Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La iniciativa Secure Future Initiative (SFI) es una iniciativa multianual a través de Microsoft para proteger cada vez más la forma en que Microsoft diseña, construye, prueba y opera sus productos y servicios.
SFI se basa en:
- Conjunto de principios de seguridad que impulsan la innovación en el diseño de la seguridad, la implementación de características, los valores predeterminados seguros y los estándares dentro de los productos de Microsoft y las instrucciones de seguridad internas y externas. Más información.
- Conjunto de pilares y objetivos de seguridad prioritarios. Más información.
En este artículo se resume nuestro último progreso en la innovación, la implementación y la orientación, así como en los objetivos del pilar.
Seguimiento del progreso en curso
Para obtener información detallada sobre el progreso de la SFI, lea el último informe de noviembre de 2025 de SFI.
También puede revisar los informes anteriores en:
Innovaciones y actualizaciones de seguridad
En la tabla se resumen las actualizaciones más recientes.
| Plataforma | Updates |
|---|---|
| Nuevo patrón | Supervisión y detección: Administración de la seguridad de la memoria en sistemas agente |
| Nuevo patrón | Aceleración de la respuesta y corrección: responder a incidentes en sistemas de inteligencia artificial. |
| Nuevo patrón | Supervisión y detección: Modelado completo de amenazas de IA. |
| Nuevo patrón | Supervisión y detección: Implemente la observabilidad de IA. |
| Nuevo patrón | Supervisión y detección: Protección de sistemas de inteligencia artificial agente autónomos. |
| Nuevo patrón | Supervisión y detección: riesgo de identidad para sistemas de inteligencia artificial agente. |
| Nuevo patrón | Supervisión y detección: protección contra ataques indirectos de inyección de mensajes. |
| Azure aplicaron valores predeterminados seguros adicionales. |
Innovate: Azure Bastion Developer amplió la conectividad segura por defecto de máquinas virtuales a 35 regiones de Azure, reduciendo las superficies de ataque. En Azure Local hemos aumentado la configuración de seguridad habilitada por defecto. Para una mayor confianza en el hardware, los chips de módulo de seguridad de hardware (HSM) resistentes a manipulaciones diseñados por Microsoft están integrados en la infraestructura de Azure para mantener las claves de cifrado dentro de límites de hardware seguros, reduciendo la latencia adicional y el riesgo de exposición. Implement: Mayor aplicación obligatoria de la autenticación multifactor fuerte, lo que hace hincapié en los métodos de autenticación resistentes a la suplantación de identidad para todos los usuarios del servicio Azure, lo que ayuda a neutralizar las credenciales robadas a escala. Guidance: Microsoft Cloud Security Benchmark v2 publicado, con procedimientos recomendados de seguridad claros y completos que se pueden aplicar mediante Azure Policy. |
| Microsoft 365 proporcionó un mayor control de inteligencia artificial y seguridad de los datos. |
Innovate: Microsoft 365 introdujo un rol dedicated AI Admin para proteger la administración de Copilot, alejarse del rol Administrador global y aplicar principios de privilegios mínimos. Control y gobernanza centralizada de agentes de Copilot en el Centro de administración de Microsoft 365 permite a los administradores de TI administrar, configurar y supervisar fácilmente los agentes. Implementar: El etiquetado adaptativo seguro por defecto de Microsoft Purview ahora clasifica y protege más de 50 millones de elementos al mes. Guía: Ayudar a los clientes a usar los roles de administrador de IA para tareas de Copilot, aplicando el principio de privilegios mínimos. Instrucciones sobre el uso de Microsoft Purview DSPM para AI para supervisar el uso de datos Copilot y detectar el uso incorrecto. |
| Windows y Surface mejoraron los principios de Confianza cero con claves de paso ampliadas, funcionalidades de recuperación automática y mejoras para la seguridad de la memoria. |
Innovate: en Windows 11, Windows Hello y passkeys integration ofrece una experiencia de inicio de sesión sin contraseña más segura y resistente al phishing. Surface está avanzando la seguridad de Windows a través de la Open Device Partnership, una iniciativa de firmware de código abierto que reemplaza el firmware heredado por una plataforma transparente, segura y reutilizable. Implementar: Mejoras en Hotpatch para admitir dispositivos ARM64. "Hotpatch ahora está habilitado de forma predeterminada al crear una nueva política de actualización de calidad en Autopatch, lo que facilita mantener la seguridad y el cumplimiento con menos interrupciones." Guidance: Ayudar a los clientes a habilitar la Recuperación rápida de máquinas en Windows 11 para corregir automáticamente los errores de arranque y protegerse frente a ataques en tiempo de arranque. Ayudar a los clientes a adoptar inicios de sesión sin contraseña, integrando con administradores de contraseñas como 1Password o Bitwarden. |
| Seguridad de Microsoft ha introducido la gestión de la postura de seguridad de datos para IA y ha transformado Microsoft Sentinel en una plataforma de seguridad orientada a la IA. |
Innovate: Microsoft Sentinel data lake habilita un repositorio para todo el inquilino para recopilar, almacenar y administrar grandes volúmenes de datos relacionados con la seguridad. Más de 35 Microsoft y agentes asociados ahora trabajan para automatizar tareas repetitivas y reducir las cargas de trabajo manuales. Los agentes desarrollados por asociados están disponibles a través del nuevo Seguridad de Microsoft Store. Implementación: la administración de derechos de Microsoft Entra se utiliza para controlar el acceso entre los equipos de ingeniería de Microsoft. En Microsoft Purview, protecciónadaptiva con directivas de prevención de pérdida de datos bloquea las actividades de uso compartido de riesgo basadas en el comportamiento del usuario en unidades USB, web, correo electrónico y equipo para una protección proactiva y coherente. Guidance: Ayude a los clientes a consolidar los datos de seguridad con la incorporación al lago de datos de Microsoft Sentinel y al grafo de Microsoft Sentinel. Ayude a los clientes a habilitar los agentes de Security Copilot para que los analistas se beneficien de las capacidades de inteligencia artificial durante la evaluación de incidentes, la redacción de informes y más. |
Progreso en los objetivos del pilar
Divulgamos el progreso de los objetivos del pilar a medida que se publican informes periódicos de la SFI. Cada objetivo representa un esfuerzo significativo para mejorar la seguridad y reducir el riesgo de Microsoft y nuestros clientes en un área de pilar específica. Los pilares, los objetivos y los objetivos pueden cambiar con el tiempo en respuesta a las prioridades de seguridad dinámicas y a los paisajes emergentes de amenazas.
Protección de identidades y secretos
En esta tabla se presenta un resumen de progreso. Obtenga los detalles del progreso completo más recientes en el informe de noviembre de 2025.
| Objetivo | Progress |
|---|---|
|
1. Proteger las claves de firma criptográfica Proteja las claves de firma e infraestructura de la plataforma de identidad mediante una rotación rápida y automática de estas claves, usando almacenamiento y protección con hardware. |
Progreso significativo: - Se migraron ~95% de las máquinas virtuales de firma de Entra ID a Azure Confidential Compute, mejorando la protección de claves. |
|
2. Adopción de SDK estándar para la identidad Reforzar los estándares de identidad e impulsar la adopción de estándares con el uso de SDK estándar en todas las aplicaciones, de modo que las aplicaciones y los servicios usen una biblioteca uniforme y protegida para validar tokens. |
- Se ha ampliado la medición de la adopción estándar del SDK para incluir Microsoft cuenta y sistemas de identidades de plataforma internos. - Ahora validando más de 94% de tokens de seguridad de Microsoft Entra ID en Microsoft con nuestros SDK estándar, lo que reduce el riesgo del código personalizado. - Biblioteca de autenticación de Microsoft (MSL) publicado como una implementación común y Microsoft Entra SDK para Servicios en la nube. |
|
3. Aplicar MFA resistente a la suplantación de identidad (phishing) Asegúrese de que las cuentas de usuario estén protegidas mediante la implementación segura de MFA resistente a suplantación de identidad (phishing). |
- 99.6% adopción de MFA lograda en todos los usuarios o dispositivos, lo que garantiza una autenticación sólida.>br/>- 100% cumplimiento en iOS y 99.97% en Android. |
|
4. Estandarizar secretos seguros Alejarse de secretos sensibles de larga duración, como credenciales de cuentas de servicio, para garantizar que las aplicaciones están protegidas con credenciales gestionadas por el sistema, como identidades administradas. |
Corrección continua de secretos. Cobertura alta (~99,5%) de datos confidenciales detectados en el código o la configuración. |
|
5. Proporcionar validación de estado para tokens de identidad Asegúrese de que los tokens de identidad están protegidos con validación basada en estado y duración de tiempo. |
Validación estandarizada implementada, con alta cobertura para tokens críticos. |
|
6. Uso de particiones de claves específicas Adopte particiones más específicas de las claves de firma de identidad y las claves de plataforma. |
Las particiones se implementaron para muchos tipos de claves. Ámbito limitado para las claves confidenciales. |
|
7. Introducción a sistemas PKI seguros cuánticos Asegúrese de que los sistemas PKI de identidad y certificado están listos para un mundo de criptografía posterior a la cuántica. |
Planificación temprana, con algunos pilotos de PKI poscuántica en progreso. |
Protección de inquilinos y aislamiento de sistemas
En esta tabla se presenta un resumen de progreso. Obtenga los detalles del progreso completo más recientes en el informe de noviembre de 2025.
| Objetivo | Progress |
|---|---|
|
1. Eliminación de sistemas heredados que arriesgan la seguridad Mantenga la posición de seguridad y la relación comercial de los inquilinos quitando todos los sistemas sin usar, antiguos o heredados. |
- Reducción de la huella heredada en el aprovisionamiento de identidades, la administración de recursos y los inquilinos no utilizados. - Cambiar el origen de autoridad (SOA) de Active Directory local a plataformas nativas en la nube, como Microsoft Entra ID. - Se retiró el uso de ADFS en el entorno de productividad, se avanzó en la migración de ASM a ARM superando el 98%. - Hemos retirado 560 000 inquilinos adicionales sin uso y antiguos y 83 000 aplicaciones, con lo que hemos reducido la superficie de ataque y eliminado ciclos de vida de identidad no administrados. |
|
2. Proteger todos los inquilinos y sus recursos Protección de inquilinos de Microsoft, adquiridos y creados por empleados, cuentas de comercio y recursos de inquilinos de acuerdo con procedimientos básicos recomendados en materia de seguridad. |
- Se ha reforzado la segmentación de inquilinos mediante la eliminación de inquilinos de prueba o sin usar. - Se creó una flota de inquilinos auxiliares para respaldar entornos de productividad controlados. |
|
3. Proporcionar mayor seguridad para las aplicaciones de Entra ID Administre aplicaciones de Microsoft Entra ID con un estándar de seguridad alto y coherente para reducir el vector de movimiento lateral. |
La segmentación de inquilinos se fortaleció mediante la eliminación de inquilinos de prueba o sin usar. - Hemos creado una flota de inquilinos auxiliares especialmente diseñada, que no es de producción, con estrictos controles de acceso, utilizada para pruebas, desarrollo, demostraciones y colaboración con socios. |
|
4. Eliminación del desplazamiento lateral de identidades Eliminación de los pivotes de desplazamiento lateral de identidades entre inquilinos, entornos y nubes. |
Mejora del aislamiento de secretos entre límites de entre aproximadamente un 94 % (abril) y un 98 %, cerrando rutas de credenciales que permitían recrear tokens entre inquilinos. Cada secreto eliminado reduce el riesgo de que los adversarios se desplacen lateralmente entre inquilinos. - Estamos marcando certificados con metadatos del inquilino y de la nube para aumentar la rastreabilidad, lo que nos ayuda a identificar el riesgo de cruce de límites. |
|
5. Aplicación continua de privilegios mínimos Asegúrese de la aplicación continua del acceso con privilegios mínimos para aplicaciones y usuarios. |
- Estamos avanzando en la aplicación del principio de privilegios mínimos en los servicios de Microsoft para una postura de seguridad por defecto que minimiza el riesgo. - Nuestro programa de reducción de privilegios elevados está completado al 78%, reduciendo las superficies de ataque mediante la migración de miles de aplicaciones a modelos de privilegios mínimos. - Estamos implementando mejoras adicionales en nuestro modelo de autorización para reforzar la posición y un nuevo flujo de autenticación para impulsar una mayor reducción de las aplicaciones con privilegios elevados. |
|
6. Protección de dispositivos usados para el acceso Adopte un particionamiento detallado de claves de firma de identidades y claves de plataforma. Asegúrese de que solo los dispositivos seguros, administrados y en buen estado tienen acceso a los inquilinos. |
- Todo el acceso a producción en los inquilinos de Microsoft requiere puntos de conexión bloqueados. - Estamos implementando más dispositivos bloqueados listos para producción. - Nuestra posición de seguridad garantiza que las operaciones con privilegios solo se pueden realizar desde puntos de conexión compatibles. |
Protección de redes
En esta tabla se presenta un resumen de progreso. Obtenga los detalles del progreso completo más recientes en el informe de noviembre de 2025.
| Objetivo | Progress |
|---|---|
|
1. Completar el inventario de dispositivos de red y la administración del ciclo de vida de los recursos Asegure las redes y los sistemas de producción de Microsoft que están conectados a redes mediante un aislamiento de red mejorado, supervisión, inventario preciso y operaciones seguras. |
- La telemetría mejorada proporciona una mayor visibilidad de los recursos para un inventario completo de todos los dispositivos de red de producción de los que se realiza un seguimiento en un inventario central con metadatos del ciclo de vida. - Todos los dispositivos de red de las redes de producción están configurados con autenticación centralizada, registro de auditoría y ACL para que IPv4/IPv6 restrinja el movimiento lateral. |
|
2. Reforzar la seguridad a través del aislamiento y los controles de red mejorados Aplique aislamiento y microsegmentación de red con conocimiento de identidad a los entornos de producción de Microsoft, creando capas adicionales de defensa contra atacantes. |
Se han mejorado la segmentación de red y los controles de protección para reducir la confianza implícita y restringir las rutas de acceso de red. |
|
3. Aceleración de la adopción del perímetro de seguridad de red (NSP) Coloque los puntos de entrada bajo control y segmentación perimetral modernos para asegurarse de que el tráfico de red se valide y solo se permita cuando sea necesario para reducir el riesgo de movimiento lateral y acceso no autorizado. |
- Seguimos ampliando el aislamiento de red en entornos de producción. - La adopción del NSP ha crecido a más de 1,1 millones de recursos en modo de aprendizaje y alrededor de 500.000 en modo forzoso. El acceso público se ha deshabilitado para miles de recursos. - Las IPs de primera parte etiquetadas aumentaron a 21%, permitiendo la segmentación detallada. - Network Manager ahora aplica ACL centralizadas en más de 6000 dispositivos, lo que reduce el riesgo lateral y refuerza las capas de defensa. |
|
4. Protección de redes en la nube de clientes Reforzar las defensas de red con cortafuegos modernos, políticas de segmentación e implementación a nivel de plataforma, lo que garantiza que solo el tráfico autorizado pueda fluir y que se contengan posibles infracciones. |
- La característica NSP ha alcanzado la disponibilidad general, lo que permite a los clientes definir límites de aislamiento lógico alrededor de los recursos de PaaS. - Azure Bastion Developer ahora admite conectividad privada con clústeres de AKS para un acceso más seguro a los servidores de LA API de AKS sin exposición pública ni configuración de VPN. |
Protección de sistemas de ingeniería
En esta tabla se presenta un resumen de progreso. Obtenga los detalles del progreso completo más recientes en el informe de noviembre de 2025.
| Objetivo | Progress |
|---|---|
|
1. Completar el inventario de activos de software Compile y mantenga un inventario de los recursos de software usados para implementar Microsoft productos y servicios. |
- El inventario abarca todos los repositorios y canalizaciones de Azure DevOps con metadatos completos. - Las herramientas “StartRight” garantizan que aproximadamente un 80 % de los activos se inventaríen en el momento de su creación y “StayRight” captura el resto en 24 horas, lo que permite una respuesta rápida a incidentes y la aplicación de directivas. |
|
2. Confianza cero para el acceso al código fuente Garantizar el acceso seguro a la infraestructura de código fuente y sistemas de ingeniería con principios de Confianza cero y políticas de acceso de mínimos privilegios. |
- Se ha reducido el acceso administrativo permanente y ahora se requiere elevación de privilegios just-in-time. - Las aplicaciones de OAuth de Azure DevOps usan la autenticación de Microsoft Entra con acceso condicional. - Casi todos los cambios de código de producción incluyen comprobaciones de prueba de presencia. |
|
3. Implementación segura de código Proteja el código fuente que implementa Microsoft entornos de producción con procedimientos recomendados de seguridad. |
- El acceso para la firma de códigos está casi completamente restringido a las identidades de producción. - Los repositorios aplican directivas de rama con recuentos mínimos de aprobadores y las analíticas ampliadas de detección de secretos refuerzan el cumplimiento y la durabilidad. |
|
4.Estandarizar canalizaciones de desarrollo seguro Aplique el aislamiento de red y la microsegmentación a los entornos de producción de Microsoft. Protección de entornos de desarrollo, compilación, prueba y versión con canalizaciones estandarizadas, controladas y aislamiento de infraestructura. |
- Casi todas las canalizaciones de compilación de producción y el 94 % de las canalizaciones de lanzamiento utilizan plantillas gobernadas de forma centralizada. - El aislamiento de red aumentado (~89 % completo) bloquea el acceso directo a los registros públicos y marca las dependencias no verificadas. |
|
5. Proteger la cadena de suministro de software Proteja la cadena de suministro de software para proteger los entornos de producción de Microsoft. |
- Las protecciones de la cadena de suministro están madurando. Las fuentes internas de artefactos están ampliamente adoptadas y la gobernanza de componentes se ejecuta de forma predeterminada. - Los agentes de IA ahora corrigen las vulnerabilidades de código abierto de forma asincrónica, lo que reduce la latencia de detección a resolución. |
Supervisión y detección de amenazas
En esta tabla se presenta un resumen de progreso. Obtenga los detalles del progreso completo más recientes en el informe de noviembre de 2025.
| Objetivo | Progress |
|---|---|
|
1. Completar el inventario de infraestructura de producción Mantenga un inventario actual de recursos en la infraestructura y servicios de producción de Microsoft. |
- Se realiza un seguimiento central de más de 98% de la infraestructura de producción, lo que mejora la visibilidad de los estados de seguridad y del sistema y habilita el análisis y la investigación de tendencias a largo plazo. - Los registros de seguridad de los modos se recopilan de forma centralizada con una política de retención de dos años. Esta visibilidad ayuda a la resistencia operativa, la detección de amenazas y la preparación del cumplimiento. |
|
2. Estandarizar la retención del registro de seguridad. Conserve los registros de seguridad durante al menos dos años y haga que estén disponibles seis meses de registros adecuados. |
- Más de 72% de servicios ahora son totalmente compatibles con nuestro formato de registro estandarizado, lo que garantiza que los eventos de seguridad críticos se capturan de forma uniforme y accionable. - Para acelerar la adopción en los servicios restantes, estamos invirtiendo en el análisis impulsado por IA de los repositorios de código de los servicios y las llamadas de función. - También estamos refinando continuamente nuestras líneas base de registro estándar dinámicamente en respuesta al aprendizaje de incidentes de seguridad. |
|
3. Centralización del acceso a los registros de seguridad Asegúrese de que los registros de seguridad son accesibles desde un lago de datos central para una investigación eficaz y eficaz y la búsqueda de amenazas. |
- Para reforzar nuestras funcionalidades de detección y respuesta de amenazas, hemos implementado un modelo de acceso sólido y escalable que permite a los equipos de seguridad recuperar y analizar registros de forma eficaz para investigaciones y búsqueda de amenazas. -A EN el momento de escribir, el modelo de acceso centralizado para los registros de seguridad ha madurado, con 6 de las 7 categorías de registro principales que ahora siguen los estándares mínimos de retención. |
|
4. Detectar y responder rápidamente Detecte y responda automáticamente a acceso, comportamiento y configuraciones anómalos en la infraestructura y servicios de producción de Microsoft. |
- Para que nuestra estrategia evalúe continuamente la cobertura de detección, identifique las brechas y manténgase al día de las amenazas emergentes, los equipos de seguridad e ingeniería colaboraron para expandir y refinar nuestras capacidades de detección. Esto dio lugar a la implementación de más de 50 nuevas detecciones destinadas a TTP de alta prioridad (incluida la filtración de datos, el acceso a credenciales y la ejecución remota de código). Esto aporta nuestro total a más de 250 detecciones activas en toda la infraestructura de producción: las detecciones aplicables se agregarán a Microsoft Defender. - Las mejoras impulsadas por IA se aprovechan en cada fase del ciclo de vida de detección, desde la identificación de nuevas capacidades de detección hasta la aceleración del desarrollo y pruebas, y señales mejoradas. Esto nos ayuda a escalar la cobertura de detección que mantiene la precisión y la resistencia. |
Aceleración de la respuesta y corrección
En esta tabla se presenta un resumen de progreso. Obtenga los detalles del progreso completo más recientes en el informe de noviembre de 2025.
| Objetivo | Progress |
|---|---|
|
1. Aceleración de la mitigación de vulnerabilidades Reduzca el "tiempo de mitigación" para las vulnerabilidades de seguridad en la nube de alta gravedad con respuesta acelerada. |
- La priorización de vulnerabilidades basada en IA y los procesos de software acelerados, compatibles con la inteligencia de señales que procesa más de cien billones de señales cada día, han reforzado nuestra capacidad de identificar y asignar vulnerabilidades con precisión a los equipos internos correctos. El resultado es una corrección más rápida y una resolución más eficaz de las vulnerabilidades críticas, lo que da lugar a una tasa de éxito de 72%, a medida que expandimos el ámbito del programa y mitigamos más vulnerabilidades. - A principios de 2025 organizamos un evento de piratería en vivo (Zero Day Quest), trabajando con investigadores de seguridad expertos para descubrir errores críticos, lo que impulsa la mejora en las plataformas clave. |
|
2. Transparencia anticipada de las vulnerabilidades de la nube Aumente la transparencia de las vulnerabilidades mitigadas en la nube con la adopción y publicación de los estándares de la industria Common Weakness Enumeration (CWE) y Common Platform Enumeration (CPE). Publicar vulnerabilidades y exposiciones comunes (CVEs) de alta gravedad que afectan a la nube. |
- Seguimos avanzando la transparencia publicando CVE enriquecidos con Common Weakness Enumeration y Common Platform Enumeration. Desde enero de 2025, hemos publicado 1096 CVE, con 53 CVE en la nube sin requerir acción. - Los investigadores Microsoft internos detectaron más de 48% de estas vulnerabilidades. La adopción de estándares del sector permite a los clientes y al ecosistema más amplio comprender mejor las causas principales y los productos afectados. Las inversiones en programas de recompensas y eventos de piratería en vivo, como Zero Day Quest, demuestran aún más nuestro compromiso con la apertura y las mejoras proactivas de seguridad en los entornos clave de la nube. |
|
3. Mejorar la mensajería pública y la interacción Mejore la precisión, la eficacia, la transparencia y la velocidad de la mensajería pública y la participación de los clientes. |
- El CSMO ha mejorado la interacción con los clientes y la comunicación de incidentes al asociarse con los equipos internos de Soporte de Microsoft y Resiliencia de Seguridad. - Al estandarizar las comunicaciones de incidentes, el CSMO ha aumentado la velocidad y la transparencia en los esfuerzos de respuesta. Estos avances, combinados con una mayor participación ejecutiva y colaboración con asesores de seguridad globales, ayudan a garantizar una mensajería pública rápida, eficaz y una participación proactiva de los clientes durante los incidentes de seguridad. Además, el CSMO notifica proactivamente a los clientes de riesgos críticos, lo que garantiza que los CISO reciban actualizaciones oportunas. |
Pasos siguientes
Obtenga información sobre la adopción de las mejores prácticas de SFI de Microsoft.