Informe de progreso de la Iniciativa para un futuro seguro de noviembre de 2025

En nuestro tercer informe de progreso, compartimos actualizaciones para cada área y pilar de ingeniería, presentamos la asignación con el Marco de ciberseguridad de NIST para ayudar a los clientes a entender el avance realizado utilizando un marco reconocido en la industria, y destacamos nuevas capacidades de seguridad entregadas a los clientes. También compartimos los procedimientos recomendados y orientación para la implementación, alineadas con los principios de Confianza cero, para ayudar a los clientes a reducir su riesgo.

Seguimos fomentando una cultura que pone la seguridad en primer lugar en toda la organización.

El 95 % de los empleados ya ha completado la última formación en seguridad asignada en julio de 2025 sobre protección contra ataques con tecnología de IA, que sigue siendo uno de nuestros cursos mejor valorados.
La opinión del equipo de ingeniería respecto a la seguridad ha aumentado 9 puntos desde febrero de 2024.
Para reforzar una mentalidad de seguridad primero en el trabajo y en casa, desarrollamos recursos para empleados y los pusimos a disposición de los clientes por primera vez para mejorar la concienciación sobre seguridad.

Obtenga orientación práctica y lea más sobre cómo la seguridad está integrada en nuestra forma de trabajar, liderar y medir el impacto en el informe completo.

"Hemos hecho de la seguridad una prioridad fundamental para cada empleado en Microsoft, no solo para el equipo de seguridad.”

Vasu Jakkal
CVP, Seguridad de Microsoft

Seguimos ampliando nuestro modelo de gobernanza para abordar el panorama de amenazas en evolución y la mayor complejidad regulatoria.

Ampliamos el alcance del Consejo de gobernanza de ciberseguridad para incluir 3 funciones adicionales de CISO adjunto:
- Cadena de suministro y de terceros
- Funciones empresariales, marketing y finanzas
- Cumplimiento de la legislación europea sobre ciberseguridad
Creamos el Programa europeo de seguridad de Microsoft para profundizar las alianzas y mejorar la información a los gobiernos europeos sobre el panorama de amenazas. Continuamos con la participación activa en el Grupo de expertos del Acta de resiliencia cibernética de la Unión Europea.
Colaboramos activamente con socios de la industria para alinear mejor las regulaciones de ciberseguridad existentes y futuras y fortalecer la capacidad de ciberseguridad mediante la Iniciativa para el avance regional de ciberseguridad en el sur global.

Obtenga orientación práctica y lea más sobre cómo seguimos ampliando nuestro modelo de gobernanza para abordar el panorama de amenazas en evolución y la mayor complejidad regulatoria en el informe completo.

"Creemos firmemente que no se puede tener un programa sostenible si la cultura no está alineada, y ciertamente no se puede tener un programa cuantificable si la gobernanza no está alineada.”

Ann Johnson
CVP & CISO adjunto, Oficina de administración de seguridad de cliente

Principios de seguridad

Diseñado para la seguridad, Seguridad de manera predeterminada y Operaciones seguras

Guiados por tres principios de seguridad (seguro por diseño, seguro de manera predeterminada y operaciones seguras), los equipos de Microsoft continúan innovando para ayudar a proteger a los clientes y a Microsoft.

Introdujimos configuraciones seguras predeterminadas obligatorias, ampliamos la confianza basada en hardware y actualizamos los puntos de referencia de seguridad para mejorar la seguridad en la nube.

Más información sobre Azure en el informe completo
La MFA es ahora obligatoria para todos los usuarios de Azure, lo que reduce el riesgo de ataques relacionados con contraseñas. Además, el desarrollador de Azure Bastion ahora ofrece conectividad segura de manera predeterminada a máquinas virtuales en 35 regiones.
La versión 2 del Punto de referencia de seguridad en la nube de Microsoft (MCSB) ofrece a los clientes una guía actualizada de línea base de seguridad, que se puede implementar usando Microsoft Defender para la nube.
Azure Local aumentó el número de configuraciones predeterminadas de seguridad en un 25 % (400 configuraciones). Esto simplifica aún más la capacidad de los clientes para cumplir con los estándares de la industria y protege mejor los nodos de Azure Local contra amenazas adicionales como el malware sin archivos.
Más información sobre Azure en el informe completo
Proporcionamos los procedimientos recomendados y orientación para la implementación, alineadas con los principios de Confianza cero, para ayudar a los clientes a reducir su riesgo.

Obtenga vínculos a la guía práctica

Pilares de ingeniería

Los seis pilares de SFI incluyen objetivos y acciones que definen nuestro enfoque de seguridad

De 28 objetivos, 5 están cerca de completarse, 12 han avanzado significativamente y seguimos progresando en el resto. Como resultado de SFI, hemos mejorado la seguridad en nuestra plataforma y servicios, así como nuestra capacidad para detectar y responder a amenazas.

Hemos mejorado la seguridad de identidad para los servicios y clientes de Microsoft.
Migramos el 95 % de las máquinas virtuales de firma de Microsoft Entra ID a informática confidencial de Azure.
Movimos el 94,3 % de la validación de tokens de seguridad de Microsoft Entra ID a nuestro kit de desarrollo de software (SDK) de identidad estándar.
Aplicamos MFA resistente al phishing para el 99,6 % de empleados y dispositivos de Microsoft.

Más información, incluidos vínculos a guías prácticas, en el informe completo.
Seguimos aumentando el aislamiento y reduciendo el riesgo de movimiento lateral.
Descontinuamos el uso de Servicios de federación de Active Directory (AD FS) en nuestro entorno de productividad.
Migramos el 98 % de los recursos en la nube administrados por Azure Service Manager (ASM) a Azure Resource Manager (ARM).
Se retiraron 560 000 inquilinos adicionales sin usar y antiguos, y 83 000 aplicaciones de Entra ID sin usar en los entornos de producción y productividad de Microsoft.

Más información, incluidos vínculos a guías prácticas, en el informe completo.
El progreso ha mejorado la seguridad de la red y aportado nuevas capacidades para los clientes.
Logramos un inventario completo de dispositivos de red y una administración del ciclo de vida madura de activos.
Fortalecimos la seguridad mediante un aislamiento mejorado y controles de protección.
Aceleramos la adopción del perímetro de seguridad de red (NSP) con más de 1,1 millones de recursos en modo aprendizaje y aproximadamente 500 000 en modo aplicado.

Más información, incluidos vínculos a guías prácticas, en el informe completo.
Hemos mejorado la seguridad de los sistemas que usamos para construir, probar e implementar código.

La firma de código está casi totalmente restringida a identidades de producción, y los secretos detectados en el código se corrigen continuamente.
Un inventario de activos de software casi completo permite una respuesta rápida a incidentes y la aplicación universal de directivas.
Ampliamos las canalizaciones seguras de manera predeterminada y el aislamiento de red, con casi todas las compilaciones de producción y el 94 % de las canalizaciones de lanzamiento usando plantillas gobernadas.

Más información, incluidos vínculos a guías prácticas, en el informe completo.
Estamos avanzando en la caza de amenazas, la respuesta rápida a incidentes y los controles de seguridad unificados.
El 98 % de la infraestructura de producción se supervisa de forma centralizada, con registros conservados durante 2 años.
Se implementaron más de 50 nuevas detecciones en la infraestructura de Microsoft, centradas en tácticas, técnicas y procedimientos (TTP) de alta prioridad; las detecciones aplicables se integrarán en Microsoft Defender.
La integración de IA acelera las mejoras en el ciclo de vida de detección, desde la identificación hasta la validación de eficacia.

Más información, incluidos vínculos a guías prácticas, en el informe completo.
Estamos aumentando la velocidad de identificación, evaluación de prioridades y resolución de vulnerabilidades.
La evaluación de prioridades de vulnerabilidades basada en IA contribuyó a una tasa de éxito del 72 % en la atención de vulnerabilidades dentro de nuestro tiempo reducido para mitigar, a pesar del aumento continuo en volumen y alcance.
Los procesos acelerados de implementación han agilizado la mitigación de vulnerabilidades.
Microsoft publicó 1 096 CVE, incluidos 53 CVE en la nube sin acción, y pagó 17 millones de USD en recompensas, lo que demostró una mayor transparencia y compromiso externo.

Más información, incluidos vínculos a guías prácticas, en el informe completo.

GUÍA PRÁCTICA

Ponga en práctica lo que aprendimos

En este informe destacamos 10 patrones y prácticas que los clientes pueden seguir para reducir su riesgo en áreas prioritarias y compartimos procedimientos recomendados y guías adicionales para cada área y pilar.

Descargar el informe para obtener más orientación