Office Address
Seville, Spain
Seville, Spain
Phone Number
+(34) 624 816 969
Email Address
Available on Google Play
Seville, Spain
Seville, Spain
+(34) 624 816 969
by ForgeNEX Table of contents [Show]
Microsoft está a punto de dar un paso decisivo en la seguridad de Windows que tendrá consecuencias profundas para el hardware heredado en empresas y organizaciones. A partir de abril de 2026, la compañía retirará la confianza a los controladores del núcleo que no hayan pasado por su Programa de Compatibilidad de Hardware de Windows (WHCP), cerrando así una vulnerabilidad que ha persistido durante dos décadas.
Esta medida afecta específicamente a los controladores firmados mediante el antiguo programa de raíz con firma cruzada, un sistema introducido a principios de los años 2000 que permitía a terceros firmar controladores con certificados considerados de confianza en Windows. Sin embargo, este modelo presentaba graves deficiencias: no garantizaba la seguridad ni la compatibilidad del código del núcleo, y estaba gestionado por terceros que almacenaban las claves privadas asociadas a los certificados, lo que según Microsoft derivó en "abusos y robos de credenciales" que comprometieron a clientes y plataformas.
David Shipley, de Beauceron Security, explica la gravedad del problema: "Los controladores tienen acceso al núcleo del sistema y pueden abusar de ese nivel privilegiado para desactivar antivirus o herramientas de monitorización. Básicamente, Microsoft está cerrando una brecha de seguridad crítica de 20 años en su sistema operativo".
Microsoft ha diseñado una implementación cuidadosa para equilibrar seguridad y compatibilidad. La nueva política se desplegará inicialmente en "modo de evaluación" con la actualización de Windows 11 y Windows Server prevista para abril de 2026, afectando a Windows 11 (versiones 24H2, 25H2 y 26H1), Windows Server 2025 y todas las versiones futuras.
Durante la fase de evaluación, el sistema monitorizará la carga de controladores para detectar posibles problemas de compatibilidad. Este modo se mantendrá hasta completar ciertos umbrales de uso (100 horas de ejecución y entre dos y tres reinicios). Si durante ese periodo todos los controladores son considerados fiables, la política se activará automáticamente. En caso contrario, el sistema seguirá en evaluación hasta que desaparezcan los controladores problemáticos.
Una vez activada, la política bloqueará los controladores no fiables y permitirá únicamente aquellos certificados a través del WHCP, que somete los controladores a análisis de malware y pruebas de compatibilidad con el hardware y el sistema operativo. Microsoft define este proceso como un "riguroso sistema de certificación" que garantiza que los socios cumplen los requisitos más recientes de seguridad y conformidad.
Reconociendo el impacto potencial en aplicaciones heredadas y casos de uso específicos, Microsoft ha establecido varias salvaguardas. La compañía mantendrá una lista de controladores permitidos, centrada en aquellos antiguos pero ampliamente utilizados y con buena reputación, basada en datos reales de uso empresarial recopilados durante los últimos dos años.
Además, los administradores podrán aplicar excepciones mediante Application Control for Business, lo que permitirá el uso de controladores firmados de forma privada en entornos corporativos específicos. Estas excepciones requerirán autorización mediante claves criptográficas vinculadas al dispositivo, añadiendo una capa adicional de seguridad.
Esta aproximación recuerda a otras estrategias de Microsoft donde la compañía busca equilibrar innovación con estabilidad del ecosistema.
Los analistas coinciden en que se trata de una mejora significativa en términos de seguridad. Thomas Randall, de Info-Tech Research Group, señala: "No responde a un incidente concreto, sino a una estrategia a largo plazo para eliminar riesgos evitables".
Sin embargo, este avance implica compromisos importantes. La desactivación de controladores antiguos puede dejar inoperativos dispositivos personalizados, especialmente en entornos IoT o en sectores críticos como el sanitario, donde equipos como máquinas de rayos X podrían verse afectados. Randall advierte: "El dispositivo puede seguir funcionando correctamente, pero depender de un controlador antiguo que nunca se ha actualizado. Si ese controlador no está en la lista de permitidos y no existe alternativa, el sistema puede dejar de funcionar".
Para las organizaciones, el principal riesgo es la existencia de dependencias ocultas. Sectores como la industria o la sanidad, donde se utilizan sistemas heredados o hardware especializado, son especialmente vulnerables. Los expertos advierten que incluso los controladores permitidos tienen los días contados, y es previsible que Microsoft termine eliminándolos gradualmente.
Para prepararse adecuadamente, los expertos recomiendan:
1. Inventariar exhaustivamente el hardware y software que utiliza controladores de Windows
2. Probar los sistemas críticos en entornos controlados antes de la implementación
3. Consultar a proveedores sobre planes de actualización y compatibilidad futura
4. Detectar controladores desarrollados internamente que puedan requerir excepciones
Esta preparación debe integrarse en una estrategia de seguridad más amplia que considere tanto la protección proactiva como la continuidad operativa.
¿Dificultará esto el desarrollo de malware? Probablemente sí. ¿Lo eliminará por completo? No. Como admite Shipley: "El malware seguirá evolucionando, pero su impacto se reduce, y eso ya es una victoria".
La transición hacia un ecosistema de controladores plenamente verificados se perfila como inevitable, similar a cómo otras transformaciones tecnológicas están redefiniendo el panorama empresarial. Las empresas deberán anticiparse para evitar interrupciones operativas, considerando que no deben confiar en exceso en la lista de excepciones de Microsoft, ya que será limitada y temporal.
Este cambio representa un paso significativo hacia una arquitectura Windows más segura, pero también subraya la importancia de mantener prácticas de hardening y defensas proactivas en todos los niveles de la infraestructura tecnológica.
Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.