\n<\/p>\n
como un apuro<\/span> de ciberdelincuentes, piratas inform\u00e1ticos respaldados por el estado y estafadores contin\u00faan inundando la zona con ataques digitales y campa\u00f1as agresivas en todo el mundo, no sorprende que el fabricante del omnipresente sistema operativo Windows se centre en la defensa de la seguridad. Las versiones de actualizaci\u00f3n del martes de parches de Microsoft contienen con frecuencia correcciones para vulnerabilidades cr\u00edticas, incluidas aquellas que est\u00e1n siendo explotadas activamente por atacantes en todo el mundo.<\/p>\n La empresa ya cuenta con los grupos necesarios para buscar debilidades en su c\u00f3digo (el \u00abequipo rojo\u00bb) y desarrollar mitigaciones (el \u00abequipo azul\u00bb). Pero recientemente, ese formato evolucion\u00f3 nuevamente para promover una mayor colaboraci\u00f3n y trabajo interdisciplinario con la esperanza de detectando a\u00fan m\u00e1s errores y fallas antes de que las cosas comiencen a torcerse.Conocido como Microsoft Offensive Research & Security Engineering, o Morse, el departamento combina el equipo rojo, el equipo azul y el llamado equipo verde, que se enfoca en encontrar fallas o tomar debilidades al instante. equipo rojo ha encontrado y solucionarlos de manera m\u00e1s sist\u00e9mica a trav\u00e9s de cambios en la forma en que se hacen las cosas dentro de una organizaci\u00f3n.<\/p>\n \u201cLa gente est\u00e1 convencida de que no se puede avanzar sin invertir en seguridad\u201d, dice David Weston, vicepresidente de seguridad empresarial y del sistema operativo de Microsoft, que lleva 10 a\u00f1os en la empresa. \u201cHe estado en seguridad durante mucho tiempo. Durante la mayor parte de mi carrera, se nos consider\u00f3 molestos. Ahora, en todo caso, los l\u00edderes vienen a m\u00ed y me dicen: ‘Dave, \u00bfestoy bien? \u00bfHemos hecho todo lo posible? Ese ha sido un cambio significativo\u201d.<\/p>\n Morse ha estado trabajando para promover pr\u00e1cticas de codificaci\u00f3n seguras en todo Microsoft para que menos errores terminen en el software de la empresa en primer lugar. OneFuzz, un marco de prueba de Azure de c\u00f3digo abierto, permite a los desarrolladores de Microsoft estar constantemente, lanzando autom\u00e1ticamente su c\u00f3digo con todo tipo de casos de uso inusuales para descubrir fallas que no se notar\u00edan si el software solo se usara exactamente como se pretend\u00eda.<\/p>\n El equipo combinado tambi\u00e9n ha estado a la vanguardia de la promoci\u00f3n del uso de lenguajes de programaci\u00f3n m\u00e1s seguros (como Rust) en toda la empresa. Y han abogado por incorporar herramientas de an\u00e1lisis de seguridad directamente en el compilador de software real utilizado en el flujo de trabajo de producci\u00f3n de la empresa. Ese cambio ha sido impactante, dice Weston, porque significa que los desarrolladores no est\u00e1n haciendo un an\u00e1lisis hipot\u00e9tico en un entorno simulado donde algunos errores podr\u00edan pasarse por alto en un paso alejado de la producci\u00f3n real.<\/p>\n El equipo de Morse dice que el cambio hacia la seguridad proactiva ha llevado a un progreso real. En un ejemplo reciente, los miembros de Morse estaban examinando software hist\u00f3rico, una parte importante del trabajo del grupo, ya que gran parte del c\u00f3digo base de Windows se desarroll\u00f3 antes de estas revisiones de seguridad ampliadas. Mientras examinaba c\u00f3mo Microsoft hab\u00eda implementado Transport Layer Security 1.3, el protocolo criptogr\u00e1fico fundamental utilizado en redes como Internet para una comunicaci\u00f3n segura, Morse descubri\u00f3 un error explotable de forma remota que podr\u00eda haber permitido a los atacantes acceder a los dispositivos de los objetivos.<\/p>\n Como Mitch Adair, principal l\u00edder de seguridad de Microsoft para Cloud Security, lo expres\u00f3: \u201cHabr\u00eda sido tan malo como parece. TLS se usa para asegurar b\u00e1sicamente todos los productos de servicio que usa Microsoft\u201d.<\/p>\n<\/div>\n