Introducción a la seguridad de Office 2013

  • Artículo

 

Se aplica a: Office 2013, Office 365 ProPlus

Última modificación del tema: 2016-12-16

Resumen: descripción de las nuevas características de seguridad de Office 2013: autenticación, identidad, catálogo y extensión de aplicaciones web, clave de custodia, etc.

Audiencia: profesionales de TI

Office 2013 incluye nuevas funciones de autenticación. Ahora los usuarios pueden crear un perfil, iniciar sesión una sola vez y trabajar sin problemas con archivos de Office, así como acceder a ellos a nivel local y en la nube, sin tener que volver a identificarse. Los usuarios pueden conectar varios servicios, como una cuenta de OneDrive para la Empresa de la organización o una cuenta de OneDrive personal de un usuario, a su perfil de Office. Luego tendrán acceso instantáneo a todos sus archivos y al almacenamiento asociado. Los usuarios se autentican una vez para todas las aplicaciones de Office, incluido OneDrive. Esto es así independientemente del proveedor de identidad, ya sea la cuenta de Microsoft o el identificador de usuario que use para acceder a Office 365 para profesionales y pequeñas empresas, o del protocolo de autenticación que use la aplicación. Los protocolos incluyen, por ejemplo, la autenticación OAuth, la autenticación basada en formularios, la autenticación basada en notificaciones y la autenticación integrada de Windows. Para el usuario, todo funciona. Para el profesional de TI, los servicios conectados se pueden administrar fácilmente.

Flecha del mapa de ruta para consulta sobre la seguridad de Office.

Este artículo forma parte de Guía de seguridad de Office 2013. Use esta guía como punto de partida para acceder a artículos, descargas, pósters y vídeos de utilidad para evaluar la seguridad de Office 2013.

¿Busca información sobre la seguridad de las distintas aplicaciones de Office 2013? Para encontrarla, busque “seguridad 2013” en Office.com.

Autenticación e identidad en Office 2013

La protección se inicia con la autenticación y la identidad. En esta versión, Office ha hecho un cambio fundamental de la identidad y la autenticación centradas en el equipo a la identidad y la autenticación centradas en el usuario. Este cambio permite que el contenido, los recursos, las listas de elementos utilizados recientemente, la configuración, los vínculos a comunidades y la personalización se transmitan perfectamente con los usuarios cuando pasan del escritorio a la tableta, al smartphone o a un equipo compartido o público. Para el administrador de TI, las trazas de auditoría del usuario y el cumplimiento también están separados por identidad.

En este nuevo entorno, los usuarios inician sesión en Office 365 con una de las siguientes identidades:

  • El identificador de cuenta profesional o educativa, administrada por Microsoft: para el uso empresarial de Office 365, donde los identificadores de usuarios de empresas y de organizaciones más pequeñas hospedados por Microsoft se almacenan en la nube. Este escenario también admite varios identificadores de usuario vinculados y el inicio de sesión único.

    —o—

    El identificador de usuario federado y propiedad de la organización:  para el uso empresarial de Office 365, donde los identificadores de usuarios de empresas se almacenan localmente.

  • La cuenta Microsoft: normalmente, los usuarios usan esta identidad para iniciar sesión en Office 365 con fines no empresariales. Los usuarios pueden tener varios Windows Live ID que estén vinculados e iniciar sesión una sola vez, autenticarse y cambiar de una cuenta Microsoft a otra durante la misma sesión. No tienen que volverse a autenticarse.

Los administradores de TI también pueden configurar los usuarios para que utilicen la autenticación multifactor para Office 365. La autenticación multifactor aumenta la seguridad de los usuarios más allá de una simple contraseña. Con la autenticación multifactor para Office 365, los usuarios deben acusar recibo de una llamada de teléfono, mensaje de texto o notificación de una aplicación en su smartphone después de escribir correctamente su contraseña. El usuario puede iniciar sesión únicamente después de satisfacer este segundo factor de autenticación. Para obtener los pasos de configuración, vea cómo configurar la autenticación multifactor para Office 365.

Desde el punto de vista del administrador de TI, Active Directory está en el centro de este nuevo paradigma. Los administradores de TI pueden hacer lo siguiente:

  • Controlar las directivas de contraseña de usuario en dispositivos y servicios

  • Usar directivas de grupo para configurar el entorno operativo

  • Administrar con Forefront Identity Manager (FIM) o Servicios de federación de Active Directory (AD FS)

La nube hace posible todo lo siguiente:

  • Las cuentas de usuario se pueden administrar en la nube usando un portal web: la configuración es simple. Puede aprovisionar a los usuarios manualmente para un mayor control. No se requieren servidores. Microsoft lo administra todo por usted.

  • Los directorios locales se sincronizan con Active Directory en el portal web: el aprovisionamiento puede automatizarse y coexistir con las cuentas administradas en la nube.

  • Los usuarios pueden usar el inicio de sesión único con AD FS: el aprovisionamiento se puede automatizar y es compatible con la autenticación multifactor.

Como puede ver en este diagrama, usted está al cargo como administrador de profesionales de TI. Si el suyo es un negocio pequeño, puede usar servicios de identidad en Microsoft Azure para establecer, administrar y autenticar a los usuarios. Las cuentas de usuario se administran en la nube mediante un portal web y Azure Active Directory en la nube de Microsoft. No se requieren servidores y Microsoft se encarga de administrarlo todo. Cuando la identidad y la autenticación se controlan por completo en la nube sin afinidad con ningún almacén local de Active Directory, los administradores de TI pueden seguir aprovisionando o desaprovisionando los identificadores y el acceso de usuario a servicios a través del portal o de cmdlets de PowerShell.

En el paso 1, los profesionales de TI se conectan con el Centro de administración de Office 365 de acceso web, en la nube de Microsoft. Solicitan identificadores de organización nuevos o administran los existentes.

En el paso 2, estas solicitudes se pasan a su Azure AD.

En el paso 3, si se trata de una solicitud de cambio, el cambio se realiza y se refleja en el Centro de administración de Office 365. Si se trata de una solicitud de identificador nuevo, se emite una solicitud de un identificador nuevo a la plataforma de aprovisionamiento de identificadores.

En el paso 4, los identificadores nuevos y los cambios realizados en los identificadores existentes se reflejan en el Centro de administración de Office 365.

Identidad y autenticación de Office 365 administrada completamente en la nube, sin interacción local de Active Directory.

Identidad y autenticación administradas en la nube

En el diagrama siguiente, una vez haya configurado los usuarios en el Centro de administración de Office 365 en la nube de Microsoft, puede iniciar sesión desde cualquier dispositivo. Y Office 365 ProPlus puede instalarse en hasta cinco de sus dispositivos.

Después de haber aprovisionado los usuarios (consulte el diagrama anterior), en el paso 1, inician sesión en Office con una de las siguientes identidades:

  • Su cuenta profesional o educativa (por ejemplo, mike@contoso.onmicrosoft.com o mike@contoso.com)

  • Su cuenta Microsoft personal (por ejemplo, mike@outlook.com)

En el paso 2, Microsoft decide dónde quiere realizar la autenticación, y los archivos y la configuración de Office que quiere usar según de la identidad que ha elegido. Esta identidad se asocia a un Azure AD y la identidad de su correo electrónico y la contraseña asociada se pasan al servidor de Azure AD adecuado para la autenticación.

En el paso 3, se prueba la solicitud y después se concede; las aplicaciones de Office se transmiten al dispositivo y están listas para usar. Los documentos que hayan guardado en OneDrive para la Empresa y que estén asociados con esa identidad están disponibles para verlos, editarlos y guardarlos localmente en sus dispositivos o de nuevo en OneDrive para la Empresa.

Aprovisionamiento de identidades rellenada con el servicio de sincronización de directorios de Azure. La autenticación se administra en la nube.

Experiencia del usuario iniciando sesión en la red.

En este diagrama mostramos un escenario con una implementación híbrida en la nube y local. La herramienta de sincronización de Azure AD de la nube de Microsoft mantiene sincronizadas las identidades de usuario de la organización en la nube y locales.

En el paso 1, instale la herramienta de sincronización de Azure AD. Esta herramienta ayuda a mantener Azure AD actualizado con los últimos cambios realizados en su directorio local.

En los pasos 2 y 3, cree nuevos usuarios en su Active Directory local. La herramienta de sincronización de Azure AD comprobará periódicamente las nuevas identidades que haya creado el servidor de Active Directory local. Después, aprovisiona estas identidades en Azure AD, vincula las identidades locales y en la nube entre sí, y las hace visibles en el Centro de administración de Office 365.

En los pasos 4 y 5, a medida que se realizan cambios en la identidad en el servidor de Active Directory local, los cambios se sincronizan con Azure AD y están disponibles a través del Centro de administración de Office 365.

En los pasos 6 y 7, si entre sus usuarios hay usuarios federados, estos inician sesión con su AD FS. AD FS genera un token de seguridad y este se pasa a Azure AD. El token se comprueba y se valida y, después, los usuarios se autorizan para Office 365.

Aprovisionamiento de identidades que se rellena usando el servicio de sincronización de directorios de Azure; autenticación administrada por el Servidor de federación de Active Directory 2.0 y en la nube.

Configuración de identidad con AD FS 2.0

En la experiencia del usuario, la identidad se expone cuando el usuario inicia sesión.

La interfaz de usuario del cliente: al inicio de cada sesión, un usuario puede elegir conectarse a su nube personal usando su cuenta Microsoft o al servidor corporativo local o nube administrada por Microsoft para servicios como Office 365 y para sus documentos, imágenes y otros datos.

Si un usuario decide conectarse usando su Id. Microsoft, inicia sesión con la cuenta Microsoft (anteriormente llamada Passport o Windows Live ID) o puede optar por conectarse con el identificador de usuario que usa para acceder a Office 365.

Una vez iniciada la sesión, el usuario también es libre de cambiar las identidades en cualquier momento desde el Backstage de cualquier aplicación de Office.

La infraestructura cliente: en segundo plano, las API de autenticación del cliente permiten a los usuarios iniciar y cerrar sesión, así como cambiar la identidad del usuario activo. Más API hacen un seguimiento de la configuración de movilidad (preferencias y documentos utilizados más recientemente) y de los servicios disponibles para cada identidad.

Otros servicios de identidad en la nube: los usuarios inician sesión automáticamente en estos servicios nativos:

  • OneDrive para el inicio de sesión con una cuenta Microsoft o SharePoint Online para una identidad corporativa

  • Movilidad de archivos y configuraciones utilizados más recientemente

  • Personalización

  • Actividades de cuentas de Microsoft

Los usuarios también pueden iniciar sesión en servicios en la nube de terceros tras registrarse en una cuenta de Microsoft. Por ejemplo, si inician sesión en Facebook, la conexión se transmitirá con esa identidad.

Usar configuración de directiva de grupo para controlar configuraciones de escritorio

Con más de 4.000 objetos de control de directiva de grupo a su disposición, puede usar la directiva de grupo para ordenar la configuración de usuario de Office. Esto significa que puede crear un intervalo de configuraciones de escritorio de ligeramente administradas a ligeramente restringidas para los usuarios. La configuración de directiva de grupo siempre tiene prioridad sobre la configuración de la Herramienta de personalización de Office (OCT). También puede usar la configuración de directiva de grupo para deshabilitar formatos de archivo concretos que no son seguros en la red. Para más información, vea Configurar la seguridad con la OCT o la directiva de grupo en Office 2013.

Observación sobre los centros de datos de Microsoft

El programa de seguridad de los centros de datos de Microsoft es un programa multidimensional basado en el riesgo. Tiene en cuenta a las personas, los procesos y la tecnología. El Programa de privacidad se asegura de que se sigan prácticas globales y coherentes de privacidad estándar de alto nivel para la administración y la transferencia de datos. Los centros de datos de Microsoft también son físicamente seguros. El área de más de 700.000 metros cuadrados y las decenas de miles de servidores están protegidas las 24 horas del día los 7 días de la semana. Si se produce un fallo de energía, hay disponible energía auxiliar para días. Estos centros de datos son redundantes geográficamente y se ubican en Norteamérica, Europa y Asia.

Office 365 nunca examina los mensajes de correo ni los documentos para generar análisis, recopilar datos, hacer publicidad o mejorar nuestro propio servicio. Sus datos le pertenecen únicamente a usted o a su compañía y puede quitarlos de los servidores de nuestros centros de datos en cualquier momento.

Office 365 cumple los siguientes estándares de la industria importantes y esenciales para los negocios:

  • Certificación ISO 27001   Office 365 cumple o supera el riguroso conjunto de controles físicos, lógicos, de proceso y de administración definidos por ISO/TEC 27001:2005.

  • Cláusulas modelo de la UE   Office 365 cumple y puede suscribir cláusulas contractuales estándar relativas a la cláusulas modelo de la UE y al marco Safe Harbor de la UE.

  • Contrato de asociación comercial según las normas HIPAA   Office 365 puede suscribir requisitos de normas HIPAA con todos los clientes. Las HIPAA rigen el uso, la difusión y la protección de información de salud protegida.

Catálogos y extensiones web

Office 2013 incluye un nuevo modelo de extensibilidad para clientes de Office que permite a los desarrolladores web crear aplicaciones para Office, que son extensiones web que usan la potencia de la web para extender clientes de Office. Una aplicación para Office es una región que está dentro de una aplicación de Office que contiene una página web que puede interactuar con el documento para aumentar el contenido o dar nuevos tipos de contenido y funciones interactivos. Los usuarios pueden obtener aplicaciones para Office del nuevo Catálogo de soluciones de Office o de un catálogo privado en forma de aplicaciones independientes o subcomponentes de una solución de plantillas de documento o una aplicación de SharePoint.

En el Centro de confianza, en Catálogos de aplicaciones de confianza, puede controlar aplicaciones para Office con las siguientes acciones (entre otras):

  • Deshabilitar todas las aplicaciones

  • Deshabilitar solo las aplicaciones de la Tienda Office

  • Agregar o quitar catálogos de confianza de la tabla de catálogos de confianza

Restablecer la contraseña de un documento con una clave de cifrado y la nueva herramienta DocRecrypt

Office 2013 ofrece una nueva capacidad de clave de cifrado. Esta permite al administrador de TI de una organización descifrar documentos protegidos con contraseña usando una clave de cifrado privada. Por ejemplo, si un documento se cifró usando Word, Excel o PowerPoint y el propietario original del documento ha olvidado la contraseña o ha dejado la organización, el administrador de TI podría recuperar los datos usando la clave de cifrado privada.

La capacidad de la clave de cifrado solo funciona con archivos que se guardan y se cifran usando criptografía de última generación. Este es el cifrado predeterminado que se usa en Office 2010 y Office 2013. Si, por motivos de compatibilidad, el comportamiento predeterminado se modificó para usar el formato heredado, la función de la clave de cifrado no estará disponible. Para detalles sobre esta nueva característica, vea Quitar o restablecer contraseñas de archivos en Office 2013.

Firmas digitales

Las mejoras a las firmas digitales en Office 2013 incluyen lo siguiente:

  • Compatibilidad con formatos de archivo Open Document Format (ODF v1.2)

  • Mejoras a XAdES (firmas electrónicas avanzadas XML)

La compatibilidad con formatos de archivo ODF v1.2 permite a las personas firmar digitalmente documentos ODF en Office 2013 con firmas digitales invisibles. Estos documentos firmados digitalmente no admiten líneas de firma ni sellos. Además, Office 2013 ofrece la comprobación de firma digital de documentos ODF que se firman dentro de otras aplicaciones pero que se abren en Office 2013.

Las mejoras a XAdES en Office 2013 incluyen una experiencia del usuario mejorada al crear una firma digital XAdES. Los usuarios reciben información más detallada sobre la firma.

Information Rights Management (IRM)

Office 2013 incluye un nuevo cliente de IRM, que tiene una nueva interfaz de usuario para simplificar la selección de identidades. Además, admite la detección del servicio automático de servidores de Rights Management Services (RMS). Asimismo, Office 2013 tiene compatibilidad de solo lectura con IRM para Microsoft Office Web Application Companions (WAC). WAC puede ver documentos protegidos por IRM en una biblioteca de SharePoint o documentos protegidos por IRM que se adjuntan a mensajes en Outlook Web Access (OWA).

Vista protegida

Office 2013 proporciona una vista protegida mejorada, una tecnología de espacio aislado, cuando Office 2013 se usa con Windows 2012 como sistema operativo. Office 2013 usa la característica Windows 2012 AppContainer, que ofrece un aislamiento de procesos más sólido y también bloquea el acceso a la red desde el espacio aislado. La vista protegida se introdujo en Office 2010. La vista protegida reduce el aprovechamiento en los PC abriendo archivos en un entorno restringido, conocido como lowbox, de modo que se pueden examinar antes de abrirse para la edición en Excel, PowerPoint o Word.

Office 2013, diseñado con la seguridad como prioridad desde el principio

En Microsoft, la seguridad se tiene en cuenta en cada paso del ciclo de vida del software. Cada empleado que contribuye a una característica o producto de Office debe recibir un aprendizaje sobre seguridad y seguir aprendiendo a medida que la industria y las amenazas evolucionan. Al diseñar una característica o un producto, el equipo debe tener en cuenta la seguridad y la privacidad de los datos del usuario desde el principio, y la manera en que las amenazas a estos datos pueden reducirse con el cifrado, la autenticación u otros métodos. Sus decisiones se basan en el entorno, la exposición prevista o potencial y la sensibilidad de los datos. El PC hace varias revisiones de superficie expuesta a ataques y crea un plan de respuesta a incidentes antes de que se lance un producto de Office.

Microsoft no confía solo en los empleados para garantizar la seguridad de los datos. También usa herramientas y pruebas de control de calidad automatizadas. Estas se dividen en tres categorías generales:

  • Pruebas funcionales donde cada parte de la interfaz de usuario se comprueba para asegurarse de que la entrada, la salida y la acción del usuario funciona según lo previsto y anunciado.

  • Pruebas de exploración de vulnerabilidades mediante datos aleatorios donde grandes cantidades de datos aleatorios e imprevistos se inyectan en el software para revelar problemas de seguridad. Este tipo de pruebas fueron una parte esencial de la versión de Office 2007 y lo siguen siendo en la última versión.

  • Para aplicaciones web se usan herramientas dinámicas o de exploración web para hacer pruebas en busca de posibles errores de seguridad, como el ataque de scripts de sitios (XSS) o la inyección SQL.

Las pruebas nunca acaban. El Centro de Respuestas de Seguridad de Microsoft (MSRC) se encarga de administrar los problemas de seguridad descubiertos tras el lanzamiento de un producto. Este equipo puede movilizarse rápidamente y ofrecer correcciones inmediatas a los clientes.

Un resumen breve del progreso de la seguridad a lo largo de las últimas versiones de Office

Los controles de seguridad que se introdujeron en Office XP, Office 2003 Office 2007 y Office 2010 redujeron los ataques, mejoraron la experiencia del usuario, protegieron y redujeron la superficie expuesta a ataques y facilitaron a los administradores de TI la creación de una defensa robusta frente a amenazas al mismo tiempo que mantuvieron la productividad del usuario. A continuación explicamos cómo se hizo:

La introducción de las siguientes características ha mitigado los ataques en Office:

  • Vista protegida

  • Protección del flujo de documentos

  • Administración de revisiones

  • Agilidad criptográfica

Las siguientes características han mejorado la experiencia del usuario:

  • El Centro de confianza y la barra de mensajes, ubicaciones de confianza, publicadores de confianza y decisiones de confianza firmes

  • Avisos de seguridad que requieren acción

  • Mejoras a la característica Cifrar con contraseña

  • Inspector de documentos

  • Compatibilidad con el formato de archivo XML

Office ha reforzado la superficie expuesta a ataques con las siguientes características:

  • Compatibilidad con la Prevención de ejecución de datos (DEP)

  • Cumplimiento de directivas de grupo

  • Compatibilidad con la marca de tiempo de confianza para firmas digitales

  • Comprobación y cumplimiento de complejidad de contraseña basada en dominio

  • Mejoras en el refuerzo del cifrado

  • Compatibilidad con CryptoAPI

Office ha reducido la superficie expuesta a ataques con las siguientes características:

  • Validación de archivos de Office

  • Configuración de bloque de archivos expandidos

  • Seguridad de controles ActiveX

  • Bits de cierre de ActiveX

  • Comprobación de la integridad de los archivos cifrados

  • Niveles de seguridad de macros

Más sobre pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos

Las pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos se usan para identificar vulnerabilidades desconocidas previamente en varios formatos de archivo. El equipo de Office ha probado millones de archivos decenas de millones de veces y ha descubierto cientos de vulnerabilidades.

Más información sobre prevención de ejecución de datos

Esta tecnología de hardware y software, que se integró en Windows y se extendió a todas las aplicaciones de Office a partir de Office 2010, identifica archivos que intentan ejecutar código en memoria reservada. Esta protección siempre está incluida en versiones de 64 bits y se puede configurar con parámetros de directiva de grupo en versiones de 32 bits. Si se detecta código malintencionado, la aplicación afectada se cierra automáticamente.

Más sobre la vista protegida

La vista protegida, que permite ver de manera segura los archivos sospechosos, se introdujo en Office 2010. Ahora, con Windows 2012 AppContainer, que tiene restringido el acceso a la red, se ha mejorado aún más el aislamiento de procesos.

Consulte también

Guía de seguridad de Office 2013
Información general sobre identidad, autenticación y autorización en Office 2013
Comparar las características de seguridad de Office 365 y las SKU de Office 2013
Planificar Information Rights Management en Office 2013
Planear la configuración de firma digital para Office 2013