Microsoft detalla los avances de su Iniciativa Futuro Seguro (SFI)

Cristian Do Carmo Rodríguez -

Microsoft ha presentado una actualización sobre su ambicioso proyecto denominado Iniciativa Futuro Seguro (Secure Future Initiative o SFI).

Qué es la Iniciativa Futuro Seguro (SFI)

Descrita como el mayor proyecto de ingeniería de ciberseguridad en la historia de la compañía, la SFI busca mejorar de forma fundamental la postura de seguridad de Microsoft, sus clientes y el ecosistema tecnológico en general. Implica un esfuerzo masivo, equivalente a 34.000 ingenieros trabajando a tiempo completo durante casi un año, para mitigar riesgos y abordar las tareas de seguridad más críticas.

Esta iniciativa no es solo una respuesta a incidentes pasados, como el ataque Storm-0558 de 2023, sino una estrategia proactiva y a largo plazo para integrar la seguridad en cada aspecto del desarrollo y las operaciones de Microsoft, adaptándose al panorama de amenazas en constante evolución.

La seguridad como prioridad absoluta

Un pilar fundamental de la SFI es transformar la cultura interna de Microsoft, inculcando una mentalidad de seguridad primero en cada empleado.

Mentalidad de seguridad primero

  • Prioridad central: La seguridad se ha convertido en una prioridad central para cada empleado, vinculada directamente a las evaluaciones de desempeño.
  • Formación continua: Se han implementado programas de formación como la Microsoft Security Academy, en la que ya han participado 50.000 empleados, y cursos obligatorios como Security Foundations y Trust Code, completados por el 99% de la plantilla.
  • Empoderamiento: El objetivo es que cada persona en Microsoft comprenda su papel en la protección de los clientes y disponga de las herramientas necesarias para actuar.

Gobernanza reforzada

Para gestionar el riesgo a nivel empresarial, Microsoft ha introducido una nueva estructura de gobernanza más robusta:

  • Nuevos roles: Se han nombrado CISO adjuntos (Deputy CISOs) específicos para áreas clave, como Aplicaciones de Negocio, y se ha consolidado la responsabilidad para Microsoft 365 y Dispositivos.
  • Visión compartida del riesgo: Los 14 CISO adjuntos han completado un inventario y priorización de riesgos, creando una visión unificada de los desafíos de seguridad en toda la empresa.

Avances técnicos: Fortaleciendo la infraestructura digital

La SFI impulsa mejoras tangibles en la ingeniería y la tecnología subyacente de los productos y servicios de Microsoft.

Principios clave

  • Secure by Design UX Toolkit: Una nueva caja de herramientas probada internamente y compartida públicamente para ayudar a los equipos a integrar las mejores prácticas de seguridad desde las primeras fases del diseño de productos, enfocándose en la experiencia del usuario.
  • Innovaciones por Defecto: Lanzamiento de 11 nuevas características en Azure, Microsoft 365, Windows y Microsoft Security que mejoran la seguridad de forma predeterminada para los usuarios.
  • Seguridad en IA: Implementación de revisiones dedicadas de seguridad y protección en los procesos de desarrollo de inteligencia artificial, lideradas por una organización específica (AIGI Safety and Security).
  • Operaciones Seguras: Aplicación de prácticas operativas seguras en sistemas de IA y prevención de intentos de fraude por valor de 4.000 millones de dólares mediante nuevas políticas y modelos de detección basados en comportamiento.

Protección de identidades y secretos

Se han reforzado los sistemas de autenticación y la protección de credenciales críticas:

  • Claves de Firma Seguras: Las claves de firma de tokens de acceso para Entra ID y Cuentas Microsoft (MSA) se han migrado a Módulos de Seguridad de Hardware (HSMs) y seguridad basada en virtualización, con rotación automática. Los servicios de firma se están moviendo a Azure confidential VMs para mayor protección.
  • Validación Consistente: El 90% de los tokens de identidad de Entra ID para aplicaciones de Microsoft se validan mediante un SDK de identidad unificado y reforzado.
  • Autenticación Multifactor (MFA): El 92% de las cuentas de productividad de los empleados utilizan ahora MFA resistente al phishing.

Aislamiento y protección de sistemas

Se trabaja en reducir la superficie de ataque y limitar el movimiento lateral en caso de intrusión:

  • Modernización y Limpieza: Más del 88% de los recursos se han migrado a Azure Resource Manager (ARM) y se han eliminado 6,3 millones de tenants heredados o no utilizados.
  • Gestión Automatizada: Se utiliza una solución automatizada para el ciclo de vida de todas las aplicaciones de Entra ID en producción.
  • Restricción de Acceso: La autenticación a 4,4 millones de identidades gestionadas en producción está ahora restringida a ubicaciones de red específicas.

Seguridad de redes

Mejoras en la visibilidad y control de las redes internas y para clientes:

  • Inventario y Estándares: Más del 99% de los activos de red están inventariados y utilizan estándares de seguridad mejorados.
  • Segmentación: Se aplican capas adicionales de aislamiento y segmentación de red.
  • Nuevas Capacidades para Clientes: Introducción de Network Security Perimeter (NSP), DNS Security Extensions (DNSSEC), Azure Bastion Premium y subredes privadas.

Sistemas de ingeniería seguros

Asegurar el proceso de desarrollo y despliegue de software:

  • Inventario de Pipelines: El 99,2% de los pipelines de desarrollo tienen un inventario completo, validado continuamente.
  • Protección del Código: El 81% de las ramas de código en producción están protegidas por MFA con comprobación de presencia.
  • Fuentes Open-Source Controladas: Adopción de servicios centralizados para proporcionar a los desarrolladores fuentes de código abierto gobernadas y seguras.

Monitorización y detección de amenazas

Mejora de la capacidad para detectar y responder a incidentes:

  • Visibilidad centralizada: Se rastrea el 97% de los activos de infraestructura de producción de forma centralizada.
  • Registro estandarizado: Adopción progresiva de estándares de registro de seguridad con una política mínima de retención de dos años.
  • Nuevas detecciones: Incorporación de más de 200 detecciones adicionales contra tácticas, técnicas y procedimientos (TTPs) comunes, integrándose en Microsoft Defender cuando sea aplicable.

Respuesta y remediación aceleradas

Reducción del tiempo para solucionar vulnerabilidades y mejorar la comunicación:

  • Mitigación rápida: Tasa de éxito del 73% en la resolución de vulnerabilidades en la nube dentro de plazos reducidos, con un alcance del programa ampliado.
  • Búsqueda proactiva de vulnerabilidades: Identificación de 180 nuevas vulnerabilidades en áreas de alto impacto (nube e IA) a través de programas como Zero Day Quest.
  • Comunicación con clientes: Introducción de nuevos procesos y guías para mejorar la comunicación sobre incidentes de seguridad.

Mirando hacia adelante

Microsoft reconoce que la ciberseguridad es un viaje constante y no un destino final. Las amenazas evolucionan, la tecnología cambia y surgen nuevos riesgos. La SFI representa el compromiso de la empresa para afrontar estos desafíos aplicando principios de Confianza Cero (Zero Trust), impulsando la seguridad desde el núcleo de la ingeniería y compartiendo aprendizajes con la industria.

La colaboración es clave, y Microsoft reafirma su apoyo a iniciativas como el compromiso Secure by Design de CISA, subrayando la creencia de que la seguridad es la base de la confianza en el entorno digital.