AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Microsoft habilita la eliminación de apps preinstaladas en Windows mediante nuevas políticas de gestión

admin

Introducción

En un movimiento largamente esperado por la comunidad de administradores de sistemas y profesionales de la ciberseguridad, Microsoft ha anunciado una actualización significativa en la gestión de aplicaciones preinstaladas —conocidas como in-box apps— en sistemas Windows. A través de una nueva política de administración, los responsables de IT pueden ahora eliminar de forma centralizada y controlada las apps distribuidas por defecto a través de la Microsoft Store. Este cambio tiene implicaciones directas en la reducción de la superficie de ataque, el cumplimiento normativo y la optimización de recursos en entornos corporativos.

Contexto del Incidente o Vulnerabilidad

Durante años, los sistemas Windows han venido con un conjunto de aplicaciones estándar instaladas por defecto, muchas de ellas provenientes de la Microsoft Store. Estas apps, aunque útiles en entornos domésticos, suelen ser innecesarias o incluso indeseadas en contextos empresariales y gubernamentales, donde la reducción del bloatware y la minimización de potenciales vectores de ataque es prioritaria.

Hasta ahora, la eliminación masiva y automatizada de estas aplicaciones resultaba compleja e incluso inviable, obligando a los equipos de IT a recurrir a scripts, herramientas de terceros o procedimientos manuales con resultados dispares. Esta situación complicaba el cumplimiento de normativas como GDPR o NIS2, especialmente en sectores regulados.

Detalles Técnicos

La nueva política de gestión de aplicaciones, disponible desde la actualización de mayo de 2024 para Windows 11 (versiones 22H2 y 23H2) y Windows 10 (versión 22H2), permite a los administradores eliminar apps preinstaladas mediante Microsoft Intune, Group Policy o PowerShell. La funcionalidad se basa en la directiva «Remove pre-installed Microsoft Store apps», que puede aplicarse tanto a nivel de dispositivo como de usuario.

Desde un enfoque técnico, la política actúa sobre el catálogo de apps UWP (Universal Windows Platform), identificando cada aplicación por su Package Family Name (PFN) y permitiendo su desinstalación persistente incluso tras actualizaciones de sistema o reincorporación a un dominio. Las aplicaciones cubiertas incluyen Xbox, Feedback Hub, OneNote, y otras típicas en instalaciones fresh de Windows.

Para la explotación de vulnerabilidades asociadas a apps preinstaladas, los atacantes suelen utilizar técnicas identificadas en el framework MITRE ATT&CK, como T1218 (Signed Binary Proxy Execution), T1087 (Account Discovery) o T1543 (Create or Modify System Process). La presencia de aplicaciones innecesarias expande la superficie expuesta a estos vectores.

En cuanto a IoC (Indicadores de Compromiso), los analistas SOC pueden monitorizar la creación de procesos sospechosos relacionados con apps preinstaladas, conexiones de red inesperadas o modificaciones en el registro asociadas a estos paquetes.

Impacto y Riesgos

La imposibilidad de desinstalar apps preinstaladas suponía, hasta ahora, un riesgo no trivial. Según un estudio reciente de Ponemon Institute, el 42% de las brechas de seguridad en endpoints corporativos tiene su origen en software no gestionado o innecesario. Además, varias vulnerabilidades (CVE-2022-26904, CVE-2023-29336, por ejemplo) han afectado históricamente a componentes de apps UWP, facilitando la escalada de privilegios o la ejecución remota de código.

El nuevo enfoque reduce el riesgo de explotación por parte de malware que aproveche la existencia de software preinstalado con permisos elevados o conectividad a Internet. Además, permite a las organizaciones adecuarse mejor a la minimización de datos personales y a la gestión de activos TI, dos requisitos clave bajo GDPR y NIS2.

Medidas de Mitigación y Recomendaciones

Se recomienda a los departamentos de seguridad y operaciones:

– Auditar el inventario de aplicaciones preinstaladas usando herramientas como Microsoft Defender for Endpoint, PowerShell (Get-AppxPackage), o soluciones EDR.
– Aplicar la nueva política de eliminación desde Intune o Group Policy, priorizando dispositivos críticos y cuentas con acceso privilegiado.
– Monitorizar logs de eventos relacionados con la instalación/desinstalación de apps (event IDs 11707, 11708 en Windows Event Viewer).
– Establecer procedimientos automáticos para la revisión periódica de apps reincorporadas tras actualizaciones.
– Actualizar la documentación de cumplimiento normativo, reflejando la reducción de software innecesario conforme a GDPR (minimización de datos) y NIS2 (gestión de riesgos TI).

Opinión de Expertos

Varios CISOs y responsables de seguridad han valorado positivamente esta medida. Según David Barroso, CEO de CounterCraft, “la gestión centralizada de aplicaciones preinstaladas era una deuda pendiente en la administración de endpoints Windows. Esta política permite reducir la superficie de ataque y facilita la alineación con los controles de seguridad recomendados por ENISA y NIST”.

Por su parte, Marta González, analista de amenazas en S21sec, destaca que “la automatización de la eliminación de apps facilita la respuesta rápida ante incidentes y la aplicación de golden images seguras en el despliegue de estaciones de trabajo”.

Implicaciones para Empresas y Usuarios

Para las empresas, el principal beneficio reside en el refuerzo de la seguridad y la simplificación de la gestión de activos. La eliminación de apps innecesarias reduce el riesgo de shadow IT y facilita la detección de anomalías. En términos de cumplimiento, la medida ayuda a demostrar diligencia razonable ante auditorías y requerimientos regulatorios.

Para los usuarios finales, el impacto es la reducción de distracciones y potenciales vectores de phishing asociados a apps “de consumo” en entornos profesionales. Sin embargo, la decisión de qué aplicaciones eliminar debe estar alineada con las necesidades del negocio y la experiencia de usuario deseada.

Conclusiones

La posibilidad de eliminar de manera centralizada las apps preinstaladas en Windows representa un avance significativo en la seguridad y la gobernanza de los entornos corporativos. Microsoft responde así a una petición histórica del sector, facilitando la reducción de la superficie de ataque, el cumplimiento normativo y la eficiencia operativa. Se recomienda a todas las organizaciones revisar sus políticas de gestión de aplicaciones y aprovechar esta nueva funcionalidad en su estrategia de defensa en profundidad.

(Fuente: www.bleepingcomputer.com)