Microsoft deshabilita ActiveX por defecto en Microsoft 365: Un paso clave para la seguridad
Microsoft ha anunciado un cambio significativo en la configuración predeterminada de sus aplicaciones Microsoft 365: la deshabilitación automática de los controles ActiveX. Esta medida, orientada a reforzar la postura de seguridad de su suite de productividad, busca mitigar riesgos asociados con esta tecnología heredada, históricamente explotada en ciberataques.
¿Qué es ActiveX y por qué representa un riesgo?
ActiveX es un framework de Microsoft introducido en los años 90 que permite la ejecución de componentes software interactivos dentro de aplicaciones como Internet Explorer. Aunque facilitó funcionalidades avanzadas, su arquitectura presenta vulnerabilidades críticas:
- Falta de sandboxing: Los controles ActiveX se ejecutan con los mismos privilegios que la aplicación host, permitiendo escalamiento de privilegios.
- Modelo de seguridad obsoleto: Se basa en listas de confianza (killbits) en lugar de mecanismos modernos como aislamiento de procesos.
- Historial de exploits: Ha sido vector en ataques como drive-by downloads y inyección de malware.
Detalles técnicos del cambio implementado
La actualización modifica el comportamiento predeterminado en aplicaciones como Word, Excel y Outlook:
- Bloqueo automático: Los documentos que contengan controles ActiveX ahora los desactivan sin intervención del usuario.
- Notificación clara: Los usuarios reciben advertencias cuando un documento intenta cargar estos componentes.
- Configuración grupal: Los administradores IT pueden gestionar excepciones mediante políticas de grupo o Intune.
Esta medida complementa otras iniciativas de Microsoft como la eliminación progresiva de Visual Basic for Applications (VBA) heredado y la transición a alternativas más seguras como JavaScript API para complementos.
Implicaciones para empresas y usuarios
El cambio tiene importantes repercusiones operativas:
- Seguridad mejorada: Reduce la superficie de ataque contra amenazas como ransomware o robo de credenciales.
- Compatibilidad: Algunas soluciones empresariales antiguas que dependen de ActiveX requerirán actualización o migración.
- Productividad: Los flujos de trabajo que utilizan controles legados necesitarán ajustes, aunque Microsoft provee guías de transición.
Para organizaciones con dependencia crítica de ActiveX, Microsoft recomienda:
- Evaluar el uso real de estos componentes
- Priorizar la migración a tecnologías modernas como Office JS API
- Implementar políticas de seguridad específicas si se requiere habilitación temporal
Perspectivas futuras y mejores prácticas
Este movimiento forma parte de una estrategia más amplia de Microsoft para eliminar tecnologías inseguras heredadas. Los expertos en ciberseguridad recomiendan:
- Auditar documentos y macros existentes
- Capacitar usuarios en riesgos de contenido activo
- Implementar soluciones EDR/XDR para monitorizar intentos de explotación
- Considerar el modo “Solo vista” para documentos de fuentes no confiables
La decisión de Microsoft refleja un equilibrio necesario entre compatibilidad retroactiva y seguridad proactiva en un panorama de amenazas cada vez más sofisticado. Fuente original
