Desde siempre, Windows ha incluido un protocolo conocido como SMB. A grandes rasgos, este protocolo es el que nos permite crear una red local y conectarnos a otros ordenadores dentro de la LAN para compartir archivos y recursos. Incluso, si configuramos el router, podemos hacerlo desde Internet. Pero este protocolo, aunque útil y sencillo, también es peligroso. Si remontamos años atrás, un fallo de seguridad en él fue el responsable del ataque de ransomware masivo, WannaCry. Y este es solo uno de los muchos casos similares.
Desde hace tiempo, SMB va arrastrando una serie de fallos, o, mejor dicho, debilidades, que pueden aprovecharse para poner en jaque la seguridad de los usuarios. Dos de los fallos más graves son:
- Límite bajo en los ataques de fuerza bruta. Cualquiera puede probar 90.000 contraseñas en 5 minutos (300 por segundo) para lograr entrar a nuestro PC.
- El protocolo SMB1 sigue activo en muchos PCs, y es una versión muy obsoleta y vulnerable.
-Windows 11 mejora la seguridad de SMB
Lo primero que ha hecho Microsoft ha sido deshabilitar por defecto el protocolo SMB 1.0 a la mayoría de los usuarios que aún lo siguen utilizando. Algunos usuarios, sobre todo los que han hecho instalaciones limpias del sistema, ya lo tenían deshabilitados, pero el número de usuarios con este protocolo habilitado por defecto aún era demasiado elevado.
A partir de ahora, una vez instalada la nueva versión del sistema operativo, SMBv1 estará deshabilitado por defecto en todas las ediciones de Windows, incluida en la Home. Nadie debería tener problemas al ser un protocolo tan antiguo, pero, si los tenemos, podremos volver a habilitar el protocolo (algo no recomendado).
La segunda mejora de seguridad es que, a partir de ahora, cada vez que realicemos un intento de inicio de sesión fallido, el servidor tardará 2 segundos en aceptar un nuevo inicio. Esto significa que, para probar las 90.000 contraseñas que se probaban antes en 5 minutos, ahora llevará más de 50 horas. Los usuarios empresariales deben configurar mejor Kerberos, un sistema de autenticación adicional, que se sitúa antes de SMB, y que refuerza mucho la seguridad.
Por último, ya para usuarios avanzados, SMB ahora es compatible con el protocolo de red QUIC, lo que nos va a permitir aprovecharnos de las mejoras de seguridad de HTTP/3 y TLS 1.3 para conectarnos de forma segura a nuestro PC a través de una especie de VPN.