mismo grupo delictivo suele recibir de la industria de ciberseguridad nombres dispares, debilitando las políticas de defensa, migración y recuperación. Basta un ejemplo: el malware Midnight Blizzard – sobre el que Microsoft tuvo que informar a la comisión federal de valores en marzo de 2024 – también es conocido como Cozy Bear, APT29 o UC2452.
La elaboración de una nomenclatura – especie de piedra Rosetta muy necesaria – no será cerrada, sino que se abrirá a cuantas organizaciones quieran sumarse sin tener en cuenta las diferencias entre sus respectivos sistemas de telemetría (patentados). De momento, Microsoft y CrowdStrike han reclutado decenas de empresas dispuestas a participar en un grupo de trabajo. Vasu Jakkal, uno de los vicepresidentes corporativos de seguridad de Microsoft, ha avanzado que Google – a través de su filial Mandiant – y la Unidad 42 de Palo Alto Networks van a estar en el grupo de trabajo.
Como el plano institucional importa mucho en esta materia, Microsoft ha suscrito un documento firmado por medio centenar de responsables de ciberseguridad de grandes corporaciones, quienes reclaman una confluencia de los sectores públicos y privados y la simplificación de las regulaciones. En consecuencia, proponen la creación de un foro global ante el indudable crecimiento de las amenazas.
Su argumento es todo un clásico: sostienen que resulta complicado cumplir con la diversidad de normativas que influyen en la seguridad de los sistemas. Muchas de ellas son de alcance sectorial; en Europa prevalece una genérica, NIS 2, todavía en fase de implementación. Un rasgo común a todas es el deber de comunicar rápidamente las brechas de seguridad que sean identificadas, algo que nunca es sencillo ni simpático, ya que la información que se necesita está dispersa y porque existe el riesgo de dar pistas a la ciberdelincuencia.
Como señuelo para ganar adeptos a su enfoque, Microsoft les ofrece un servicio en la nube que facilitaría a los administradores de sistemas el rastreo en las capas profundas de su software para localizar las raíces de las brechas de seguridad; ya sea preventivamente o como reacción a un ataque sufrido, pero en ambos casos sería de pago y sin intermediarios, dentro de su solución Purview. Esta prestación se extiende más allá de Microsoft 365: a través de SharePoint facilita el análisis con Azure y establece una clasificación por diferentes niveles de riesgo, delimitando las áreas y actores afectados.
El objetivo de Microsoft, bajo el modelo de pago por uso, es convertirse en un aliado del CISO a la hora de recabar toda la información de una brecha de seguridad, proporcionando respuestas interactivas a preguntas en lenguaje natural.
Estos movimientos tienen su correlato en una recurrente actitud de gestos hacia Bruselas. En junio, la compañía ofreció gratuitamente a los gobiernos europeos un programa (European Security Program), que comprende medidas contra amenazas generadas por inteligencia artificial.
Según un informe de Microsoft, casi todos los países europeos están en la diana de ataques patrocinados por China, Rusia, Irán y Corea del Norte. Los dos últimos se afanan en apropiarse de credenciales y en la explotación de vulnerabilidades para acceder a redes gubernamentales y empresariales; distinto es el caso de Rusia como consecuencia de su invasión de Ucrania, y el de China, que busca penetrar en redes académicas para hacerse con datos de investigaciones confidenciales.
Esta extensión de su Government Security Program incorpora más inteligencia avanzada y una colaboración aún más estrecha con Europol, así como con organizaciones que prestan asistencia directa a Ucrania y a proveedores de servicios de Internet.
La guinda es el lanzamiento de un asistente de ciberseguridad, bautizado Microsoft Security Copilot, en el que la IA generativa integra herramientas de ciberseguridad que ya estaban en su arsenal: Defender, Sentinel e Intune. Una vez más, Microsoft se mueve en un sutil equilibrio: no oculta que busca ganar protagonismo en este delicado campo, pero al mismo tiempo evita dar la impresión de que persigue la hegemonía.
Naturalmente, todo lo anterior tiene repercusión en la estructura interna de Microsoft especializada en ciberseguridad, encabezada por Charlie Bell desde 2021 (antes, durante años, ocupó el mismo cargo en AWS). Es inspiración de Bell – con el entusiasta apoyo de Satya Nadella – la creación el año pasado de un Consejo de Gobernanza de Ciberseguridad, integrado por media docena de subdirectores de seguridad de la información, que trabajan mano a mano con los responsables de producto e ingeniería.
Entre los miembros del organismo destaca por méritos propios Mark Russinovich, CTO de Azure y sub-CISO de la compañía. Asumiendo que la protección perfecta es imposible, la resiliencia el eje que vertebra las diversas áreas de la compañía, avala el punto de vista según el cual la defensa no ha de basarse puramente en la contención, sino que debe ser proactiva.
La identidad es otra de las parcelas que no descuida el mencionado grupo de trabajo: a medio plazo, se propone el desarrollo de un sistema de identidad empresarial a gran escala primando un enfoque que parte del diseño.
Como resulta previsible, la IA es un campo preferente. El liderazgo corresponde a Yonatan Zunger, también con rango de sub-CIO, cuyo equipo prueba y examina cada elemento de software de IA generativa que lanza la compañía. Uno de los aspectos más reveladores en la creación de este consejo es su transversalidad: según Microsoft, prevalece la convicción de que el éxito en ciberseguridad no depende solamente de la tecnología, sino también de una rigurosa disciplina en los procesos.
[informe de David Bollero]