Microsoft Secure Future Iniciative (SFI): redoble de tambores
Introducción
Muchos de nuestros lectores (al menos los que pintan ya alguna cana) recordarán el famoso correo de Bill Gates a todos los empleados de Microsoft, allá por 2002, priorizando la seguridad sobre cualquier otra característica en el seno del gigante tecnológico de Seattle.
Aquel correo titulado “Trustworthy Computing” supuso un cambio de paradigma, priorizando un desarrollo seguro a nivel de toda la compañía y cambiando la visión, más o menos extendida, entre los usuarios de que Microsoft de que su software contenía muchos fallos y problemas de diseño que lo hacían inestable.
Han pasado más de 20 años… pero de nuevo Microsoft se ha vuelto a ver obligado a realizar una comunicación similar a través de CEO Satya Nadella tras una serie de incidentes de alto perfil que de nuevo han afectado a la reputación de Microsoft y cuestionado su cultura y postura de seguridad por parte de muchos expertos de ciberseguridad a nivel global.
En este artículo repasaremos los incidentes que han dado lugar a este nuevo redoble de tambores de seguridad en Microsoft, de cómo esto puede afectar al mantenimiento de sistemas legacy (una política muy enraizada en la cultura de Microsoft) y los puntos clave, bajo nuestro punto de vista, de este nuevo comunicado.
¿Qué es Microsoft SFI – Secure Future Iniciative?
En noviembre de 2023 Microsoft lanzó la iniciativa de seguridad a futuro, para prepararse para la creciente escala y el alto impacto de los ciberataques. SFI reúne todas las partes de Microsoft para avanzar en la protección de la ciberseguridad en toda la empresa y sus productos.
En un artículo publicado este mes de mayo, se detalla la aceleración y extensión del SFI dentro de la compañía tras las recomendaciones recibidas por el comité de ciberseguridad del departamento de estado americano. En la imagen a continuación tenemos u breve resumen de esta nueva vuelta de tuerca.

El plan SFI se asienta sobre estos tres principios de seguridad:
- Seguro por diseño: La seguridad es lo primero al diseñar cualquier producto o servicio.
- Seguro por defecto: Las protecciones de seguridad están habilitadas y aplicadas por defecto, no requieren esfuerzo adicional y no son opcionales.
- Operaciones seguras: Los controles de seguridad y el monitoreo se mejorarán continuamente para enfrentar las amenazas actuales y futuras.
Su impacto se resume, de manera sencilla, en esta poderosa frase que repite el propio Nadella en su correo a sus más de 200.000 empleados:
Estamos haciendo de la seguridad nuestra principal prioridad en Microsoft, por encima de todo lo demás.
Respuesta a los recientes ataques sufridos por Microsoft
Es evidente que esta aceleración del plan SFI responda a una serie de incidentes de alto impacto sufridos por Microsoft en el pasado reciente.
- 2021: Varios atacantes se centraron en los servidores de Microsoft Exchange con exploits zeroday a principios de 2021, lo que les permitió acceder a cuentas de correo electrónico e instalar malware en servidores alojados por varias empresas.
- 2023: un grupo de atacantes chinos, conocidos como Storm-0588, accedieron a correos electrónicos del gobierno de EE. UU. gracias a un exploit en la nube de Microsoft.
- 2024: Recientemente, los mismos atacantes detrás del incidente de SolarWinds, conocidos como Midnight Blizzard, pudieron espiar las cuentas de correo electrónico de algunos miembros del equipo de liderazgo senior de Microsoft el año pasado e incluso robar código fuente a principios de 2024.
Soporte de sistemas heredados vs Seguridad
Dentro del interesante correo del CEO de Microsoft (del que obviamente recomendamos su lectura a aquellos interesados en profundizar en esta temática), rescatamos una frase que puede derivar en cambios significativos en la cultura y política de Microsoft hasta la fecha.
En algunos casos, esto significará priorizar la seguridad por encima de otras cosas que hacemos, como lanzar nuevas funciones o proporcionar soporte continuo para sistemas heredados.
De sobra es conocido para la industria el esfuerzo de Microsoft por dar soporte a sistemas legacy. Algo a lo que muchos de sus competidores no tratan con tanta cortesía y a menudo entorpece, o al menos ralentiza, la capacidad de entrega de Software por parte de Microsoft. ¿Quizá estemos asistiendo a un cambio de rumbo en ese sentido?
¿Cómo asegurar la aplicación del plan SFI? – ¿La cartera?
Dentro de los puntos de acción para asegurar la correcta aplicación del nuevo enfoque de priorización de la seguridad que menciona Nadella llama la atención esta frase:
Además, fomentaremos la responsabilidad basando parte de la compensación del equipo de liderazgo senior en nuestro progreso hacia el cumplimiento de nuestros planes e hitos de seguridad.
Es decir, que más allá de los pilares del plan descritos en su artículo, Microsoft está dispuesto a hacer una fuerte apuesta por asegurar su correcta ejecución a través de una modulación de la compensación del liderazgo de Microsoft en función de los avances e hitos del plan SFI.
Bajo nuestro punto de vista, sin duda esta afirmación generará interés interno en la compañía… ”con el pan no se juega”.
Conclusiones
Microsoft tiene claro que la confianza es un pilar fundamental para sus clientes y con este nuevo correo a todos sus empleados, “refresca” su importancia y foco tras aquel famoso correo de Bill Gates a principios del siglo XXI.
La confianza es una característica muy poco agradecida, como la musculatura, se gana gramo a gramo pero se pierde de forma rápida pronunciada si se erosiona o deja de lado.
Que Microsoft haya adoptado la seguridad como una prioridad principal de nuevo es una gran noticia para los clientes, ya que la medida impulsará la competencia entre las empresas sobre cuál de ellas es más segura.
¿Veremos en un futuro cercano que las empresas promocionen de forma directa su seguridad como una ventaja en futuras presentaciones de resultados? Quizá sea mucho soñar… pero como dijo en 2020 el artista Alejandro Sanz, que participa en el concierto solidario del centenario de Telefónica, “soñar es gratis y no hacerlo sale carísimo”.
⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse