Recientemente hemos observado un aumento en las advertencias de Microsoft SmartScreen cuando los usuarios intentan ejecutar tus aplicaciones firmadas.
Este blog explica por qué sucede esto, cómo funciona la reputación de SmartScreen (según las directrices más recientes de Microsoft) y qué debes esperar de ahora en adelante.
¿Qué es la reputación de SmartScreen?
Microsoft SmartScreen es un sistema de seguridad basado en la reputación que evalúa las aplicaciones descargadas antes de permitir que se ejecuten.
Microsoft define SmartScreen para habilitar lo siguiente:
- Reputación del editor → La confiabilidad del certificado de firma de código.
- Reputación del archivo (hash) → Si el archivo exacto ha sido descargado ampliamente y ya cuenta con la confianza de la comunidad (Microsoft Learn)
Esto significa que la confianza no es instantánea, incluso para aplicaciones que están correctamente firmadas.
¿Por qué aparecen las advertencias de SmartScreen?
Es posible que veas advertencias como: “Windows protegió tu PC”
Esto ocurre normalmente cuando:
- La aplicación es nueva o se ha lanzado recientemente.
- El archivo tiene una baja prevalencia de descarga (pocos usuarios lo han bajado).
- Se está utilizando un certificado nuevo.
- El binario ha cambiado (nueva versión = nuevo hash de archivo).
Microsoft establece claramente que cada archivo debe construir su propia reputación basándose en el uso del mundo real (Microsoft Learn)
Incluso las actualizaciones pequeñas restablecen la reputación del archivo.
Dato clave: Firmar la aplicación no es suficiente
Un error común es pensar:
“Si mi aplicación está firmada, no debería mostrar advertencias de SmartScreen”.
Así no es como funciona SmartScreen.
- La firma de código garantiza la identidad y la integridad.
- SmartScreen evalúa la reputación a lo largo del tiempo.
Una firma válida ≠ confianza inmediata
Certificados EV frente a Certificados de Firma de Código Estándar
Históricamente, los certificados EV ayudaban a impulsar la reputación de forma más rápida. Sin embargo, según las directrices actuales de Microsoft:
- Tanto los certificados EV como los estándar dependen de la construcción de la reputación.
- El factor clave sigue siendo la adopción en el mundo real y las señales de confianza.
La reputación se gana, no se otorga de forma instantánea.
Cómo se construye la reputación de SmartScreen
La reputación mejora con el tiempo cuando:
- Los usuarios descargan e instalan tu aplicación.
- No se detecta ningún comportamiento malicioso.
- Tú, como editor, firmas software de manera constante.
SmartScreen utiliza la telemetría y diversas señales para determinar si un software se descarga habitualmente y es seguro.
Hasta ese momento, la aplicación se trata como "desconocida" y se marca por precaución.
¿Por qué es importante esto ahora?
Con las continuas mejoras de seguridad en el ecosistema de Microsoft, SmartScreen se está volviendo cada vez más estricto y se basa más en la reputación.
Esto significa que:
- Las aplicaciones nuevas casi siempre mostrarán advertencias iniciales.
- Las actualizaciones y las nuevas versiones restablecerán temporalmente la confianza.
- Las aplicaciones más pequeñas o de nicho pueden tardar más tiempo en construir su reputación.
¿Qué significa esto para los clientes de GlobalSign?
Es importante aclarar:
-
Las advertencias de SmartScreen NO indican:
- Certificados de GlobalSign inválidos o comprometidos.
- Problemas con tu proceso de firma.
- Fallos de seguridad en tu aplicación.
-
Lo que indican es:
- La aplicación aún no ha construido la reputación suficiente
Buenas prácticas para reducir las advertencias de SmartScreen
Para construir tu reputación más rápido y minimizar las advertencias:
- Mantén la consistencia de tus certificados
- Usa la misma identidad de editor en todos tus lanzamientos.
- Incrementa la distribución
- Fomenta las descargas a través de canales de confianza.
- Firma todos tus lanzamientos
- Asegúrate de que cada binario esté correctamente firmado y cuente con el sello de tiempo (timestamp).
- Los certificados nuevos requieren que se vuelva a construir la reputación desde cero.
- Infórmales que es normal ver advertencias iniciales cuando se trata de software nuevo.
Conclusión final
SmartScreen está diseñado para proteger a los usuarios de software desconocido, no para validar certificados.
Incluso cuando utilizas los certificados de firma de código de confianza de GlobalSign:
- La reputación toma tiempo.
Es de esperar que aparezcan advertencias al principio.
La confianza se construye a través del uso en el mundo real.
Comprender cómo funciona el modelo de reputación de SmartScreen de Microsoft ayuda a establecer las expectativas correctas, tanto para los desarrolladores como para los usuarios finales. Si tienes preguntas sobre las advertencias de SmartScreen o sobre cómo se construye la reputación con el tiempo, ponte en contacto con el equipo de Soporte de GlobalSign para recibir orientación.
