Una corrección crítica de seguridad en Windows pone contra las cuerdas al hardware heredado
Microsoft se dispone a bloquear definitivamente un programa ya retirado que, según la compañía, facilitaba “abusos y robos de credenciales”, pero que durante años siguió siendo utilizado con profusión.
A partir de abril, la compañía retirará la confianza a los controladores del núcleo que no hayan sido verificados a través de su Programa de Compatibilidad de Hardware de Windows (WHCP). En concreto, la medida afecta a los controladores firmados mediante el antiguo programa de raíz con firma cruzada.
Si bien este cambio corrige una brecha de seguridad relevante, Microsoft reconoce que puede afectar a aplicaciones heredadas y a determinados casos de uso. Para equilibrar seguridad y compatibilidad, la nueva política se desplegará inicialmente en “modo de evaluación” con la actualización de Windows 11 y Windows Server prevista para abril de 2026. Además, se contemplan excepciones para controladores antiguos ampliamente utilizados y, en ciertos escenarios, los administradores podrán desactivar la política.
“Básicamente, Microsoft está cerrando una brecha de seguridad crítica de 20 años en su sistema operativo”, ha explicado David Shipley, de Beauceron Security, para añadir: “Los controladores tienen acceso al núcleo del sistema y pueden abusar de ese nivel privilegiado para desactivar antivirus o herramientas de monitorización”.
Un programa que comprometía la seguridad de las plataformas
Microsoft introdujo el programa de firma cruzada a comienzos de los años 2000 con el objetivo de facilitar a terceros la firma de controladores mediante certificados considerados de confianza en Windows, aunque con distintos niveles de verificación. Sin embargo, este modelo no garantizaba la seguridad ni la compatibilidad del código del núcleo.
El programa estaba gestionado por terceros que almacenaban las claves privadas asociadas a los certificados. Según Microsoft, esto derivó en abusos y robos de credenciales que comprometieron a clientes y plataformas.
Aunque el programa quedó obsoleto en 2021 y los certificados han expirado, muchos controladores firmados bajo este esquema han seguido siendo aceptados como válidos. La nueva política de confianza del núcleo afectará a Windows 11 (versiones 24H2, 25H2 y 26H1), a Windows Server 2025 y a todas las versiones futuras.
En una primera fase, el sistema operará en modo de evaluación, monitorizando la carga de controladores para detectar posibles problemas de compatibilidad. Este modo se mantendrá hasta completar ciertos umbrales de uso (100 horas de ejecución y entre dos y tres reinicios). Si durante ese periodo todos los controladores son considerados fiables, la política se activará automáticamente. En caso contrario, el sistema seguirá en evaluación hasta que desaparezcan los controladores problemáticos.
Una vez activada, la política bloqueará los controladores no fiables y permitirá únicamente aquellos certificados a través del WHCP, que somete los controladores a análisis de malware y pruebas de compatibilidad con el hardware y el sistema operativo.
Microsoft define este proceso como un “riguroso sistema de certificación” que garantiza que los socios cumplen los requisitos más recientes de seguridad y conformidad.
Excepciones y mecanismos de mitigación
Para minimizar el impacto, Microsoft mantendrá una lista de controladores permitidos, que se centrará en aquellos antiguos pero ampliamente utilizados y con buena reputación. Esta lista se basa en datos reales de uso empresarial recopilados durante los últimos dos años.
Asimismo, los administradores podrán aplicar excepciones mediante Application Control for Business, lo que permitirá el uso de controladores firmados de forma privada en entornos corporativos específicos. Estas excepciones requerirán autorización mediante claves criptográficas vinculadas al dispositivo.
Más seguridad, pero con concesiones
Los analistas coinciden en que se trata de una mejora significativa en términos de seguridad.
“No responde a un incidente concreto, sino a una estrategia a largo plazo para eliminar riesgos evitables”, señala Thomas Randall, de Info-Tech Research Group.
No obstante, este avance implica compromisos. La desactivación de controladores antiguos puede dejar inoperativos dispositivos personalizados, especialmente en entornos IoT o en sectores críticos como el sanitario, donde equipos como máquinas de rayos X podrían verse afectados.
Aun así, Microsoft ha introducido salvaguardas en la fase de evaluación para evitar interrupciones críticas, como los periodos de uso y reinicio antes de aplicar la política de forma definitiva.
¿Dificultará esto el desarrollo de malware? Probablemente sí. ¿Lo eliminará por completo? No. “El malware seguirá evolucionando, pero su impacto se reduce, y eso ya es una victoria”, ha admitido Shipley.
Qué deben hacer las empresas
Aunque existen excepciones, los expertos advierten de que serán temporales.
“Incluso los controladores permitidos tienen los días contados”, ha afirmado Randall, para apostillar: “Es previsible que Microsoft termine eliminándolos”.
El principal riesgo para las organizaciones es la existencia de dependencias ocultas. Sectores como la industria o la sanidad, donde se utilizan sistemas heredados o hardware especializado, son especialmente vulnerables.
“El dispositivo puede seguir funcionando correctamente, pero depender de un controlador antiguo que nunca se ha actualizado. Si ese controlador no está en la lista de permitidos y no existe alternativa, el sistema puede dejar de funcionar”, ha continuado Randall.
Para prepararse, los expertos recomiendan inventariar el hardware y software que utiliza controladores de Windows, probar los sistemas críticos, consultar a proveedores sobre planes de actualización y detectar controladores desarrollados internamente que puedan requerir excepciones.
Además, advierten de que no se debe confiar en exceso en la lista de excepciones de Microsoft, ya que será limitada.
En este contexto, la transición hacia un ecosistema de controladores plenamente verificados se perfila como inevitable, y las empresas deberán anticiparse para evitar interrupciones operativas.
(computerworld.es)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
