Modo "emergencia", reparación remota y veto al Wi‑Fi abierto: Windows ya no permitirá que su dispositivo se descontrole.

Windows recibe una gran actualización en materia de seguridad y resiliencia que cambia la forma en que el sistema operativo trabaja con mecanismos basados en agentes, protege los datos y recupera los dispositivos tras fallos. La compañía amplió el conjunto de funciones apoyándose en una plataforma donde interactúan personas, agentes de IA y servicios en la nube, y al mismo tiempo reforzó el control sobre lo que ocurre dentro del sistema. El nuevo enfoque se articula en torno a la idea de confianza, ya que cualquier automatización exige límites precisos, atribución transparente de acciones y privilegios gestionados. Por eso en Windows se refuerzan los mecanismos básicos de protección, aumenta la fiabilidad de los controladores y se actualiza la infraestructura de recuperación para que las empresas puedan reaccionar más rápido ante fallos.

Mecanismos de agentes y control del entorno de ejecución

Uno de los ejes clave han sido los métodos de aislamiento y de seguimiento de las acciones de los agentes de IA. En el sistema aparece un entorno separado donde los procesos automatizados realizan tareas sin acceso a la sesión del usuario. Esa zona existe como un espacio autónomo con su propia cuenta, su propio conjunto de políticas y catálogos limitados. Cualquier acción que el agente ejecute dentro de ese entorno se diferencia de las que realiza una persona, por lo que permanece visible y sujeta a auditoría. El acceso está permitido solo a determinados recursos locales, y los mecanismos estándar, como las listas de control de acceso, evitan el uso no autorizado. El usuario decide si activar esta posibilidad. Por ahora está en fase de pruebas cerradas.

Junto con la ejecución local, Microsoft traslada los mismos principios a la nube para que los desarrolladores puedan elegir el lugar de ejecución del código sin cambiar la arquitectura. Para ello sirven entornos de trabajo virtuales, almacenados en la infraestructura en la nube y gestionados por políticas corporativas. Este enfoque garantiza la aplicación uniforme de las restricciones, permite a los departamentos de TI utilizar herramientas familiares y evita discrepancias entre los métodos de control locales y los de la nube.

Para que los mecanismos de vinculación entre aplicaciones y servicios de agentes funcionen de forma predecible y segura, en el sistema se añade un registro con soporte de una capa intermedia de gestión. Esta capa es responsable del consentimiento, la política, el registro y la aplicación de restricciones al trabajar con servidores MCP. En el modo de seguridad estándar solo se permiten componentes que cumplan los requisitos de empaquetado, firma, declaración de capacidades y aislamiento. Para depuración, los desarrolladores disponen de la posibilidad de relajar temporalmente las comprobaciones, pero solo en su propio dispositivo.

Los administradores de TI obtienen acceso a nuevas herramientas de gestión centralizada. A través de Intune, Entra o la directiva de grupo se puede desactivar o activar el entorno de agentes, ajustar los parámetros del registro de agentes y asignar distintos niveles de seguridad, por ejemplo para desarrolladores. Todas las acciones realizadas por cuentas de agente separadas pasan a ser visibles en las herramientas estándar de auditoría y registro.

Criptografía, acceso y tecnologías de red

Paralelamente, Microsoft sigue ampliando el conjunto de funciones protectoras. Para proteger los datos en Windows se han incluido API para algoritmos de criptografía poscuántica, pensados para las amenazas procedentes de la computación cuántica. A futuro, estos algoritmos deberían sustituir a las soluciones criptográficas habituales, vulnerables a nuevos métodos de ataque. Además, se ha anunciado aceleración por hardware para el cifrado de discos: las operaciones con claves ahora pueden realizarse en bloques especializados, y las claves se almacenan en un módulo de hardware aislado. Esto reduce la carga en el procesador y disminuye el riesgo de ataques a la memoria. Los primeros dispositivos con esta capacidad aparecerán en la primavera de 2026.

La autenticación de usuarios recibe protección adicional gracias a la actualización de Windows Hello y al soporte para gestores Passkey. Con la actualización de noviembre de 2025 se integran en el sistema soluciones de grandes proveedores, lo que permite usar claves de acceso en distintos dispositivos, manteniendo la comodidad y la sincronización.

Para reducir los riesgos asociados al software no firmado o malicioso, Windows refuerza el modo de control de aplicaciones y controladores. El sistema permite ejecutar solo aquellos componentes que hayan pasado las comprobaciones y que cumplan los requisitos de la política corporativa. Esto dificulta la propagación de adjuntos maliciosos y aumenta la resiliencia frente a ataques de ingeniería social.

Se presta especial atención a la monitorización de las acciones dentro del sistema operativo. Próximamente, Windows incorporará funciones integradas basadas en las capacidades de Sysmon. Esto amplía la cantidad de datos que recibe el servicio de seguridad, facilita el despliegue y acelera la respuesta ante amenazas.

Al mismo tiempo se refuerza la protección de las conexiones de red. Windows introduce Zero Trust DNS, que dirige el tráfico solo a través de servidores de confianza y aplica los principios de confianza cero a la resolución de nombres de dominio. Wi‑Fi 7 para el segmento corporativo se complementa con el requisito de usar WPA3‑Enterprise, lo que mejora la protección al conectarse a redes inalámbricas y optimiza el funcionamiento en condiciones complejas.

Resiliencia, diagnóstico y recuperación de Windows

La segunda gran área de trabajo ha sido el desarrollo de la resiliencia de Windows. Un año después del lanzamiento de la iniciativa para mejorar la fiabilidad, el sistema incorpora todo un conjunto de mecanismos destinados a reducir el número de incidentes y sus consecuencias. Gran parte de los problemas se debe a errores de controladores, por lo que la compañía endurece los requisitos sobre su calidad. Para las soluciones antivirus ya se ha establecido un nuevo nivel de requisitos de firma, y para otros fabricantes se amplía el conjunto de controladores integrados y de API. Esto permitirá prescindir de una parte importante de módulos propietarios que operan en el núcleo. Pruebas ampliadas, aislamiento, mecanismos protectores del compilador y verificación del acceso a la memoria reducirán la probabilidad de que el sistema falle.

Al abordar incidentes, las empresas podrán recurrir a ingenieros de Windows a través del componente del servicio Mission Critical Services. En los casos en que un PC físico deje de funcionar o se pierda, las compañías podrán utilizar entornos temporales en la nube que se preparan rápidamente conforme a las políticas y aplicaciones corporativas.

Para los administradores se añade una señal que indica que el dispositivo ha arrancado en el entorno de recuperación. Esto acelera el diagnóstico de problemas cuando Windows no puede iniciarse en el modo normal. Indicadores similares aparecerán para máquinas virtuales Windows Server en Azure. Para sistemas que gestionan pantallas públicas se crea un modo que oculta los mensajes de servicio. Si surge un error, se muestra durante un máximo de quince segundos y luego la pantalla se apaga hasta la intervención del personal técnico.

El siguiente bloque de cambios afecta a la recuperación. Las herramientas que surgieron hace años se están revisando teniendo en cuenta los SSD modernos, el almacenamiento en la nube y la gestión centralizada a través de Intune. La recuperación rápida de la máquina, presentada en agosto, permite a Microsoft restablecer la operatividad de dispositivos que masivamente pasaron al entorno WinRE debido a un error. En los planes figura un mejor control de los parámetros de red en el entorno de recuperación y la integración con Autopatch, lo que posibilitará administrar esas actualizaciones al mismo nivel que las habituales.

Para equipos individuales habrá recuperación remota mediante WinRE: el administrador podrá enviar secuencias de comandos, aplicar acciones correctivas y devolver el dispositivo a un estado operativo. El mismo enfoque estará disponible en Azure para máquinas virtuales de servidor.

El conjunto se completa con dos nuevos mecanismos. El primero es la restauración del estado hasta un momento concreto, que permite deshacer cambios relacionados con actualizaciones, conflictos de controladores o errores de configuración. El segundo es la reinstalación desde la nube, en la que el dispositivo descarga imágenes de Windows mediante Intune y realiza la reconstrucción sin pasar por un centro de servicio. Al finalizar, el proceso pasa automáticamente por Autopilot y recibe las políticas necesarias, y los datos se restauran desde OneDrive y la versión corporativa de Windows Backup. Esto reduce significativamente el tiempo de inactividad y evita la intervención física.