Windows 11 evoluciona hacia una mayor seguridad de aplicaciones con la introducción de «enclaves» seguros, una nueva característica que protege los datos sensibles mediante virtualización. Esta innovación, descrita como revolucionaria, redefine la manera en que las aplicaciones de Windows pueden protegerse contra los ciberdelincuentes, ofreciendo un entorno seguro para mantener la integridad y confidencialidad de la información.
Virtualization-Based Security (VBS): más allá de la seguridad tradicional
Virtualization-Based Security (VBS) es una función de seguridad que se habilita por defecto durante la instalación de Windows 11. Este sistema transforma el sistema operativo en una máquina virtual que opera sobre el hipervisor Hyper-V, mejorando significativamente la protección e integridad de los datos. Sin embargo, este enfoque puede tener un impacto negativo en el rendimiento, lo que ha llevado a que se recomiende a los gamers y usuarios tradicionales desactivar VBS y la virtualización basada en Hyper-V para mejorar el rendimiento en juegos y software regular.
Microsoft ha introducido los enclaves VBS como una extensión de VBS, proporcionando una nueva manera de construir aplicaciones cuando la protección de datos es la máxima prioridad. Un enclave VBS es un «entorno de ejecución confiable basada en software (TEE) dentro de una aplicación anfitriona». Gracias a Hyper-V, VBS puede crear un entorno con un nivel de privilegio superior al sistema operativo que se ejecuta en una máquina virtual sobre el hipervisor.
Niveles de confianza virtualizados
El entorno virtualizado y privilegiado creado por VBS a través del hipervisor Hyper-V se conoce como Nivel de Confianza Virtual 1 (VTL1), que Microsoft describe como la «raíz de confianza del sistema operativo». El entorno tradicional de Windows opera en un nivel de privilegio inferior (VTL0), mientras que VTL1 se divide aún más en modo de usuario aislado y el núcleo seguro.
En una instalación virtualizada de Windows, muchas de sus características de seguridad residen en VTL1, y los enclaves VBS pueden usarse para aislar porciones de una aplicación en VTL1. Ningún proceso en VTL0 debería poder acceder al enclave seguro en VTL1, permitiendo a los desarrolladores proteger «datos secretos» como contraseñas, datos cifrados y realizar operaciones de descifrado en un entorno aislado y libre de hackers, al menos en teoría.
Requisitos para implementar Enclaves VBS
La creación y uso de software diseñado para emplear enclaves VBS depende de requisitos específicos del dispositivo, incluyendo una instalación virtualizada de Windows con la función VBS/HVCI habilitada. También se requiere Windows 11 o Windows Server 2019. Los desarrolladores deben usar Visual Studio 2022 versión 17.9 o posterior para codificar sus proyectos, y necesitarán firmar su código VBS con un «certificado de enclave» proporcionado por Microsoft.
Aunque los enclaves VBS ofrecen una seguridad muy mejorada, están diseñadas para tener acceso limitado a las APIs de Windows. Microsoft optó por proporcionar una gama limitada de funcionalidades para exponer una menor superficie de ataque a los cibercriminales, lo que, a su vez, debería facilitar el mantenimiento de la integridad de VTL1.
La implementación de enclaves VBS en Windows 11 representa una mejora significativa en la seguridad de datos, ofreciendo a los desarrolladores una herramienta poderosa para proteger la información sensible. Sin embargo, esta seguridad mejorada viene acompañada de desafíos, como la necesidad de configurar entornos virtualizados y la limitación en el acceso a ciertas funcionalidades de Windows.
Otras mejoras en Windows 11 respecto a la seguridad
Windows 11 introduce varias mejoras relevantes en seguridad que no estaban presentes en versiones anteriores.
1. Windows Hello mejorado: Windows 11 ha mejorado su sistema de autenticación biométrica, integrando una autenticación multifactor más fuerte. Esto incluye reconocimiento facial y de huellas dactilares con técnicas avanzadas para prevenir suplantaciones de identidad, y se integra con hardware TPM 2.0 para mayor seguridad.
2. Windows Defender Application Control (WDAC): WDAC en Windows 11 permite a los administradores crear políticas estrictas que controlan qué aplicaciones pueden ejecutarse en un dispositivo, previniendo así la ejecución de software malicioso y no autorizado. Esta característica es especialmente útil en entornos corporativos para asegurar que solo el software verificado se ejecute en los dispositivos