Por Dana Huang, vicepresidenta corporativa, Seguridad de Windows, Kristian Andaker, vicepresidente, Servicio y Entrega de Windows.

Hoy hemos introducido plataformas agénticas y capacidades de flexibilidad impulsadas por la nube en Windows que combinan creatividad humana y agentes inteligentes.

Para abrazar a plenitud estas capacidades agentes, la confianza es esencial. Por eso Windows está diseñado con controles de privacidad, seguridad y de nivel empresarial que los ayudan a mantenerse informados, en control y protegidos. Windows 11 es más seguro por diseño y por defecto con cada lanzamiento y actualización, alineándose con los principios fundamentales de la Iniciativa Futuro Seguro de Microsoft.

También reconocemos que la resiliencia es la piedra angular de una empresa preparada para el futuro. Windows está comprometido no solo con ofrecer herramientas potentes a los clientes, sino también con fortalecer la resiliencia en todo el ecosistema Windows.

En este blog, compartiremos algunas novedades sobre la seguridad y resiliencia de Windows, incluidos los más recientes anuncios sobre la seguridad de las interacciones agentes en Windows, innovaciones recientes en seguridad y nuestro progreso con la Iniciativa de Resiliencia de Windows.

Protección de interacciones agénticas en Windows

La seguridad es nuestra máxima prioridad mientras ampliamos las capacidades impulsadas por el Model Context Protocol (MCP) y los flujos de trabajo agénticos en Windows. En Microsoft Build 2025, expusimos los principios que guían cómo protegemos MCP en Windows, y el mes pasado ampliamos esto cuando compartimos nuestros cuatro principios fundamentales que guían nuestro enfoque para proteger los flujos de trabajo de agentes en Windows:

• Cuentas de agente distintas, separadas de las cuentas de usuario, que permiten políticas específicas de cada agente y límites claros para acceso, permisos y responsabilidad.
• Privilegios agénticos limitados para que los agentes tengan permisos mínimos y solo accedan a los recursos que ustedes concedan de manera explícita.
• Los agentes operativos de confianza deben estar firmados por fuentes de confianza y la firma puede ser revocada y bloqueada si es necesario.
• Diseño que preserva la privacidad en Windows que ayuda a los agentes a cumplir con la Declaración de Privacidad de Microsoft y el Estándar de IA Responsable, para recopilar y procesar datos solo para fines definidos con claridad.

Los anuncios de seguridad agéntica ayudan a cumplir estos compromisos:

El espacio de trabajo de agentes es un entorno separado, contenido, controlado por políticas y auditable, donde los agentes pueden interactuar con el software de forma similar a los humanos y realizar tareas en nombre de los usuarios finales, sin interrumpir la sesión principal del usuario.  Todas las acciones realizadas dentro del espacio de trabajo del agente se atribuyen a una identidad de agente distinta, separada de los usuarios. Esto ayuda a garantizar que cada tarea, flujo de trabajo y cambio se registre con claridad, lo que facilita diferenciar entre lo que hacen los agentes y lo que inician los usuarios. Los usuarios finales tienen el control y pueden elegir habilitar el espacio de trabajo del agente. El agente tendrá acceso a un conjunto limitado de carpetas conocidas locales del usuario—como Documentos, Descargas, Escritorio o Imágenes—y otros recursos accesibles para todas las cuentas del sistema. Los mecanismos de seguridad estándar de Windows, como las listas de control de acceso (ACLs, por sus siglas en inglés), ayudan a prevenir el uso no autorizado. El espacio de trabajo del agente está en vista previa privada.

Windows 365 para Agentes extiende las primitivas de la plataforma agéntica a la nube como un entorno virtual seguro y escalable, lo que preserva los mismos principios de seguridad y la experiencia del desarrollador. Los desarrolladores pueden elegir entre la ejecución local y la en la nube sin reescribir la lógica de sus agentes, mientras que TI mantiene una gobernanza coherente a través de Microsoft Intune y políticas empresariales.

Los conectores de agente (en vista previa),en un registro en el dispositivo, vienen con una capa proxy MCP integrada que facilita el consentimiento, la gobernanza, la auditoría y la aplicación de contención, que necesitan los usuarios finales y los clientes comerciales. Esta capa proxy permite al sistema asegurar las interacciones entre aplicaciones y servidores MCP a través de la aplicación de las políticas adecuadas. Para los clientes que usan conectores agénticos y los desarrolladores que los desarrollan para sus aplicaciones, estarán disponibles las siguientes dos políticas de seguridad:

• Política de seguridad por defecto: Para ayudar a garantizar un punto de partida seguro por defecto, los servidores MCP deben cumplir con el estándar de seguridad de la plataforma en cuanto a empaquetado, identidad, procedencia, contención y consentimiento. El registro en el dispositivo solo expondrá componentes que estén empaquetados y firmados de manera correcta, declarará las capacidades requeridas y permitirá a la plataforma ejecutar componentes con mecanismos de contención, como ejecutarlos como un usuario agente.
• Política de seguridad para evitar la seguridad: Mientras están en modo desarrollador, los desarrolladores pueden optar por relajar las comprobaciones de seguridad predeterminadas para fines de prueba y permitir que los servidores MCP que no cumplan con todos los requisitos funcionen en su sistema.

Gestión de TI:

Anunciamos la vista previa pública de nuevas políticas que permiten a los administradores de TI gestionar la configuración del espacio de trabajo de agentes y los conectores—incluidos habilitar o desactivar funciones, configurar el acceso al registro y elegir entre políticas de seguridad predeterminadas o más permisivas para grupos como los equipos desarrolladores—todo ello a través de herramientas conocidas como Microsoft Intune, Entra y Group Policy. Además, los administradores de TI podrán utilizar herramientas familiares de gestión de cuentas y registros de eventos para gestionar y observar las acciones realizadas por los agentes que utilizan cuentas de usuario de agentes.

Seguiremos con el aprendizaje y recopilación de opiniones de los clientes a medida que utilicen estas capacidades durante su periodo de previsualización y realizaremos ajustes en línea con nuestros compromisos de privacidad y seguridad.

Para más información sobre estos anuncios de seguridad agéntica, consulten: Ignite 2025: Expansión de Windows como la plataforma principal para desarrolladores, gobernada por la seguridad

Más fuerte por defecto: nuevas capacidades de seguridad de Windows

La seguridad es una actividad, no un destino. Seguimos con la adición de nuevas capacidades y reforzamiento las capas de defensa para hacer frente a amenazas emergentes. El equipo de Windows se complace en anunciar varios avances importantes en seguridad diseñados para ayudar a las organizaciones a adelantarse a las amenazas en evolución:

Avanzar en las criptomonedas y la protección de datos

La criptografía post-cuántica (PQC, por sus siglas en inglés) utiliza algoritmos diseñados para resistir ataques cuánticos que podrían romper el cifrado actual. Con la computación cuántica en el horizonte, la adopción temprana es fundamental. Las APIs post-Quantum Crypto (PQC) en Windows ya están listas, por lo que las organizaciones pueden empezar a migrar a cifrado cuántico y validar sus aplicaciones e infraestructura.

El BitLocker acelerado por hardware aporta cifrado de disco más rápido y seguro a Windows con el aprovechamiento de SoC y CPUs modernas. Las operaciones criptográficas ahora se descargan del procesador principal a hardware dedicado, lo que aumenta el rendimiento y reduce la sobrecarga del sistema. En hardware compatible, las claves de cifrado ahora están protegidas por hardware al ser envuelto y aisladas a nivel de silicio, lo que ayuda a minimizar la exposición a vulnerabilidades de CPU y memoria, y eleva el listón para la protección de datos. Estas mejoras estarán disponibles en nuevos dispositivos a partir de la primavera de 2026, para ayudar a las organizaciones a proteger los datos sensibles con mayor rapidez y confianza.

Protección de credenciales

El robo de credenciales y de identidad sigue como uno de los principales ciberataques, donde el phishing es un vector de amenaza principal. Como se anunció en octubre, la experiencia renovada de Windows Hello ofrece una autenticación más rápida e intuitiva, y habilitamos a los gestores de claves de acceso para integrarse con Windows Hello; esta integración está disponible con la actualización de seguridad de noviembre de 2025. Hemos trabajado con Microsoft Password Manager en Edge, 1Password, Bitwarden y otros, ya que utilizan este nuevo soporte para gestor de claves de acceso, lo que permite iniciar sesión sin problemas con Windows Hello. Así que ahora el uso de claves de acceso en Windows es más sencillo, fluido, seguro que nunca y se puede sincronizar entre dispositivos.

Aplicaciones y controladores de confianza

Los ataques suelen empezar con aplicaciones y controladores inseguros o sin firmar. Control de Aplicaciones para Empresas ayuda a garantizar que solo las aplicaciones y controladores verificados se ejecuten en tu dispositivo, lo que da tranquilidad al departamento de TI y reduce riesgos. Con el Instalador Gestionado de Intune, se simplifica la posibilidad de ejecutar aplicaciones de línea de negocio. Controlar qué aplicaciones y controladores ejecutan en su dispositivo ayuda a eliminar ataques de archivos adjuntos maliciosos o malware de ingeniería social, así que aunque hagan clic en algo incorrecto, estarán mejor protegidos.

Mejor visibilidad con la funcionalidad de Sysmon

También nos complace anunciar que la funcionalidad de Sysmonestará disponible pronto en Windows. La funcionalidad de Sysmon en Windows proporciona señales de detección de amenazas, ricas y personalizables fáciles de activar, valoradas por equipos de seguridad empresariales, proveedores externos de seguridad y otros socios. El próximo lanzamiento de la funcionalidad Sysmon en Windows ayudará a simplificar las operaciones, reducir la carga de despliegue y aumentar de manera significativa la visibilidad de los registros de Windows, lo que permite a los equipos de seguridad identificar amenazas de forma más rápida y eficiente.

Seguridad de conectividad

Windows sube el listón de la protección de red con dos actualizaciones importantes. Uno es el DNS de Confianza Cero, una nueva y potente capacidad que hace cumplir los principios de confianza cero a través del control de las resoluciones de nombres salientes mediante DNS cifrado y servidores DNS aprobados. Esto ayuda a las organizaciones a cumplir con los estándares NIST y bloquea accesos no autorizados, para asegurar que solo se permita tráfico DNS confiable, un paso clave hacia una arquitectura robusta de confianza cero. Y Wi-Fi 7 para Empresas, que exige autenticación WPA3-Enterprise, ofrece roaming fluido y aporta los beneficios de rendimiento de la nueva generación inalámbrica a entornos empresariales.

La Iniciativa de Resiliencia de Windows aporta la recuperación a gran escala

Hace un año, en Ignite 2024, presentamos la Iniciativa de Resiliencia de Windows (WRI, por sus siglas en inglés), un conjunto de mejoras enfocadas para ayudar a los departamentos de TI a prevenir incidentes, gestionar los que ocurren y recuperarse con rapidez.

La mayoría de los incidentes surgen del cambio, y los rápidos avances actuales en seguridad e IA aceleran el cambio en productos, procesos y formas de trabajar de las personas, lo que eleva el listón para TI.

Guiados por su compromiso y comentarios, nos enorgullece anunciar nuevas capacidades de Windows que ayudan a fortalecer la resiliencia en su entorno.

Prevención de incidentes mediante la resiliencia del controlador

Invertimos de manera continua en la calidad de Windows mediante una validación profunda de todas las nuevas capacidades de Windows y actualizaciones mensuales de seguridad y calidad. También trabajamos de manera constante con nuestros socios en el ecosistema abierto e innovador de aplicaciones y controladores de Windows para ayudar a garantizar una gran fiabilidad de principio a fin.

De manera reciente hemos logrado avances significativos en dos inversiones para mejorar la fiabilidad de los controladores de antivirus. A partir del 1 de abril de 2025, la versión 3.0 de la Iniciativa de Virus de Microsoft añadió nuevos requisitos para que todos los socios antivirus (AV) de Windows mantuvieran derechos de firma para los controladores de antivirus de Windows. En junio, lanzamos la primera vista previa privada de la plataforma de seguridad de terminales (endpoints) de Windows, que traslada la aplicación antivírica del núcleo al modo usuario. Ejecutar antivirus en modo usuario evita que los errores derriben Windows, lo que afecta solo a la app AV, para preservar la funcionalidad antivirus y la capacidad de innovación de los socios antivirus.

Ahora ampliamos el manual de resiliencia de los drivers a todo el ecosistema de Windows más allá del escenario antivirus. En resumen, subimos el listón para la firma de controladores y facilitamos la creación de controladores fiables para Windows.

Qué ha cambiado:

• La firma de controladores requerirá un nivel de seguridad y resiliencia más alto, con muchas pruebas de certificación nuevas.
• Ampliamos los controladores y APIs de Windows proporcionados por Microsoft para que los socios puedan reemplazar muchos controladores personalizados del kernel por controladores estandarizados de Windows o trasladar la lógica al modo usuario.
• En los próximos años, esperamos una reducción significativa del código que se ejecute en modo kernel entre clases de controladores como redes, cámaras, USB, impresoras, baterías, almacenamiento y audio.

Continuaremos con el soporte a controladores de terceros en modo kernel. No limitaremos a los socios de innovar donde no dispongamos de controladores en la bandeja de entrada de Windows, ni de usar controladores en modo kernel cuando sea necesario para garantizar una gran experiencia Windows y para escenarios sin cobertura en la bandeja de entrada. Los controladores gráficos, por ejemplo, funcionarán en modo kernel por razones de rendimiento.

Para los controladores en modo kernel, añadimos barreras prácticas que mejoran la calidad y contienen fallos antes de que se conviertan en cortes. Estas incluyen nuevas salvaguardas obligatorias del compilador para restringir el comportamiento del controlador, aislamiento del controlador para limitar el radio de explosión y remapeo DMA para evitar el acceso accidental de controladores a la memoria del núcleo.

Gestionar incidentes

Para incidentes de alto impacto, los clientes pueden ahora contratar a los ingenieros del equipo de producto de Windows a través del componente de Windows de Mission Critical Services para Microsoft 365. Esta nueva oferta permite a los clientes que los ingenieros de producto Windows investiguen problemas específicos.

Para ayudar a que todos sus empleados sean productivos cuando ocurra algo con su PC físico, les sugerimos usar Windows 365 Reserve, que ya está disponible de forma general. Permite a los empleados mantenerse productivos incluso si su portátil se pierde, daña o se ve comprometido, a través de ordenadores en la nube seguros, rentables y temporales. Si esto ocurre, TI puede provisionar con rapidez un PC en la nube de reserva con todas las aplicaciones y políticas necesarias, lo que mantiene a los empleados productivos y a las empresas en funcionamiento. El empleado puede usar el PC en la nube desde cualquier dispositivo que permita TI, incluidos los dispositivos personales.

Más adelante llegarán dos nuevas capacidades de gestión de incidentes:

• Intune aparecerá cuando un dispositivo Windows haya arrancado en el Entorno de Recuperación de Windows (WinRE, por sus siglas en inglés), para ayudar a los administradores de TI a detectar con rapidez máquinas que no pueden arrancar en Windows y a priorizar la recuperación. En Azure Portal aparecerán las mismas señales para las máquinas virtuales de Windows Server que han cambiado a WinRE, lo que permite una triaje y remediación rápidas a gran escala.
• Modo señalización digital. Este nuevo modo de Windows es perfecto para máquinas que manejan pantallas públicas no interactivas, ya sea un menú de restaurante o una pantalla de vuelos de aeropuerto. Una vez activada, ayuda a garantizar que no aparezcan pantallas de Windows ni diálogos de error en sus pantallas públicas. Para las pantallas de Windows y los mensajes de error necesarios para diagnósticos y recuperación, Windows solo mostrará la pantalla o error durante 15 segundos y luego apagará la pantalla mientras esperan a que se reactive el teclado o el ratón. Es sencillo de activar mediante la aplicación de Configuración de Windows o una clave de registro. Este modo no sustituye al modo Kiosk. El modo Kiosk sigue como la solución adecuada para quioscos interactivos.

Recuperar

Reinventamos la recuperación de Windows, al modernizar herramientas creadas hace dos décadas. Con la gestión de terminales de Intune, los SSD que sustituyen a los HDD lentos y la protección generalizada de datos en la nube a través de OneDrive, las herramientas de recuperación se vuelven más sencillas, rápidas y efectivas a gran escala.

Lanzamos Quick Machine Recovery (QMR) en agosto. Cuando un problema generalizado impide que los PCs con Windows arranquen en Windows y en su lugar recurran a WinRE, Microsoft puede enviar una actualización QMR para restaurar la funcionalidad. Pronto añadiremos dos nuevas capacidades para facilitar el uso de la QMR en entornos empresariales:

• Networking WinRE. WinRE lee la configuración de red desde Windows completo, por lo que la red para WinRE no necesita configurarse por separado. Al soportar Ethernet hoy en día, pronto también será compatible con Wi-Fi empresarial con WPA 2/3 empresarial con certificados de dispositivo.
• Gestión de QMR con parches automáticos. En vista previa, Autopatch añade gestión y aprobación de actualizaciones QMR, junto con todos los demás tipos de actualizaciones de Windows que ya automatiza.

La QMR es una gran solución para incidentes de gran impacto. También invertimos en herramientas para incidentes menores y aislados, hasta un solo dispositivo. La recuperación remota de Intune a través de WinRE permitirá a los administradores de TI ver en la consola de Intune cuando un PC gestionado ha entrado en recuperación. A partir de ahí, Intune podrá enviar scripts de recuperación personalizados y activar otras acciones de remediación. Esto se basa en un modelo de plug-in WinRE que también pueden adoptar soluciones de gestión de endpoints de terceros. Más allá de los PCs, el Portal Azure pronto habilitará el control de recuperación para las máquinas virtuales de Windows Server.

Dos nuevas acciones de recuperación de Windows que Intune pronto podrá activar en un PC son:

• Restauración en un momento en el tiempo, que revertirá un PC al estado exacto en el que estaba en un momento anterior. Esta acción de recuperación ayuda a resolver una amplia gama de problemas, incluidos problemas con actualizaciones, conflictos de controladores y errores de configuración. La restauración en un momento en el tiempo estará disponible en vista previa en la versión de Windows Insider de Windows 11 esta semana.
• Reconstrucción en la nube: Cuando el comportamiento errático de un dispositivo no puede solucionarse de forma más sencilla, la reconstrucción en la nube ofrece una hoja en blanco sin necesidad de enviar hardware ni acudir a un servicio técnico. A través del portal de Intune, los administradores podrán seleccionar la versión y el idioma deseados de Windows, lo que hará que el PC descargue el soporte de instalación y se reconstruya. El proceso aprovecha Autopilot para la provisión sin contacto, lo que asegura la inscripción en MDM y el cumplimiento de políticas tras la reconstrucción. La restauración de datos y configuración de usuario se agiliza mediante OneDrive y Windows Backup for Organizations. Este enfoque reducirá el tiempo de inactividad de horas —o días— a una fracción de ese tiempo.

Conozcan más

Los últimos anuncios de seguridad y resiliencia de Windows demuestran nuestro compromiso de ayudar a los clientes a mantenerse seguros en un entorno que cambia con rapidez. Esperamos poder llevar a cabo estas innovaciones y apoyar a las organizaciones mientras construyen una postura de seguridad resiliente y preparada para el futuro.

Para saber más sobre las funciones de seguridad de Windows 11, visiten el libro electrónico de seguridad de Windows 11.

Para más información sobre la Iniciativa de Resiliencia de Windows, visiten la página de la Iniciativa de Resiliencia de Windows y este blog de Technical IT Pro para detalles sobre herramientas de recuperación.