wmtech logo

El fin de una era: Microsoft sustituye VBScript por JavaScript y PowerShell

Luis Quiles
Luis Quiles
vbscript
Privacidad de información, Seguridad de Endpoint

El miércoles, Microsoft delineó sus planes para desaprobar Visual Basic Script (VBScript) en la segunda mitad de 2024 en favor de alternativas más avanzadas como JavaScript y PowerShell.

«La tecnología ha avanzado a lo largo de los años, dando lugar a lenguajes de scripting más potentes y versátiles como JavaScript y PowerShell», dijo Naveen Shankar, Gerente de Programas de Microsoft. «Estos lenguajes ofrecen capacidades más amplias y están mejor adaptados para el desarrollo web moderno y las tareas de automatización».

El gigante tecnológico anunció originalmente sus planes para retirar gradualmente VBScript en octubre de 2023.

El lenguaje de scripting, también llamado Visual Basic Scripting Edition, fue introducido por primera vez por Microsoft en 1996 como un componente del sistema Windows, ofreciendo a los usuarios la capacidad de automatizar tareas y desarrollar páginas web interactivas utilizando Internet Explorer y Edge (en modo Internet Explorer).

El plan de desaprobación anunciado consta de tres fases, con la primera fase comenzando en la segunda mitad de 2024, momento en el que VBScript estará disponible como una característica bajo demanda en Windows 11 24H2.

Se espera que la segunda fase, que comenzará alrededor de 2027, mantenga la característica bajo demanda, pero ya no estará habilitada por defecto. Se espera que VBScript sea completamente retirado y eliminado del sistema operativo Windows en una fecha futura no determinada.

«Esto significa que todas las bibliotecas de enlaces dinámicos (archivos .dll) de VBScript serán eliminadas,» dijo Shankar. «Como resultado, los proyectos que dependen de VBScript dejarán de funcionar. Para entonces, esperamos que ya hayan cambiado a las alternativas sugeridas.»

Este desarrollo se produce días después de que Microsoft confirmara sus planes de desaprobar NT LAN Manager (NTLM) en Windows 11 en la segunda mitad del año en favor de Kerberos para la autenticación.

Tanto NTLM como VBScript son conocidos por ser utilizados por actores malintencionados para llevar a cabo actividades maliciosas, lo que ha llevado a Microsoft a eliminar estas características en un intento por minimizar la superficie de ataque.

vb

Desde entonces, Microsoft también ha deshabilitado los macros de Excel 4.0 (XLM) y los macros de Visual Basic for Applications (VBA), bloqueado los complementos XLL y ha implementado la capacidad de impedir que los usuarios abran extensiones de archivos riesgosas en OneNote.

Microsoft se encuentra en problemas con una retirada de productos

Las noticias sobre la desaprobación de VBScript también siguen a las críticas de que la nueva función Recall impulsada por inteligencia artificial (IA) de Microsoft plantea preocupaciones de privacidad y socava la seguridad de Windows.

Recall ha sido anunciada como una «línea de tiempo explorable del pasado de tu PC» y una manera para que los usuarios «accedan virtualmente a lo que han visto o hecho en su PC de una manera que se siente como tener memoria fotográfica.» Actualmente, solo está disponible en las PC con Copilot+.

Según la propia documentación de Microsoft, el componente del sistema Recall guarda periódicamente instantáneas de la ventana activa del usuario y las almacena localmente. Luego utiliza segmentación de pantalla y reconocimiento de imágenes para extraer información de ellas y guarda los datos en un índice semántico.

Los desarrolladores de aplicaciones de terceros también pueden aprovechar esta función ofreciendo a los usuarios la capacidad de buscar semánticamente estas instantáneas guardadas y mostrar contenido relacionado con sus aplicaciones.

ms

Microsoft ha destacado rápidamente que Recall procesa el contenido localmente en el dispositivo y que las instantáneas están cifradas por Encriptación de Dispositivo o BitLocker. También señala que las instantáneas no se comparten con otros usuarios que estén conectados a Windows en el mismo dispositivo.

«Recall no guardará ningún contenido de tu actividad de navegación privada cuando estés usando Microsoft Edge, Google Chrome u otros navegadores basados en Chromium,» dijo la compañía. «Recall trata de manera similar el material protegido con administración de derechos digitales (DRM).»

Sin embargo, una advertencia crucial con Recall es que no realiza moderación de contenido, lo que significa que no ocultará contenido presente en documentos confidenciales o información sensible, como contraseñas o números de cuentas financieras introducidos en sitios web que no siguen los protocolos estándar de internet, como el enmascaramiento de la entrada de contraseñas.

La Oficina del Comisionado de Información del Reino Unido (ICO, por sus siglas en inglés) dijo que está en contacto con Microsoft para entender qué salvaguardas se han implementado para proteger la privacidad del usuario.

«Esperamos que las organizaciones sean transparentes con los usuarios sobre cómo se está utilizando sus datos y solo procesen datos personales en la medida en que sea necesario para lograr un propósito específico», dijo la ICO.

«La industria debe considerar la protección de datos desde el principio y evaluar y mitigar rigurosamente los riesgos para los derechos y libertades de las personas antes de lanzar productos al mercado.»

El investigador de seguridad Kevin Beaumont describió Recall como un «registrador de pulsaciones […] integrado en Windows» y que la falta de protecciones de seguridad podría permitir que actores malintencionados que ya hayan comprometido un sistema a través de otros medios roben instantáneas y recopilen información valiosa.

«Con Recall, como hacker malicioso, podrás tomar la base de datos indexada de manera conveniente y capturas de pantalla tan pronto como accedas a un sistema, incluyendo un historial de 3 meses por defecto», dijo Beaumont.

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.