Descripción de las amenazas de seguridad y contramedidas para Office 2013
Se aplica a: Office client
Última modificación del tema: 2016-12-16
Resumen: describe cómo las características de seguridad de Office 2013 pueden mitigar los riesgos y amenazas a los activos, documentos y procesos Office de su organización.
Público: profesionales de TI
Una configuración de escritorio segura es una parte importante de la estrategia de defensa en profundidad de cualquier organización. Este artículo comienza con una breve introducción a los diversos riesgos de seguridad y vulnerabilidades generales de los documentos y activos empresariales de su organización y, a continuación, se describen las características de seguridad que están disponibles en Office 2010 y Office 2013, y que pueden ayudar a mitigar estas amenazas. Asegúrese de revisar esta configuración para determinar qué características de seguridad predeterminadas y opcionales de Office debería utilizar su organización.
|
Este artículo forma parte de Guía de seguridad de Office 2013. Use esta guía como punto de partida para acceder a artículos, descargas, pósters y vídeos de utilidad para evaluar la seguridad de Office 2013. ¿Busca información sobre la seguridad de las distintas aplicaciones de Office 2013? La encontrará si busca “seguridad 2013” en Office.com. |
.jpg "Flecha del mapa de ruta para consulta sobre la seguridad de Office.")
En este artículo:
Riesgos de seguridad de la información
Amenazas para las aplicaciones de productividad de escritorio
Factores atenuantes de seguridad predeterminada en Office 2013
Riesgos de seguridad de la información
La mayoría de los profesionales de TI y expertos en seguridad de TI clasifican los riesgos de seguridad de la información en tres amplias categorías:
Riesgos de confidencialidad Estos riesgos representan una amenaza para la propiedad intelectual de una organización. Proceden de usuarios no autorizados y código malintencionado que pueden intentar acceder a lo que se ha dicho, escrito y creado en una organización.
Riesgos de integridad Estos riesgos representan una amenaza para los recursos de su empresa. Proceden de usuarios no autorizados y código malintencionado que pueden intentar dañar los datos empresariales de los que depende su organización. Los riesgos de integridad ponen en peligro los activos empresariales que contienen información importante para una organización, como servidores de bases de datos, archivos de datos y servidores de correo electrónico.
Riesgos de disponibilidad Estos riesgos representan una amenaza para los procesos empresariales. Proceden de usuarios no autorizados y código malintencionado que pueden intentar alterar el modo en que usted lleva a cabo su negocio y en que los usuarios completan su trabajo. Los riesgos de disponibilidad pueden afectar igualmente a procesos de inteligencia de empresa, características y capacidades de las aplicaciones y procesos de flujo de trabajo de documentos.
Para asegurarse de que su organización está protegida contra estas tres categorías de riesgos, se recomienda una estrategia de seguridad de defensa en profundidad. Esta estrategia debería estar formada por varios niveles superpuestos de defensa contra usuarios no autorizados y código malintencionado. Estos niveles suelen ser los siguientes:
Protección de la red perimetral, como los firewall y los servidores proxy.
Medidas de seguridad física, como centros de datos físicamente seguros y salas de servidores.
Herramientas de seguridad de escritorio, como firewall personales, programas antivirus y detección de spyware.
De forma predeterminada, el modelo de seguridad de Office 2013 ayuda a una organización a mitigar estos tres tipos de riesgos. Sin embargo, cada organización tiene unas capacidades de infraestructura, demandas de productividad y requisitos de seguridad de escritorio diferentes. Para determinar de forma exacta cómo su organización puede mitigar estos riesgos empresariales, deberá evaluar las amenazas y vulnerabilidades que explotan estos riesgos.
Amenazas para las aplicaciones de productividad de escritorio
El modelo de seguridad de Office 2013, así como de Office 2010, ayuda a mitigar cinco tipos de amenazas que afectan al software de productividad. En cada uno de estos tipos de amenaza se incluyen las vulnerabilidades que pueden sufrir explotación mediante distintos tipos de ataques de seguridad. En la siguiente ilustración se muestran las amenazas de seguridad y ejemplos de los agentes de amenaza más habituales.
.gif "Tipos de amenazas de seguridad")
La mayoría de organizaciones se enfrenta al riesgo potencial de alguna de estas amenazas de seguridad. Sin embargo, la mayoría de organizaciones también tratan con combinaciones exclusivas de vulnerabilidades y posibles ataques a la seguridad. Por tanto, es importante comprender los riesgos y desarrollar minuciosamente un plan atenuante que se adapte a su organización.
Factores atenuantes de seguridad predeterminada en Office 2013
Office 2013 proporciona numerosas contramedidas que ayudan a mitigar las amenazas contra activos y procesos de su empresa. Una contramedida es una característica o control de seguridad que atenúa los efectos de una o diversas amenazas de seguridad. Normalmente, se puede cambiar el comportamiento de las contramedidas configurando los valores en la Herramienta de personalización (OCT) de Office, o a través de la Directiva de grupo, utilizando las Plantillas administrativas de Office 2013.
Muchas de las contramedidas de Office 2013 mitigan un determinado tipo de amenaza en una aplicación determinada. Por ejemplo, InfoPath 2013 incluye una contramedida que advierte a los usuarios sobre la posible presencia de balizas web en los formularios. Puede cambiar el comportamiento de esta contramedida si configura el valor Interfaz de usuario de señalización para formularios abiertos en InfoPath en la OCT o mediante la directiva de grupo.
Otras contramedidas mitigan tipos más amplios de amenazas que son comunes a varias aplicaciones. Por ejemplo, la característica Vista protegida permite a los usuarios ver el contenido de documentos, presentaciones y libros que no son de confianza, sin habilitar contenido no seguro o código malintencionado que pueda dañar el equipo. Excel 2013, PowerPoint 2013, Word 2013 y Outlook 2013 usan esta contramedida cuando se obtiene una vista previa de los datos adjuntos para Excel 2013, PowerPoint 2013, Visio 2013 y Word 2013. Su comportamiento se puede cambiar mediante la configuración de varias opciones en la OCT o a través de la Política de grupo. Para obtener más información, consulte el artículo Planear la configuración de la vista protegida en Office 2013.
En las secciones siguientes se describen las contramedidas usadas con mayor frecuencia en Office 2013.
Configuración del control ActiveX en Office 2013
Puede utilizar la configuración del control ActiveX para deshabilitar los controles ActiveX y cambiar la forma en que los controles ActiveX se cargan en las aplicaciones de Office 2013. De forma predeterminada, los controles ActiveX de confianza se cargan en modo seguro con valores persistentes y no se notifica a los usuarios de su carga. Los controles ActiveX que no son de confianza se cargan de forma distinta, dependiendo de cómo éste se ha marcado y de si existe un proyecto de VBA en el archivo que se encuentra junto al control ActiveX. El comportamiento predeterminado de los controles ActiveX que no son de confianza es el siguiente:
Si se marca un control ActiveX como Seguro para la inicialización (SFI) y este está contenido en un documento que no contenga un proyecto de VBA, el control ActiveX se carga en modo seguro con valores persistentes. No aparece la Barra de mensajes y no se notifica a los usuarios sobre la presencia del control ActiveX. Todos los controles ActiveX del documento deben marcarse como SFI para que tenga lugar este comportamiento.
Si un control ActiveX marcado como UFI o SFI está incluido en un documento que también contiene un proyecto de VBA, se notificará a los usuarios en la Barra de mensajes que los controles ActiveX están deshabilitados. Sin embargo, los usuarios pueden seleccionar habilitarlos en la Barra de mensajes. Si un usuario habilita los controles ActiveX, todos los controles ActiveX (marcados como SFI y UFI) se cargarán en modo seguro con valores persistentes.
Si un control ActiveX marcado como UFI o SFI está incluido en un documento que también contiene un proyecto de VBA, se notificará a los usuarios en la Barra de mensajes que los controles ActiveX están deshabilitados. Sin embargo, los usuarios pueden seleccionar habilitarlos en la Barra de mensajes. Si un usuario habilita los controles ActiveX, todos los controles ActiveX (marcados como SFI y UFI) se cargarán en modo seguro con valores persistentes.
.gif "Importante") Importante: |
|---|
| Si se establece un bit de cierre en el registro de un control ActiveX, el control no se carga ni puede cargarse en ninguna circunstancia. No aparece la Barra de mensajes y no se notifica a los usuarios sobre la presencia del control ActiveX. Para obtener más información sobre el tema de bits de cierre, consulte el tema en tres partes del blog de TechNet Preguntas más frecuentes sobre el bit de cierre. |
Para cambiar el comportamiento predeterminado de los controles ActiveX, consultar Planeación de la configuración de seguridad para controles ActiveX para Office 2013.
Configuración de complementos en Office 2013
Puede usar la configuración de complementos para deshabilitar los complementos, exigir que los complementos estén firmados por un editor de confianza y deshabilitar las notificaciones de complementos. De forma predeterminada, se pueden ejecutar los complementos instalados y registrados sin la intervención del usuario o una advertencia. Para cambiar este comportamiento predeterminado, vea Planeación de la configuración de seguridad para complementos para Office 2013.
Controlar el acceso del usuario a las aplicaciones para Office 2013
Utilizar la Directiva de grupo o el Centro de confianza para restringir o denegar a los usuarios de su organización el acceso a las aplicaciones desde el Office Almacén o el catálogo corporativo de aplicaciones para Office. Estas aplicaciones para Office son extensiones Web que amplían las aplicaciones de cliente de Office para mejorar el contenido de Office y proporcionar nuevos tipos de contenido interactivo y funcionalidad.
Recuperación de documentos de Office 2013 después de haber perdido u olvidado la contraseña
Las precauciones de seguridad, como la protección con contraseña de un documento u hoja de cálculo, funcionan correctamente hasta que el propietario olvida la contraseña o abandona la compañía. Ahora la administración de TI puede configurar los equipos cliente de una organización para que contengan metadatos de certificado en estos documentos de Office protegidos con contraseña. Más adelante, si se pierde o se olvida la contraseña, puede utilizar la herramienta DocRecrypt para quitar o cambiar la contraseña en el documento. Consulte el artículo Quitar o restablecer contraseñas de archivos en Office 2013 para obtener información detallada.
Configuración de la firma digital en Office 2013
Puede utilizar los valores de la firma digital de la OCT para configurar el nivel de firma XAdES (Firma electrónica XML avanzada). De forma predeterminada, Office 2013 crea una XAdES-EPES (Firma electrónica de directiva explícita) . Un administrador de TI también puede restringir la firma de certificados a partir del nombre del emisor. Los administradores de TI también pueden configurar el tipo de algoritmos hash y el tamaño de las claves públicas permitidos en las firmas digitales válidas. Estas opciones se configuran en la herramienta OCT. Consulte el artículo Planear la configuración de firma digital para Office 2013 para obtener información detallada.
Configuración del contenido externo en Office 2013
Puede utilizar la configuración de contenido externo para cambiar la forma en que las aplicaciones de Office 2013 tienen acceso al contenido externo. El contenido externo es cualquier tipo de contenido al que se obtiene acceso de forma remota, como las conexiones de datos y los vínculos de libro, los hipervínculos a sitios Web y documentos y vínculos a imágenes y elementos multimedia. De manera predeterminada, cuando un usuario abre un archivo que contiene vínculos a contenido externo, en la Barra de mensajes se notifica al usuario que los vínculos están deshabilitados. Los usuarios pueden habilitar los vínculos haciendo clic o punteando en la Barra de mensajes. Se recomienda no cambiar estos valores predeterminados. Para obtener más información acerca de cómo bloquear o desbloquear el contenido externo en los documentos de Office, consulte Bloquear o desbloquear contenido externo en los documentos de Office.
Configuración de bloqueo de archivos en Office 2013
Puede utilizar la configuración de bloqueo de archivos para evitar que determinados tipos de archivo puedan abrirse o guardarse. También puede utilizar esta configuración para evitar que ciertos tipos de archivo puedan abrirse en vista protegida o hacer que ciertos tipos de archivo se abran forzosamente en vista protegida. De forma predeterminada, Excel 2013, PowerPoint 2013, y Word 2013 obligan a abrir en vista protegida varios tipos de archivo. Los usuarios no pueden abrir estos tipos de archivo para su edición. Para obtener más información, consulte Planear la configuración de bloqueo de archivos para Office 2013.
Configuración de validación de documento de Office en Office 2013
Puede utilizar la configuración de validación de archivos de Office para deshabilitar la característica de validación de archivos de Office y cambiar la forma en que la característica de validación de archivo de Office controla los archivos que no pasan la validación. También puede utilizar esta configuración para evitar que la característica de validación de archivos de Office pida a los usuarios que envíen información de validación a Microsoft. De forma predeterminada, la característica de validación de archivos de Office está habilitada. Los archivos que no pasan la validación se abren en vista protegida y los usuarios pueden editar los archivos una vez abiertos en vista protegida. Para obtener más información acerca de la configuración de validación de archivos de Office , consulte el tema Planear la configuración de Validación de documento de Office para Office 2013.
Configuración de complejidad de contraseña en Office 2013
Puede utilizar la configuración de complejidad de contraseñas para exigir una determinada longitud y complejidad de esta, en contraseñas que se utilizan con la característica Cifrar con contraseña. La configuración de complejidad de contraseña permite exigir una determinada longitud y complejidad de contraseña a nivel de dominio, si la organización ha establecido unas reglas de complejidad de contraseña mediante la directiva de grupo basada en el dominio. O bien, puede llevar a cabo la configuración a nivel local, si la organización no ha implementado una directiva de grupo para la complejidad de contraseña basada en dominio. De forma predeterminada, las aplicaciones de Office 2013 no comprueban la longitud o complejidad de la contraseña cuando un usuario cifra un archivo mediante la característica de Cifrado con contraseña. Consulte el artículo Planear la configuración de complejidad de contraseña para Office 2013 para obtener información detallada.
Opciones de privacidad en Office 2013
Puede utilizar las opciones de privacidad para evitar que el cuadro de diálogo Bienvenido a Microsoft Office 2013 aparezca la primera vez que un usuario inicie Office 2013. Este cuadro de diálogo permite a los usuarios inscribirse en varios servicios basados en Internet que ayudan a proteger y mejorar las aplicaciones de Office 2013. También puede utilizar las opciones de privacidad para habilitar los servicios basados en Internet que aparecen en el cuadro de diálogo Bienvenido a Microsoft Office 2013. De forma predeterminada, el cuadro de diálogo Bienvenido a Microsoft Office 2013 aparece cuando un usuario inicia Office 2013 por primera vez, y los usuarios pueden habilitar los servicios basados en Internet recomendados, habilitar un subconjunto de estos servicios o no realizar ningún cambio en la configuración. Si un usuario no realiza ningún cambio en la configuración, se aplicará la siguiente configuración predeterminada:
Las aplicaciones de Office 2013 no descargan los pequeños programas que ayudan a diagnosticar problemas y no se envía la información de los mensajes de error a Microsoft.
Los usuarios no se suscriben al Programa para la mejora de la experiencia del usuario.
Para cambiar este comportamiento predeterminado o suprimir el cuadro de diálogo Bienvenido a Microsoft Office 2013, consulte Planificar opciones de privacidad de Office 2013.
Configuración de la vista protegida en Office 2013
Puede utilizar la configuración de la vista protegida para evitar la apertura de archivos en vista protegida y para forzar la apertura de archivos en vista protegida. También puede especificar si desea que las secuencias de comandos y programas que se ejecutan en la sesión 0 se abran en vista protegida. De forma predeterminada, la vista protegida está activada y todos los archivos no confiables se abrirán en vista protegida. Las secuencias de comandos y programas que se ejecutan en la sesión 0 no se abren en vista protegida.
Además, la vista protegida incorpora mejoras como una nueva tecnología de "espacio aislado" cuando Office 2013 se utiliza con el sistema operativo Windows 8. Otra de las mejoras que incorpora la vista protegida es que ahora funciona en escenarios RunAs o remoteApp en Windows 8.
Para más información sobre la configuración de la Vista protegida, consulte Planear la configuración de la vista protegida en Office 2013.
Nota
También se puede usar la configuración de Bloqueo de archivos para impedir o forzar que determinados tipos de documentos se abran en la Vista protegida.
Configuración de documentos de confianza en Office 2013
Puede utilizar la configuración de documentos de confianza para deshabilitar la característica Documentos de confianza y evitar que los usuarios confíen en documentos que están almacenados en recursos compartidos de red. Los documentos de confianza pasan a través de la mayoría de comprobaciones de seguridad una vez abiertos y todo el contenido activo queda habilitado. Tenga en cuenta que la comprobación mediante antivirus y mediante bit de cierre de ActiveX son las dos comprobaciones que no pueden evitar. De forma predeterminada, la característica Documentos de confianza está habilitada, lo que significa que los usuarios pueden designar archivos seguros como documentos de confianza. Además, los usuarios pueden designar archivos en recursos compartidos de red como documentos de confianza. Se recomienda no cambiar estos valores predeterminados.
Configuración de ubicaciones de confianza en Office 2013
Puede utilizar la configuración de ubicaciones de confianza para designar ubicaciones seguras para los archivos. Los archivos que se almacenan en ubicaciones de confianza pasan la mayoría de comprobaciones de seguridad al abrirlos y todo el contenido del archivo queda habilitado (la comprobación del antivirus y la del bit de cierre de ActiveX son las dos que no pueden evitar). De forma predeterminada, se designan varias ubicaciones como ubicaciones de confianza. Además, las ubicaciones de confianza que se encuentran en una red, como las carpetas compartidas, están deshabilitadas. Para cambiar este comportamiento predeterminado y saber cuáles son las ubicaciones designadas como ubicaciones de confianza de forma predeterminada, consulte Planear y configurar las opciones de ubicaciones de confianza para Office 2013.
Configuración de los editores de confianza en Office 2013
La configuración de editores de confianza sirve para confirmar que determinados tipos de contenido activo son seguros, como por ejemplo, controles ActiveX, complementos y macros de VBA. Cuando un editor firma contenido activo con un certificado digital y se agrega el certificado digital de dicho editor a la lista de editores de confianza, el contenido activo se considera que es de confianza. La lista de editores de confianza no contiene ningún editor de manera predeterminada. Debe agregarlos a esta lista para implementar esta característica de seguridad. Para implementar la característica Editores de confianza, vea Planear y configurar las opciones de editores de confianza para Office 2013.
Configuración de macros de VBA en Office 2013
La configuración de macros de VBA sirve para cambiar la forma en que las macros de VBA se comportan, deshabilitar VBA y cambiar el comportamiento de estas en las aplicaciones que se inician mediante programación. De forma predeterminada, VBA está habilitado y las macros de VBA pueden ejecutarse sin necesidad de notificación. Las macros de VBA de confianza incluyen macros de VBA firmadas por un editor de confianza, almacenadas en un documento de confianza o almacenadas en un documento que se encuentra en una ubicación de confianza. Las macros de VBA que no son de confianza están deshabilitadas, pero el usuario puede habilitarlas a través de una notificación que se encuentra en la Barra de mensajes. Además, las macros de VBA pueden ejecutarse en aplicaciones que se inician mediante programación.
Para cambiar este comportamiento predeterminado, consulte Planificar configuración de seguridad para macros de VBA de Office 2013.
Consulte también
Guía de seguridad de Office 2013
Introducción a la seguridad de Office 2013
Planear la configuración de bloqueo de archivos para Office 2013
Planificar opciones de privacidad de Office 2013
Planear la configuración de Validación de documento de Office para Office 2013
Planear la configuración de la vista protegida en Office 2013
Planeación de la configuración de seguridad para complementos para Office 2013
Planeación de la configuración de seguridad para controles ActiveX para Office 2013
Planificar configuración de seguridad para macros de VBA de Office 2013
Planear y configurar las opciones de ubicaciones de confianza para Office 2013
Planear y configurar las opciones de editores de confianza para Office 2013
Introducción a la configuración de la protección y seguridad para Outlook 2013
Configurar el correo electrónico no deseado en Outlook 2013