Blog de WatchGuard

Por qué Windows 11 es más seguro que Windows 10

Windows 11 es el Windows más seguro hasta la fecha. El nuevo Sistema Operativo de Microsoft ya está disponible con varias lecciones aprendidas con respecto a su predecesor. Cuenta la propia compañía de Redmond que la generalización de entornos de trabajo híbridos y en remoto durante la pandemia abrió la puerta a un gran número de amenazas, con vulnerabilidades de Windows que explotaron los ciberatacantes, como los incidentes con Specter o Meltdown.

Con esta nueva versión, han implementado una serie de requisitos que debe tener el sistema y funcionalidades con el fin de reducir las posibilidades de exploits y ciberataques, desde el hardware hasta el arranque del dispositivo. Estas funcionalidades son:

  • TPM 2.0

Windows 11 exige como requisito para su instalación que el equipo posea un chip TPM en su versión 2.0. Los chips Trusted Plataform Module (TPM) vienen instalados en la placa base de los equipos nuevos que no posean cierta antigüedad (generalmente a partir de 2016). Se trata de criptoprocesadores que almacenan las claves de cifrado de Windows y también permite almacenar certificados digitales, SSL para navegación y puede tener usos para las VPN. Una de sus características clave es que solo están comunicados con el procesador, de forma que es muy difícil que un malware pueda acceder a esos datos sin permisos específicos. 

  • VBS

La Seguridad Basada en la Virtualización (VBS) que Microsoft ha incorporado en Windows 11 utiliza funciones de virtualización de hardware para generar un espacio de memoria que se encuentra aislado del sistema operativo. Así, Windows puede utilizar este “modo virtual seguro” para almacenar ahí herramientas y soluciones de ciberseguridad. Esto protege el sistema contra vulnerabilidades del SO y malware que intenta anular sus protecciones.

  • HCVI

Hypervisor-Protected Code Integrity (HCVI) es precisamente, una funcionalidad de VBS destinada a proteger el entorno de memoria aislado que el VBS ha generado. Se encarga de asegurarse de que el Kernel de Windows esté protegido bajo ese aislamiento, ya que muchos malware utilizan el Kernel para conseguir pleno acceso a los sistemas. Aunque el HCVI ya se podía habilitar en Windows 10, en Windows 11 viene ya por defecto.

  • UEFI Secure Boot

Secure Boot es un protocolo de la UEFI (el sucesor de la BIOS, la tecnología que controla el hardware del ordenador) para hacer seguro el proceso de arranque del sistema: verifica las firmas de todos los componentes de hardware instalados y no carga ningún controlador que no la posea. De esta forma, puede evitar en gran medida los bootkits y los malware que se ejecutan en el arranque, antes del inicio del SO. Windows 11 requiere que Secure Boot esté activado previamente.

Por otro lado, Windows 11 también viene configurado con Windows Defender como componente antimalware, una función que ya existía versiones anteriores. Aunque hace unos pocos días, un analista desveló que Microsoft está trabajando en una nueva versión de Defender más orientada para Windows 11.

Protección mejorada pero insuficiente

Estas funcionalidades y requisitos ofrecen una protección mejorada, pero resultan insuficientes. Un ejemplo claro de ello es que los antivirus tradicionales como Windows Defender protegen y analizan los equipos frente a amenazas conocidas, pero sus beneficios son limitados frente a la sofisticación de nuevas amenazas como las Living Off The Land de los Grupos APT que emplean técnicas como el uso de malware sin fichero.

Por eso, aunque la actualización a Windows 11 es recomendable, los MSPs deben  incorporar herramientas que proporcionen una seguridad en el Endpoint integral complementado las capacidades antivirus con funcionalidades avanzadas de detección y respuesta a incidentes. WatchGuard EDR se instala como complemento de una solución de antivirus ya existente para dar respuesta a ataques malwareless y fileless que las soluciones antivirus tradicionales no son capaces de detener en todos los casos. Además, los MSPs también pueden implementar el conjunto completo de funcionalidades EPP (Endpoint Protection Platform) y EDR (Endpoint Detection and Response) con una única solución, Watchguard EPDR. De esta manera, podemos incluir máxima protección en sistemas Windows 11 con mínimo impacto en el rendimiento de los equipos.