Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Microsoft está reforzando el sistema de inicio de sesión de su plataforma en la nube para que a los piratas informáticos les resulte más difícil secuestrar las cuentas de los usuarios.
A partir del próximo octubre, la plataforma de gestión de identidad en la nube Entra ID de Microsoft bloqueará la ejecución de scripts durante el proceso de inicio de sesión a menos que se originen en «dominios confiables de Microsoft». la compañía dijo el lunes.
«Esta es una medida proactiva que protege aún más a sus usuarios contra los riesgos de seguridad actuales, como los scripts entre sitios (XSS), donde los atacantes pueden insertar código malicioso en sitios web», escribió Ankur Patel, gerente de producto de Entra ID, en una publicación de blog.
El cambio es parte de la Iniciativa Futuro Seguro de Microsoft, que la compañía anunció después de que se expusieran una serie de ciberataques en estados-nación. debilidades sistémicas en la postura de seguridad de Microsoft.
Microsoft dijo que haría cumplir las restricciones de script mediante una modificación a el encabezado de seguridad del navegador de la Política de seguridad de contenidoun fragmento de código que indica a los navegadores web cómo manejar el contenido de forma segura.
La actualización no se aplicará a Entra External ID, que maneja la autenticación en aplicaciones distintas a los navegadores web.
Microsoft alentó a las organizaciones a probar sus procesos de inicio de sesión antes del cambio «para garantizar una implementación sin problemas».
falla persistente
Los desarrolladores de software han comprendido los riesgos de los ataques de secuencias de comandos entre sitios durante décadas, pero estos ataques siguen siendo una herramienta poderosa para los piratas informáticos porque las vulnerabilidades subyacentes siguen siendo generalizadas, incluso en aplicaciones modernas desarrolladas con las últimas herramientas.
«En Microsoft, todavía recibimos un flujo constante de informes XSS en todos nuestros servicios, desde portales heredados hasta aplicaciones de una sola página recientemente implementadas», dijo la compañía en una publicación de blog de septiembre. El Centro de respuesta de seguridad de Microsoft mitigó casi 1000 vulnerabilidades XSS entre enero de 2024 y mediados de 2025, según la publicación.
«A pesar de los avances en la seguridad del navegador, las políticas de seguridad de contenido (CSP) y las bibliotecas seguras por defecto», dijo Microsoft, «XSS sigue siendo un vector de amenaza persistente con consecuencias en el mundo real».
Fuente