Asegurar nuestro futuro: Informe sobre el progreso de la Iniciativa Futuro Seguro de Microsoft (abril 2025)

Microsoft Secure Future Initiative (SFI) es el mayor proyecto de ingeniería de ciberseguridad de la historia y el mayor esfuerzo de este tipo llevado a cabo en Microsoft. Desde su lanzamiento, hemos dedicado el equivalente a 34.000 ingenieros trabajando a tiempo completo durante 11 meses para mitigar los riesgos y abordar las tareas de seguridad más prioritarias. Hoy compartimos el segundo informe sobre el progreso de esta iniciativa, que destaca los avances logrados en nuestro viaje de varios años para mejorar la estrategia de seguridad de Microsoft, por nuestros clientes y la industria en general.

Hemos progresado en cultura y gobernanza, fomentando en cada empleado la mentalidad de que la seguridad es lo primero e invirtiendo en estructuras de gobernanza holísticas para abordar los riesgos de ciberseguridad en toda nuestra empresa.

Para proteger mejor a nuestros clientes, nuestros equipos de ingeniería están aportando innovaciones acordes con nuestros principios de seguridad, como el nuevo conjunto de herramientas UX Secure by Design, que hemos probado con 20 equipos de producto, distribuido a 22.000 empleados y compartido públicamente. Este conjunto de herramientas integra las mejores prácticas de seguridad en el desarrollo de productos y ya está dando resultados. Incluye las mejores prácticas, pautas de conversación y herramientas de formación para ayudar a los equipos a crear capacidades de seguridad, detectar vulnerabilidades en los productos y establecer prioridades en las que centrarse.

También hemos progresado en todos los pilares y objetivos de ingeniería, reforzando continuamente nuestra seguridad de identidad, reduciendo el riesgo de movimientos laterales a través de redes y tenants, , mejorando nuestra capacidad para detectar y responder a las amenazas, y colaborando activamente con el sector para proteger a los clientes de vulnerabilidades Zero Day.

Para proteger mejor las claves de firma, en septiembre de 2024 anunciamos que habíamos trasladado las claves de firma de Entra ID y los tokens de acceso a Microsoft Account (MSA), a módulos de seguridad basados en hardware (HSM) y seguridad basada en virtualización en Windows, con rotación automática. Desde entonces, hemos implementado nuevas capas de protección con un enfoque de defensa en profundidad, basándonos en los hallazgos de nuestras investigaciones y las evaluaciones realizadas por nuestro equipo Red Team, migrando el servicio de firma de MSA a VM confidenciales de Azure y estamos migrando el servicio de Entra ID a lo mismo. Cada una de estas mejoras ayuda a mitigar los vectores de ataque que sospechamos que el actor malicioso utilizó en el ataque de Storm-0558 contra Microsoft en 2023.

Asimismo, hemos mejorado nuestra capacidad para detectar y responder a las amenazas, añadiendo más de 200 detecciones adicionales contra las principales tácticas, técnicas y procedimientos (TTPs), que se integrará en Microsoft Defender. En colaboración con la comunidad de investigación en seguridad, identificamos proactivamente 180 vulnerabilidades en áreas de alto impacto de la cloud y la IA.y ampliamos nuestro programa para abordar vulnerabilidades en un tiempo reducido de mitigación, cubriendo más productos, entornos y niveles inferiores de severidad.

A continuación se incluyen los aspectos más destacados del informe sobre el progreso de la iniciativa SFI:

Seguridad desde el diseño, por defecto y en las operaciones

En este informe, encontrarás ejemplos de cómo en Microsoft estamos incorporando protecciones desde el inicio, en consonancia con nuestros principios de seguridad:

• El nuevo Secure by Design UX Toolkit, probado por 20 equipos de producto y desplegado a 22.000 empleados, y con pública versión disponible, está ayudando a los equipos a construir más seguridad en experiencias centradas en el usuario.
• El lanzamiento de 11 nuevas innovaciones en Microsoft Azure, Microsoft 365, Windows y Microsoft Security que ayudan a mejorar la seguridad por defecto.
• Los procesos de desarrollo de IA que ahora incluyen revisiones dedicadas de seguridad y protección dirigidas por la Organización de Seguridad y Protección de la Inteligencia Artificial Generativa.
• Aplicación de prácticas de operaciones seguras en todos nuestros sistemas de IA, como se indica en nuestro Informe de transparencia de IA responsable.
• Nuevas políticas, modelos de detección basados en comportamiento y métodos de investigación que frustraron intentos de fraude por valor de 000 millones de dólares.

Estos avances ayudan a proteger a nuestros clientes y a Microsoft.

La seguridad es lo primero, en toda la empresa

La seguridad empieza por las personas. En el último año, hemos impulsado una cultura en la que la seguridad es lo primero en todos los rincones de la empresa, desde ingeniería, hasta operaciones y atención al cliente.

• Cada empleado de Microsoft tiene ahora una Prioridad Básica de Seguridad vinculada directamente a las evaluaciones de rendimiento.
• 000 empleados han participado en la Microsoft Security Academy para mejorar sus conocimientos de seguridad.
• El 99% de los empleados han completado nuestros cursos Fundamentos de seguridad y Código de confianza.

Este cambio no tiene que ver con el cumplimiento, sino con nuestra apuesta por la formación y la capacitación. Queremos que todas las personas de Microsoft comprendan su papel a la hora de mantener la seguridad de nuestros clientes y que dispongan de las herramientas necesarias para asumir esa responsabilidad.

Una gobernanza más sólida para gestionar el riesgo en toda la empresa

En mayo de 2024, introdujimos una nueva estructura de gobernanza para mejorar la visibilidad del riesgo y la rendición de cuentas. Desde entonces, hemos profundizado en nuestra inversión:

• Hemos nombrado un CISO adjunto para Aplicaciones Empresariales y consolidado la responsabilidad de Microsoft 365 y Experiencias y Dispositivos.
• Los 14 CISOs adjuntos de Microsoft han completado un inventario de riesgos y priorización, creando una visión compartida sobre el riesgo de seguridad en toda la empresa.

Este tipo de estructura es fundamental para la escalabilidad, ya que garantiza que la seguridad no solo esté centralizada, sino embebida en toda la organización.

Impulsar avances cuantificables en todos los pilares

Seguimos avanzando en todos los pilares y objetivos. De los 28 objetivos, 5 están a punto de completarse, 11 han avanzado significativamente y seguimos progresando en el resto. Como resultado de la iniciativa de Futuro Seguro -SFI-, nuestras plataformas y servicios son más seguros y hemos mejorado nuestra capacidad para detectar y responder a las amenazas.

1. Proteger identidades e información confidencial: hemos mejorado la seguridad de la identidad para todos los servicios y clientes de Microsoft

• Nuevas protecciones de defensa en profundidad para las claves de firma de tokens Microsoft Entra ID y Microsoft Account (MSA) que ya se almacenan en módulos de seguridad basados en hardware. El servicio de firma de Microsoft Account (MSA) se ha migrado a las máquinas virtuales confidenciales de Azure.
• El 90% de los tokens de identidad de Microsoft Entra ID para aplicaciones de Microsoft son validados por un único y consistente y reforzado kit de desarrollo de software (SDK) de identidad.
• Para mitigar el riesgo de ataques avanzados, el 92% de las cuentas de productividad de los empleados utilizan ahora autenticación multifactor (MFA) resistente al phishing.

2. Proteger los tenants y aislar los sistemas de producción: seguimos eliminando recursos heredados/no utilizados, y aumentando el aislamiento, para reducir el riesgo de movimiento lateral

• Hemos pasado más del 88% de los recursos a Azure Resource Manager y eliminado un total de 6,3 millones de tenants (550.000 más desde septiembre). Todos los nuevos tenants se registran ahora automáticamente en nuestro sistema de respuesta a emergencias de seguridad.
• Utilizamos una solución automatizada de gestión del ciclo de vida para todas las aplicaciones de Microsoft Entra ID en el entorno de producción.
• La autenticación de 4,4 millones de identidades gestionadas en el entorno de producción está ahora restringida a ubicaciones de red específicas, protegiendo aún más estos activos críticos.

3. Proteger las redes: los avances realizados en todos los objetivos han mejorado la seguridad de nuestra red y han aportado nuevas innovaciones para ayudar a los clientes a proteger sus redes

• Más del 99% de los activos de red han sido inventariados y utilizan estándares de seguridad avanzados.
• Seguimos añadiendo capas adicionales de defensa en profundidad aplicando el aislamiento y la segmentación de nuestra red.
• Hemos introducido cuatro nuevas funciones de seguridad para ayudar a los clientes a proteger sus redes: Network Security Perimeter (NSP), DNS Security Extensions (DNSSEC), Azure Bastion Premium y una función de subred privada.

4. Proteger los sistemas de ingeniería: hemos mejorado la seguridad de los sistemas que utilizamos para crear, probar y desplegar código

• El 99,2% de las pipelines tienen un inventario completo, que se aplica en el momento de la creación y se valida en 24 horas.
• La autenticación multifactor -MFA- protege el 81% de las ramas de código de producción mediante comprobaciones de prueba de presencia.
• Amplia adopción del Central Feed Services, que ayuda a proporcionar a los desarrolladores un feed de código abierto gobernado.

5. Supervisar y detectar amenazas: para mejorar nuestra capacidad de investigar y responder a las amenazas

• Hacemos un seguimiento centralizado del 97% de nuestros activos de infraestructura de producción.
• Los equipos de ingeniería siguen adoptando nuestra norma de logs de seguridad, incluida la política de conservación mínima de dos años.
• Hemos añadido más de 200 detecciones adicionales contra las principales tácticas, técnicas y procedimientos (TTPs). Las detecciones aplicables se integrarán en Microsoft Defender.

6. Acelerar la respuesta y la corrección: estamos abordando más vulnerabilidades de forma más rápida, y seguimos mejorando las comunicaciones con los clientes sobre la seguridad
   • Tasa de éxito del 73% en el tratamiento de vulnerabilidades de la nube mitigadas tiempo reducido con un alcance del programa significantemente mayor.
   • Como parte de Zero Day Quest, los investigadores identificaron 180 nuevas vulnerabilidades en áreas de alto impacto de la nube y la IA, lo que nos permitió abordarlas de forma proactiva.
   • Introdujimos nuevos procesos y guías para mejorar las comunicaciones de incidentes de seguridad a los clientes.

Un futuro de innovación segura

Los avances en ciberseguridad nunca son lineales. Las amenazas evolucionan, la tecnología cambia y surgen nuevos riesgos. Pero cada paso que damos para proteger nuestras plataformas es una inversión en un futuro más seguro para Microsoft, nuestros clientes y todo el ecosistema.

La Iniciativa de Futuro Seguro -SFI- es la forma con la que estamos haciendo frente a ese desafío. Estamos aplicando los principios de Zero Trust, impulsando la seguridad desde el núcleo de ingeniería y compartiendo lo que aprendemos. Tenemos mucho trabajo por delante y estamos comprometidos.

También sabemos que la seguridad es un deporte de equipo. Se necesita la colaboración de clientes, partners y la industria y sector para avanzar juntos. Como parte de nuestro compromiso con el ecosistema en general, estamos orgullosos de seguir apoyando iniciativas como el compromiso de CISA Secure by Design, que refuerza nuestro principio de que la seguridad es la base de la confianza.

Gracias por su confianza y su colaboración. Sigamos construyendo juntos un futuro seguro.

Lea el informe completo aquí

CTA: Para obtener más información sobre las soluciones de seguridad de Microsoft y la Iniciativa de Futuro Seguro de Microsoft, visite nuestro sitio web. Entre en el blog de Seguridad para mantenerse al día gracias a nuestra cobertura experta en temas de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad