Microsoft ha publicado el segundo informe sobre el progreso de su Secure Future Initiative (SFI), una estrategia global de ciberseguridad que representa el mayor esfuerzo de ingeniería en esta materia en la historia de la compañía. La empresa ha movilizado el equivalente a 34.000 ingenieros a tiempo completo durante once meses para reforzar su infraestructura de seguridad, mejorar sus sistemas y reducir el riesgo frente a amenazas avanzadas.
En este nuevo informe —correspondiente a abril de 2025—, la compañía detalla los avances logrados en cinco pilares estratégicos: protección de identidades, redes y sistemas; seguridad por diseño; detección de amenazas; respuesta a incidentes; y gobernanza. Este esfuerzo, que da continuidad a los compromisos asumidos tras incidentes críticos como el ataque de Storm-0558 en 2023, se enmarca en el contexto del reforzamiento del enfoque Zero Trust en toda la estructura tecnológica y organizativa de Microsoft.
Reforzando la seguridad desde la ingeniería
Uno de los principales hitos del informe es el despliegue del Secure by Design UX Toolkit, un conjunto de herramientas que facilita la integración de prácticas de seguridad en el desarrollo de productos. Probado por 20 equipos y distribuido a 22.000 empleados, este toolkit incluye pautas, formaciones y métodos para detectar vulnerabilidades desde las primeras fases del ciclo de vida del software. Su versión pública ya está disponible para el ecosistema externo.
Paralelamente, Microsoft ha lanzado once nuevas funcionalidades de seguridad integradas en sus plataformas clave: Azure, Microsoft 365, Windows y Microsoft Security. Además, los sistemas de inteligencia artificial de la compañía han incorporado revisiones específicas de protección, siguiendo las recomendaciones del Informe de Transparencia sobre IA Responsable.
Seguridad en la nube y la inteligencia artificial
El informe destaca el hallazgo proactivo de 180 vulnerabilidades críticas en áreas sensibles de la nube y la IA, en colaboración con la comunidad de investigadores en ciberseguridad. Microsoft ha ampliado sus programas de mitigación, logrando reducir los tiempos de respuesta y aumentando la cobertura en productos y niveles de severidad más amplios.
También se han implementado nuevas capas de protección sobre las claves de firma digital utilizadas en servicios como Entra ID y Microsoft Account. Estas claves han sido trasladadas a módulos de seguridad basados en hardware (Hardware Security Modules, HSM) y a máquinas virtuales confidenciales de Azure, con procesos de rotación automática, en respuesta a las vulnerabilidades detectadas en ataques anteriores.
Gobernanza y cultura de seguridad
Desde mayo de 2024, Microsoft ha instaurado una nueva estructura de gobernanza compuesta por 14 CISOs adjuntos, cada uno con competencias específicas en áreas como aplicaciones empresariales, Microsoft 365 o dispositivos. Este modelo busca descentralizar la seguridad sin perder cohesión estratégica. Todos ellos han completado inventarios de riesgos y establecido prioridades compartidas, facilitando la visibilidad transversal del riesgo.
En cuanto a cultura organizativa, la compañía ha involucrado a más de 50.000 empleados en su Security Academy, mientras que el 99% del personal ha superado los cursos fundamentales de ciberseguridad. Estas iniciativas forman parte de un plan interno que vincula la seguridad al rendimiento profesional individual.
Resultados cuantificables en los pilares de seguridad
- Identidades: el 92% de las cuentas de productividad de empleados están protegidas con autenticación multifactor resistente al phishing. Además, el 90% de los tokens de identidad de aplicaciones Microsoft se validan con un kit unificado y reforzado.
- Redes: el 99% de los activos de red están inventariados y aplican estándares de seguridad avanzados. Se han introducido funciones como Network Security Perimeter, DNSSEC, Azure Bastion Premium y subredes privadas.
- Sistemas de ingeniería: el 99,2% de las pipelines tienen inventario completo, con validación en 24 horas. Un 81% de las ramas de código en producción están protegidas mediante autenticación multifactor.
- Supervisión y detección: Microsoft realiza un seguimiento centralizado del 97% de los activos de producción e integra más de 200 nuevas reglas de detección en su plataforma Microsoft Defender.
- Respuesta a incidentes: se ha alcanzado un 73% de éxito en la mitigación temprana de vulnerabilidades en la nube. Asimismo, se han introducido nuevos procedimientos de comunicación de incidentes para clientes, basados en experiencias recientes.
Eliminación de riesgos heredados y segmentación reforzada
Microsoft continúa con la eliminación de recursos obsoletos y el aislamiento de entornos críticos para reducir el riesgo de movimientos laterales. Hasta la fecha, ha eliminado 6,3 millones de tenants, de los cuales 550.000 fueron desactivados desde septiembre de 2024. Todos los nuevos tenants se incorporan automáticamente al sistema de respuesta de emergencia.
Además, la autenticación de 4,4 millones de identidades en producción está ahora restringida a ubicaciones de red específicas, como parte de un enfoque de defensa en profundidad.
Alineación con estándares del sector
La compañía también ha reforzado su colaboración con entidades externas como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA), con la que colabora en el marco de la iniciativa Secure by Design. Este enfoque busca alinear las prácticas de Microsoft con los estándares emergentes de seguridad digital, promoviendo modelos de desarrollo y operación más resilientes frente a amenazas avanzadas.
Perspectivas y continuidad de la iniciativa SFI
El segundo informe de progreso subraya que, de los 28 objetivos definidos inicialmente en SFI, cinco están próximos a completarse y once han registrado avances significativos. La iniciativa continuará evolucionando en los próximos trimestres, centrada en ampliar la cobertura de seguridad por defecto, acelerar la respuesta frente a vulnerabilidades y consolidar la gobernanza descentralizada.
Aunque la evolución tecnológica y las amenazas son dinámicas, Microsoft plantea la SFI como un proyecto de largo recorrido, orientado a sentar una base estructural de seguridad en todas sus plataformas y servicios, dentro y fuera de la organización.
