{"id":77831,"date":"2026-04-28T12:33:16","date_gmt":"2026-04-28T12:33:16","guid":{"rendered":"https:\/\/exittechnologies.com\/?p=77831"},"modified":"2026-04-28T12:34:37","modified_gmt":"2026-04-28T12:34:37","slug":"la-politica-de-microsoft-pone-en-peligro-los-antiguos-servidores-ring-0","status":"publish","type":"post","link":"https:\/\/exittechnologies.com\/es\/blog\/centro-de-datos\/la-politica-de-microsoft-pone-en-peligro-los-antiguos-servidores-ring-0\/","title":{"rendered":"La pol\u00edtica de Microsoft pone en peligro los servidores del antiguo anillo 0"},"content":{"rendered":"<span class=\"span-reading-time rt-reading-time\" style=\"display: block;\"><span class=\"rt-label rt-prefix\">Tiempo de lectura: <\/span> <span class=\"rt-time\"> 6<\/span> <span class=\"rt-label rt-postfix\">minutos<\/span><\/span>\n<p>Imagina que est\u00e1s construyendo una torre de jenga y de repente tienes que quitar todos los bloques m\u00e1s bajos. Los centros de datos de todo el mundo se enfrentar\u00e1n a este dilema debido a una nueva pol\u00edtica de Microsoft.&nbsp;<\/p>\n\n\n\n<p>A partir de la actualizaci\u00f3n de Windows de abril de 2026, Microsoft eliminar\u00e1 la confianza por defecto para todos los controladores del kernel firmados bajo su programa ra\u00edz de firma cruzada obsoleto. Esto afectar\u00e1 a Windows 11 24H2, 25H2, 26H1 y Windows Server 2025. Todas las versiones futuras de Windows seguir\u00e1n la misma pol\u00edtica.&nbsp;<\/p>\n\n\n\n<p>Si utiliza servidores con controladores que no han pasado por el Programa de compatibilidad de hardware de Windows (WHCP) de Microsoft, tiene un problema. Para complicar m\u00e1s las cosas, <a href=\"https:\/\/exittechnologies.com\/es\/vender\/vender-servidores-usados\/\">suelen ser servidores antiguos<\/a> la base de todas las operaciones del centro de datos.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Qu\u00e9 ha cambiado Microsoft en realidad y por qu\u00e9 es importante a nivel de kernel<\/strong><\/h2>\n\n\n\n<p>Este cambio se puso en marcha por primera vez en 2021, cuando Microsoft elimin\u00f3 el programa de firma cruzada. Cuando est\u00e1 activo, permite a los fabricantes de hardware autenticar sus controladores sin pasar por el proceso de certificaci\u00f3n de Microsoft.<\/p>\n\n\n\n<p>El mecanismo es el siguiente: los proveedores firmaban sus controladores utilizando certificados de autoridades de certificaci\u00f3n de terceros, que luego Microsoft refrendaba. Esas refrendaciones son las que establecen la confianza en el n\u00facleo de Windows.<\/p>\n\n\n\n<p>Los certificados caducaban cuando la funci\u00f3n quedaba obsoleta, pero Windows segu\u00eda confiando en los controladores. Esta filosof\u00eda de compatibilidad con versiones anteriores garantizaba que Microsoft no tirar\u00eda de la manta bajo millones de sistemas instalados.<\/p>\n\n\n\n<p>Al menos hasta el final del periodo de gracia. Eso es en abril de 2026 .<\/p>\n\n\n\n<p>Los controladores del kernel no son software de aplicaci\u00f3n ordinario. Se ejecutan en el Anillo 0: el nivel de ejecuci\u00f3n m\u00e1s privilegiado del sistema operativo.&nbsp;<\/p>\n\n\n\n<p>Un controlador del kernel tiene un control casi total sobre la memoria, la E\/S y el hardware. Cuando algo va mal en el nivel del kernel, no s\u00f3lo genera un registro de errores. Falla la m\u00e1quina, corrompe los datos o compromete silenciosamente todos los controles de seguridad situados por encima de \u00e9l en la pila.<\/p>\n\n\n\n<p>El vector de ataque se denomina Bring Your Own Vulnerable Driver (BYOVD). La mec\u00e1nica es sencilla: los atacantes cargan un controlador leg\u00edtimamente firmado pero vulnerable, a menudo desde software de monitorizaci\u00f3n de hardware heredado, utilidades de gesti\u00f3n de disco o perif\u00e9ricos de juegos. Luego lo explotan para desactivar las herramientas de detecci\u00f3n de puntos finales, escalar privilegios y moverse lateralmente antes de que nadie se d\u00e9 cuenta. Como el controlador est\u00e1 firmado, la mayor\u00eda de las listas de permisos y motores antivirus lo consideran c\u00f3digo fiable.<\/p>\n\n\n\n<p>La investigaci\u00f3n de Nextgen Software estima que aproximadamente 25% de los ataques de ransomware en 2024 incorporaron t\u00e9cnicas BYOVD espec\u00edficamente para desactivar los sistemas EDR antes del cifrado. El proyecto LOLDrivers ha catalogado m\u00e1s de 900 controladores de 64 bits firmados que ya se sabe que son explotables. Su antiguo controlador de almacenamiento podr\u00eda estar en esa lista. Es casi seguro que su controlador de firmware BMC no ha sido auditado con respecto a ella.<\/p>\n\n\n\n<p>La medida de Microsoft no elimina por completo BYOVD. Pero cierra la superficie de ataque m\u00e1s obvia: toda la clase de controladores con firma cruzada que nunca se sometieron a los requisitos de validaci\u00f3n de WHCP.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>El problema del hardware heredado del que nadie quiere hablar<\/strong><\/h2>\n\n\n\n<p>Los servidores con m\u00e1s probabilidades de tener controladores no WHCP no son los que actualizaste en 2024. Son aquellos de los que te olvidaste. Podr\u00eda ser&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Integraci\u00f3n de controles industriales<\/li>\n\n\n\n<li>Controladores de almacenamiento en hardware antiguo con firmware especializado\u00a0<\/li>\n\n\n\n<li>M\u00f3dulos de seguridad de hardware con controladores de kernel propietarios del proveedor.\u00a0<\/li>\n\n\n\n<li>Controladores de interfaz de red para tarjetas 10GbE que no han tenido una versi\u00f3n de firmware desde 2019\u00a0<\/li>\n\n\n\n<li>Agentes de gesti\u00f3n del hipervisor que se instalaron una vez y no se volvieron a tocar.<\/li>\n<\/ul>\n\n\n\n<p>Ninguno de ellos aparece en un inventario de activos est\u00e1ndar como \u2018riesgo para la seguridad\u2019. Aparecen como \u2018infraestructura en funcionamiento\u2019. Al menos hasta la fecha l\u00edmite de Microsoft.<\/p>\n\n\n\n<p>Microsoft est\u00e1 desplegando la pol\u00edtica primero en modo de evaluaci\u00f3n. El n\u00facleo de Windows supervisa y audita las cargas de controladores durante al menos 100 horas en un m\u00ednimo de tres reinicios del sistema antes de activar la aplicaci\u00f3n. Si todos los controladores cargados durante ese periodo superan la nueva pol\u00edtica de confianza, se activa la aplicaci\u00f3n.&nbsp;<\/p>\n\n\n\n<p>Si alg\u00fan controlador con firma cruzada no supera la comprobaci\u00f3n, el sistema permanece en modo de evaluaci\u00f3n y reinicia el contador. Se trata de una v\u00e1lvula de seguridad deliberada, pero tambi\u00e9n significa que las organizaciones que ejecutan controladores heredados problem\u00e1ticos podr\u00edan permanecer en un estado semiaplicado perpetuo. Eso no es lo mismo que estar protegido.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Factor de riesgo del conductor<\/strong><\/td><td><strong>Qu\u00e9 significa para su infraestructura<\/strong><\/td><\/tr><tr><td>Certificado con firma cruzada<\/td><td>El conductor nunca fue validado por WHCP; la confianza se revoca en la actualizaci\u00f3n de abril de 2026.<\/td><\/tr><tr><td>Fecha de firma anterior a 2015<\/td><td>El certificado es anterior a los requisitos modernos de WHCP; mayor probabilidad de que no haya un sustituto certificado<\/td><\/tr><tr><td>El vendedor ya no est\u00e1 activo<\/td><td>No se emitir\u00e1 ning\u00fan reemplazo de WHCP; el hardware puede quedar permanentemente da\u00f1ado tras la actualizaci\u00f3n.<\/td><\/tr><tr><td>Hardware &gt;5 a\u00f1os<\/td><td>Es probable que los controladores no hayan sido reenviados a WHCP; compruebe el proyecto LOLDrivers en busca de CVE conocidas<\/td><\/tr><tr><td>Sin actualizaci\u00f3n de controladores desde 2021<\/td><td>El proveedor dej\u00f3 de realizar el mantenimiento antes de que WHCP se convirtiera en la ruta obligatoria; se desconoce la disponibilidad del sustituto.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Las categor\u00edas de hardware m\u00e1s expuestas son:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Servidores con controladores de almacenamiento especializados\u00a0<\/li>\n\n\n\n<li>Sistemas con BMC propietario o controladores de gesti\u00f3n fuera de banda\u00a0<\/li>\n\n\n\n<li>Cualquier equipo de proveedores que quebraron o discontinuaron l\u00edneas de productos antes de que WHCP se convirtiera en el camino obligatorio.<\/li>\n<\/ul>\n\n\n\n<p>Si el ciclo de renovaci\u00f3n de su infraestructura dura m\u00e1s de cinco a\u00f1os, que es lo m\u00e1s probable, es casi seguro que tenga un sistema afectado. Debe determinar cu\u00e1ntos sistemas est\u00e1n afectados. O lo averigua ahora o se enterar\u00e1 por las malas de una interrupci\u00f3n prolongada.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Qu\u00e9 certifica y qu\u00e9 no certifica realmente la WHCP<\/strong><\/h2>\n\n\n\n<p>Para obtener la firma de un controlador a trav\u00e9s del Programa de compatibilidad de hardware de Windows, el proveedor debe enviar el controlador a trav\u00e9s del portal del Centro de desarrollo de hardware de Microsoft. A continuaci\u00f3n, debe superar las pruebas de compatibilidad y fiabilidad y cumplir los requisitos actuales de integridad del c\u00f3digo. Microsoft controla las claves de firma. El proveedor nunca maneja directamente la clave privada.<\/p>\n\n\n\n<p>Uno de los problemas persistentes con los controladores de firma cruzada era la gesti\u00f3n de claves: los proveedores ten\u00edan sus propias claves privadas, y el robo de claves hac\u00eda que se utilizaran certificados leg\u00edtimos para firmar controladores maliciosos. El bootkit BlackLotus de 2023 utiliz\u00f3 un antiguo certificado de firma cruzada para establecer la persistencia a nivel de kernel en sistemas empresariales. El equipo de seguridad de Microsoft document\u00f3 47 ataques distintos aprovechando certificados con firma cruzada entre 2020 y 2025, cada uno de los cuales requiri\u00f3 parches de emergencia y revocaciones de certificados a posteriori.<\/p>\n\n\n\n<p>WHCP elimina esa superficie de ataque centralizando la custodia de claves. Tambi\u00e9n obliga a los controladores a pasar por un proceso de validaci\u00f3n que comprueba los requisitos actuales de Windows en lugar de los que exist\u00edan cuando se escribi\u00f3 el controlador por primera vez.<\/p>\n\n\n\n<p>Esto es lo que WHCP no certifica: el hardware subyacente. Un controlador firmado por WHCP para un servidor de hace cinco a\u00f1os significa que el controlador ha superado los requisitos de certificaci\u00f3n actuales de Microsoft. No significa que el servidor sea actual, seguro o apropiado para su infraestructura.&nbsp;<\/p>\n\n\n\n<p>El controlador es s\u00f3lo la capa de software. El hardware tiene su propio ciclo de vida, sus propias vulnerabilidades de firmware y su propio calendario de fin de soporte.<\/p>\n\n\n\n<p>Algunas organizaciones tratar\u00e1n WHCP <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/design\/compatibility\/whcp-specifications-policies\" target=\"_blank\" rel=\"noopener\">conformidad<\/a> como una casilla de verificaci\u00f3n que mantiene el hardware heredado en servicio indefinidamente. La realidad es que es s\u00f3lo una capa de la pila de seguridad. El hardware que se ejecuta bajo ese controlador sigue necesitando parches, acumula CVE conocidas y ejecuta firmware que no ha visto una actualizaci\u00f3n desde que el equipo de ingenieros del proveedor se march\u00f3.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>La decisi\u00f3n de la renovaci\u00f3n: C\u00f3mo son las matem\u00e1ticas en realidad<\/strong><\/h2>\n\n\n\n<p>El hardware heredado no s\u00f3lo conlleva riesgos de seguridad. Conlleva un coste que la mayor\u00eda de los equipos financieros no est\u00e1n contabilizando correctamente.<\/p>\n\n\n\n<p>Los contratos de asistencia ampliada de proveedores para servidores que han superado su ciclo de vida est\u00e1ndar suelen suponer entre el 15 y el 20% del coste original del hardware al a\u00f1o. A esto hay que a\u00f1adir los gastos generales de energ\u00eda y refrigeraci\u00f3n que genera un hardware antiguo y menos eficiente en comparaci\u00f3n con los equipos de \u00faltima generaci\u00f3n. <a href=\"https:\/\/exittechnologies.com\/es\/vender\/vender-equipos-dell\/\">Un Dell PowerEdge R730<\/a> tirando de 400 W continuos frente a un R760 de la generaci\u00f3n actual que ejecuta la misma carga de trabajo a 280 W es una partida real en la factura de la luz. Y se agrava en todos los servidores de la misma cohorte.<\/p>\n\n\n\n<p>Luego est\u00e1 el coste de los incidentes. Una sola interrupci\u00f3n no planificada causada por una incompatibilidad de controladores cuesta m\u00e1s en horas de ingenier\u00eda, interrupci\u00f3n de la actividad empresarial y adquisici\u00f3n acelerada de hardware que lo que la mayor\u00eda de las organizaciones presupuestan para una actualizaci\u00f3n planificada. La diferencia est\u00e1 en qui\u00e9n controla los plazos.<\/p>\n\n\n\n<p>Los servidores m\u00e1s expuestos al cambio de confianza del kernel de Microsoft de abril de 2026 son tambi\u00e9n los que tienen m\u00e1s probabilidades de haber sobrepasado su punto \u00f3ptimo de actualizaci\u00f3n en todas las dem\u00e1s dimensiones.&nbsp;<\/p>\n\n\n\n<p>El hardware que no se ha renovado en cinco o m\u00e1s a\u00f1os probablemente se compr\u00f3 antes de que WHCP se convirtiera en el est\u00e1ndar obligatorio, ejecuta controladores que no se han actualizado desde que se cerr\u00f3 la ventana de soporte del proveedor y arrastra una deuda t\u00e9cnica acumulada en m\u00faltiples frentes.<\/p>\n\n\n\n<p>Esta es la pregunta clave: \u00bfes factible mantener este hardware en funcionamiento y qu\u00e9 se puede hacer ahora que abril de 2026 ya est\u00e1 aqu\u00ed?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Qu\u00e9 hacer con la actualizaci\u00f3n de abril de Microsoft<\/strong><\/h2>\n\n\n\n<p>El modo de evaluaci\u00f3n de Microsoft te ofrece una ventana. Aseg\u00farate de usarla.<\/p>\n\n\n\n<p>El primer paso es el inventario de controladores. Olv\u00eddese del software y las redes: tiene que evaluar los controladores del n\u00facleo en producci\u00f3n. Cada servidor de su flota necesita ser auditado en busca de controladores que encadenen con certificados de firma cruzada.&nbsp;<\/p>\n\n\n\n<p>Las herramientas integradas de Microsoft pueden sacar esto a la luz: los registros de eventos del kernel de Windows marcar\u00e1n los controladores afectados durante el modo de evaluaci\u00f3n. Tambi\u00e9n puede ejecutar sigcheck de Sysinternals en su directorio de controladores para identificar la informaci\u00f3n de la cadena de certificados antes de que la actualizaci\u00f3n llegue a sus sistemas.<\/p>\n\n\n\n<p>Compare su lista de controladores con dos fuentes: el proyecto LOLDrivers (loldrivers.io), que mantiene una base de datos comunitaria de controladores vulnerables conocidos, y la propia lista de controladores vulnerables de Microsoft, que se actualiza a trav\u00e9s de Windows Defender. Si un controlador de su sistema aparece en cualquiera de estas listas, es una superficie de ataque activa en este momento. Se trata de un problema independiente de la actualizaci\u00f3n de abril.<\/p>\n\n\n\n<p>Para los conductores que no superen la comprobaci\u00f3n WHCP y no dispongan de un sustituto certificado, existen tres posibilidades:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Implemente pol\u00edticas de control de aplicaciones para empresas con la autoridad de arranque seguro de UEFI para permitir el controlador espec\u00edfico como una excepci\u00f3n expl\u00edcita.\u00a0<\/li>\n\n\n\n<li>Aislar el hardware afectado de los segmentos de red en los que el movimiento lateral podr\u00eda tener consecuencias.<\/li>\n\n\n\n<li><a href=\"https:\/\/exittechnologies.com\/es\/servicios-de-centro-de-datos\/servicios-de-desmantelamiento-de-centros-de-datos\/\">Desmantelar el hardware<\/a> y recuperar el valor residual del activo antes de que siga depreci\u00e1ndose.<\/li>\n<\/ol>\n\n\n\n<p>La v\u00eda de excepci\u00f3n no es una soluci\u00f3n permanente. Microsoft ha sido expl\u00edcito: cada versi\u00f3n futura de Windows aplicar\u00e1 el modelo de confianza WHCP-first. Las excepciones de lista permitida que existen hoy en d\u00eda son un puente de compatibilidad, no una postura soportada a largo plazo. Las organizaciones que mantienen el hardware heredado funcionando mediante excepciones manuales est\u00e1n gestionando una cuenta atr\u00e1s, no resolviendo un problema.<\/p>\n\n\n\n<p>La v\u00eda del desmantelamiento es la \u00fanica que cierra la exposici\u00f3n de forma permanente. Dependiendo de la antig\u00fcedad y la configuraci\u00f3n del hardware, el desmantelamiento ofrece una v\u00eda directa a los ingresos en lugar de a los costes.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusi\u00f3n<\/strong><\/h2>\n\n\n\n<p>La actualizaci\u00f3n de Microsoft de abril de 2026 no cre\u00f3 un nuevo problema. Ha puesto fecha l\u00edmite a uno que ya exist\u00eda. Si tiene servidores heredados en su infraestructura con controladores que no son WHCP, ese plazo es ahora.<\/p>\n\n\n\n<p>Esos servidores ten\u00edan que salir de producci\u00f3n en alg\u00fan momento, as\u00ed que este plazo tambi\u00e9n puede servir de lecci\u00f3n. Todo lo que entra en tu centro de datos necesita un calendario de salida. El hardware que se instala y se olvida es cosa del pasado.&nbsp;<\/p>","protected":false},"excerpt":{"rendered":"<p><span class=\"span-reading-time rt-reading-time\" style=\"display: block;\"><span class=\"rt-label rt-prefix\">Reading Time: <\/span> <span class=\"rt-time\"> 6<\/span> <span class=\"rt-label rt-postfix\">minutes<\/span><\/span>Imagine you\u2019re building a jenga tower, then you suddenly need to remove all the lowest blocks. Data centers around the world will face this dilemma because of a new Microsoft policy.&nbsp; Starting with the April 2026 Windows update, Microsoft is removing default trust for all kernel drivers signed under its deprecated cross-signed root program. This [&hellip;]<\/p>\n","protected":false},"author":9,"featured_media":77832,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"episode_type":"","audio_file":"","podmotor_file_id":"","podmotor_episode_id":"","cover_image":"","cover_image_id":"","duration":"","filesize":"","filesize_raw":"","date_recorded":"","explicit":"","block":"","itunes_episode_number":"","itunes_title":"","itunes_season_number":"","itunes_episode_type":"","footnotes":""},"categories":[43],"tags":[],"class_list":["post-77831","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-data-center"],"acf":[],"_links":{"self":[{"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/posts\/77831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/comments?post=77831"}],"version-history":[{"count":0,"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/posts\/77831\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/media\/77832"}],"wp:attachment":[{"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/media?parent=77831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/categories?post=77831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exittechnologies.com\/es\/wp-json\/wp\/v2\/tags?post=77831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}