Llevas 30 años en peligro, pero Windows 11, por fin, ha tomado medidas

Llevas 30 años en peligro, pero Windows 11, por fin, ha tomado medidas

Rubén Velasco

Desde que Microsoft anunció Windows 11, la compañía ha estado sacando pecho sobre la seguridad de este sistema operativo. Desde el principio, los responsables han asegurado que se trata de una de las versiones más avanzadas y seguras del sistema operativo, y que los usuarios podrán usarlo sin miedo a caer en las garras de los piratas informáticos. Sin embargo, siempre hay margen de mejora, y, con la actualización de 2022 de Windows 11, finalmente podemos afirmar que el sistema es mucho más seguro. Al menos, en lo que a ataques de red se refiere.

Desde siempre, Windows ha incluido un protocolo conocido como SMB. A grandes rasgos, este protocolo es el que nos permite crear una red local y conectarnos a otros ordenadores dentro de la LAN para compartir archivos y recursos. Incluso, si configuramos el router, podemos hacerlo desde Internet. Pero este protocolo, aunque útil y sencillo, también es peligroso. Si remontamos años atrás, un fallo de seguridad en él fue el responsable del ataque de ransomware masivo, WannaCry. Y este es solo uno de los muchos casos similares.

Desde hace tiempo, SMB va arrastrando una serie de fallos, o, mejor dicho, debilidades, que pueden aprovecharse para poner en jaque la seguridad de los usuarios. Dos de los fallos más graves son:

  • Límite bajo en los ataques de fuerza bruta. Cualquiera puede probar 90.000 contraseñas en 5 minutos (300 por segundo) para lograr entrar a nuestro PC.
  • El protocolo SMB1 sigue activo en muchos PCs, y es una versión muy obsoleta y vulnerable.

Por suerte, la nueva versión 22H2 de Windows 11, lanzada en septiembre de 2022, finalmente aborda estos, y otros, problemas.

Windows 11 mejora la seguridad de SMB

Lo primero que ha hecho Microsoft ha sido deshabilitar por defecto el protocolo SMB 1.0 a la mayoría de los usuarios que aún lo siguen utilizando. Algunos usuarios, sobre todo los que han hecho instalaciones limpias del sistema, ya lo tenían deshabilitados, pero el número de usuarios con este protocolo habilitado por defecto aún era demasiado elevado.

A partir de ahora, una vez instalada la nueva versión del sistema operativo, SMBv1 estará deshabilitado por defecto en todas las ediciones de Windows, incluida en la Home. Nadie debería tener problemas al ser un protocolo tan antiguo, pero, si los tenemos, podremos volver a habilitar el protocolo (algo no recomendado).

La segunda mejora de seguridad es que, a partir de ahora, cada vez que realicemos un intento de inicio de sesión fallido, el servidor tardará 2 segundos en aceptar un nuevo inicio. Esto significa que, para probar las 90.000 contraseñas que se probaban antes en 5 minutos, ahora llevará más de 50 horas. Los usuarios empresariales deben configurar mejor Kerberos, un sistema de autenticación adicional, que se sitúa antes de SMB, y que refuerza mucho la seguridad.

Por último, ya para usuarios avanzados, SMB ahora es compatible con el protocolo de red QUIC, lo que nos va a permitir aprovecharnos de las mejoras de seguridad de HTTP/3 y TLS 1.3 para conectarnos de forma segura a nuestro PC a través de una especie de VPN.

¡Sé el primero en comentar!