Asegurar nuestro futuro: informe de progreso de abril de 2025

2025-04-22 Comunicado Entretenimiento, Eventos 0

Iniciativa Futuro Seguro de Microsoft

Sobre la Iniciativa Futuro Seguro de Microsoft

Por: Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft.

La Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés) de Microsoft se erige como el proyecto de ingeniería de ciberseguridad más grande de la historia y el esfuerzo más extenso de su tipo en Microsoft. Desde nuestros inicios, hemos dedicado el equivalente a 34 mil ingenieros que trabajan a tiempo completo durante 11 meses para mitigar los riesgos y abordar las tareas de seguridad de mayor prioridad. Ahora, compartimos el segundo informe de progreso de SFI, que destaca el progreso realizado en nuestro recorrido de varios años para mejorar la postura de seguridad de Microsoft, nuestros clientes y la industria en general.

Lean el más reciente informe de la Iniciativa Futuro Seguro

Hemos progresado en la cultura y la gobernanza a través de fomentar una mentalidad que prioriza la seguridad en cada empleado y con la inversión en estructuras de gobernanza holísticas para abordar el riesgo de ciberseguridad en toda nuestra empresa.

Para proteger mejor a nuestros clientes, los equipos de ingeniería de toda la empresa ofrecen innovaciones alineadas con nuestros principios de seguridad, como el nuevo kit de herramientas Secure by Design UX,  que probamos con 20 equipos de productos, implementamos a 22 mil empleados y compartimos de manera pública. Este kit de herramientas incorpora las mejores prácticas de seguridad en el desarrollo de productos y ya ha comenzado a dar resultados. Incluye prácticas recomendadas, tarjetas de conversación y herramientas de taller para ayudar a los equipos a crear capacidades de seguridad, identificar vulnerabilidades en los productos y priorizar dónde centrarse. 

También hemos progresado en todos los pilares y objetivos de ingeniería, para reforzar de manera continua nuestra seguridad de identidad, para reducir el riesgo de movimiento lateral a través de redes e inquilinos, mejorar nuestra capacidad para detectar y responder a las ciberamenazas y asociándonos con la industria para proteger a los clientes desde días cero. La información y los aprendizajes de este progreso informan las innovaciones continuas en nuestra cartera de seguridad de Microsoft (Microsoft Entra, Microsoft Defender y Microsoft Purview) que ayudan a proteger mejor a los clientes y a Microsoft.

Para proteger mejor las claves de firma, en septiembre de 2024 anunciamos que hemos trasladado las claves de firma del ID de Entra y del token de acceso de la cuenta de Microsoft (MSA, por sus siglas en inglés) a módulos de seguridad basados en hardware (HSM, por sus siglas en inglés) y seguridad basada en virtualización en Windows, con rotación automática. Desde entonces, hemos aplicado nuevas protecciones de defensa en profundidad en respuesta a nuestra investigación y evaluaciones de Red Team, hemos migrado el servicio de firma de MSA a máquinas virtuales confidenciales de Azure y migramos el servicio de firma de Entra ID al mismo. Cada una de estas mejoras ayuda a mitigar los vectores de ataque que sospechamos que el actor utilizó en el ataque Storm-0558 de 2023 a Microsoft.

También hemos mejorado nuestra capacidad para detectar y responder a las ciberamenazas, al agregar más de 200 detecciones adicionales contra las principales tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés), que se integrarán en Microsoft Defender cuando corresponda. Al asociarnos con la comunidad de investigación de seguridad, descubrimos de manera proactiva 180 vulnerabilidades en las áreas de alto impacto de la nube y la IA, y ampliamos nuestro programa para abordar las vulnerabilidades en un tiempo reducido para mitigarlas y cubrir más productos, entornos y menores gravedades.

A continuación, se presentan los aspectos más destacados del informe completo de progreso del SFI:

Seguro por diseño, de forma predeterminada y en operaciones

En este informe, encontrará ejemplos de cómo incorporamos protecciones desde el principio, alineadas con nuestros principios de seguridad:

  • El nuevo kit de herramientas de UX Secure by Design, probado por 20 equipos de producto e implementado para 22 mil empleados, así como una versión disponible de manera pública, ayuda a los equipos a crear experiencias más seguras y centradas en el usuario.
  • El lanzamiento de 11 nuevas innovaciones en Microsoft Azure, Microsoft 365, Windows y Microsoft Security que ayudan a mejorar la seguridad de forma predeterminada.
  • Procesos de desarrollo de IA que ahora incluyen revisiones de seguridad y protección dedicadas dirigidas por la Organización de Seguridad y Protección de Inteligencia Generativa Artificial.
  • Aplicar prácticas de operaciones seguras en todos nuestros sistemas de IA, como se describe en nuestro Informe de transparencia de IA Responsable.
  • Nuevas políticas, modelos de detección basados en el comportamiento y métodos de investigación que frustraron $4 mil millones en intentos de fraude.

Estos avances ayudan a proteger a nuestros clientes y a Microsoft.

Mentalidad donde la seguridad es primero, en toda la empresa

La seguridad comienza con las personas. En el último año, hemos activado una cultura que prioriza la seguridad en todos los rincones de la empresa, desde la ingeniería hasta las operaciones y la atención al cliente.

  • Todos los empleados de Microsoft ahora tienen una prioridad principal de seguridad vinculada de manera directa a las evaluaciones de rendimiento.
  • 50 mil empleados han participado en la Academia de Seguridad de Microsoft para mejorar sus habilidades de seguridad.
  • El 99% de los empleados han completado nuestros cursos de Fundamentos de Seguridad y Código de Confianza.

Este cambio no tiene que ver con el cumplimiento, sino con el empoderamiento. Queremos que todas las personas de Microsoft comprendan su papel en mantener la seguridad de nuestros clientes y que tengan las herramientas para actuar de acuerdo con esa responsabilidad.

Gobernanza más sólida para gestionar el riesgo en toda la empresa

En mayo de 2024, introdujimos una nueva estructura de gobernanza para mejorar la visibilidad del riesgo y la rendición de cuentas. Desde entonces, hemos profundizado nuestra inversión:

  • Hemos nombrado a un director adjunto de seguridad de la información (CISO, por sus siglas en inglés) para aplicaciones empresariales y hemos consolidado la responsabilidad de Microsoft 365 y Experiencias y dispositivos.
  • Los 14 CISO adjuntos de Microsoft han completado un inventario de riesgos y una priorización, para crear una visión compartida del riesgo de seguridad en toda la empresa.

Este tipo de estructura es fundamental para la escala, ya que garantiza que la seguridad no solo esté centralizada, sino integrada en toda la organización.

Impulsar un progreso medible en todos los pilares

Seguimos con el avance en todos los pilares y objetivos. De los 28 objetivos, cinco están a punto de completarse, 11 han logrado avances significativos y seguimos con el avance en relación con el resto. Como resultado de SFI, nuestras plataformas y servicios son más seguros, y hemos mejorado nuestra capacidad para detectar y responder a las ciberamenazas.

1. Proteger identidades y secretos: Hemos mejorado la seguridad de las identidades para los servicios y clientes de Microsoft

  • Nuevas protecciones de defensa en profundidad para las claves de firma de tokens de Microsoft Entra ID y Microsoft Account (MSA) que ya están almacenadas en módulos de seguridad basados en hardware. El servicio de firma de cuentas de Microsoft (MSA) se ha migrado a máquinas virtuales confidenciales de Azure.
  • El 90% de los tokens de identidad de Microsoft Entra ID para aplicaciones de Microsoft se validan mediante un kit de desarrollo de software (SDK, por sus siglas en inglés) de identidad coherente y protegido.
  • Para mitigar el riesgo de los ciberataques avanzados, el 92% de las cuentas de productividad de los empleados utilizan ahora la autenticación multifactor (MFA, por sus siglas en inglés) resistente al phishing.

2. Proteger a los inquilinos y aislar los sistemas de producción: Seguimos con la eliminación de los recursos heredados y no utilizados, y aumentamos el aislamiento para reducir el riesgo de movimiento lateral

  • Hemos realizado la transición de más del 88% de los recursos a Azure Resource Manager, hemos quitado un total de 6,3 millones de inquilinos (550 mil más desde septiembre) y todos los nuevos inquilinos se registran en automático en nuestro sistema de respuesta a emergencias de seguridad.
  • Utilizamos una solución de gestión del ciclo de vida automatizado para todas las aplicaciones de Microsoft Entra ID en el entorno de producción.
  • La autenticación de 4,4 millones de identidades administradas por el entorno de producción ahora está restringida a ubicaciones de red específicas, lo que protege aún más estos activos críticos.

3. Proteger las redes: Los avances logrados en todos los objetivos han mejorado la seguridad de nuestra red y han aportado nuevas innovaciones para ayudar a los clientes a proteger sus redes

  • Más del 99% de los activos de red han sido inventariados y utilizan estándares de seguridad mejorados.
  • Continuamos con la adición de capas adicionales de defensa en profundidad mediante la aplicación de aislamiento y segmentación de red a nuestra red.
  • Presentamos cuatro nuevas funcionalidades de seguridad para ayudar a los clientes a proteger sus redes: Perímetro de seguridad de red (NSP, por sus siglas en inglés), Extensiones de seguridad de DNS (DNSSEC, por sus siglas en inglés), Azure Bastion Premium y una característica de subred privada.

4. Proteger los sistemas de ingeniería: Hemos mejorado la seguridad de los sistemas que utilizamos para crear, probar e implementar código

  • El 99,2% de los pipelines tienen un inventario completo, que se aplica en el momento de la creación y se valida en 24 horas.
  • MFA protege el 81% de las ramas del código de producción a través de comprobaciones de prueba de presencia.
  • Amplia adopción de Central Feed Services, que ayuda a proporcionar a los desarrolladores una fuente de código abierto gobernada.

5. Monitorear y detectar amenazas: Para mejorar nuestra capacidad de investigar y responder a las amenazas cibernéticas

  • Realizamos un seguimiento centralizado del 97% de nuestros activos de infraestructura de producción.
  • Los equipos de ingeniería continúan con la adopción de nuestro estándar de registro de seguridad, incluida la política de retención mínima de dos años.
  • Agregamos más de 200 detecciones adicionales contra las mejores tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés). Las detecciones aplicables se integrarán en Microsoft Defender.

6. Acelerar la respuesta y la corrección: Abordamos más vulnerabilidades, más rápido, y continuamos con la mejora en las comunicaciones con los clientes relacionadas con la seguridad

  • Tasa de éxito del 73% al abordar las vulnerabilidades de la nube en nuestro tiempo reducido para mitigar, con un alcance del programa ampliado de manera significativa.
  • Como parte de Zero Day Quest, los investigadores identificaron 180 nuevas vulnerabilidades en las áreas de alto impacto de la nube y la IA, lo que nos permite abordarlas de manera proactiva.
  • Introdujimos nuevos procesos y manuales de estrategias para mejorar las comunicaciones de incidentes de seguridad con los clientes.

Un futuro de innovación segura

El progreso en ciberseguridad nunca es lineal. Las amenazas cibernéticas evolucionan. La tecnología cambia. Surgen nuevos riesgos. Pero cada paso que damos para proteger nuestras plataformas es una inversión en un futuro más seguro, para Microsoft, nuestros clientes y todo el ecosistema.

SFI es la forma en que estamos a la altura de ese desafío. Aplicamos los principios de Zero Trust, al impulsar la seguridad desde el núcleo de ingeniería y compartir lo que aprendemos. Hay más trabajo por delante y estamos comprometidos con el recorrido.

También sabemos que la seguridad es un deporte de equipo. Se necesita la colaboración entre clientes, socios y la industria en general para avanzar juntos. Como parte de nuestro compromiso con el ecosistema en general, estamos orgullosos de seguir con el apoyo a iniciativas como el compromiso CISA Secure by Design, lo que refuerza nuestra creencia de que la seguridad es la base de la confianza.

Gracias por su confianza y su asociación. Sigamos con la construcción en conjunto de un futuro seguro.

Lean el más reciente Informe de Progreso de SFI

Más información con Microsoft Security

Para obtener más información sobre las soluciones de seguridad de Microsoft y la iniciativa Secure Future de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad. 

facebookShare on Facebook
TwitterTweet
FollowFollow us
PinterestSave

Be the first to comment

Leave a Reply

Your email address will not be published.


*