La inminente característica de protección del administrador de Microsoft para Windows 11 constituye una revisión arquitectónica significativa de la seguridad de Windows. Su propósito es contrarrestar la creciente amenaza de ataques de escalada de privilegios.
Esta nueva capa de seguridad aborda las vulnerabilidades inherentes a las cuentas de administrador convencionales al implementar privilegios de administrador justo a tiempo. El Informe de Defensa Digital 2024 de Microsoft subraya la urgencia de esta protección mejorada, revelando un aumento a aproximadamente 39.000 incidentes diarios de robo de tokens, los cuales explotan los privilegios de los usuarios.
La protección del administrador cambia fundamentalmente la forma en que se administran los privilegios elevados en Windows.
En lugar de mantener un acceso de administrador persistente, la función implementa una cuenta de usuario oculta y separada por perfil generada por el sistema para crear un token de administrador aislado.
Esta cuenta de administrador administrada del sistema (SMAA) genera un token de administrador temporal solo cuando es necesario para tareas administrativas específicas.
«Con la protección del administrador habilitada, el mensaje que solicita la autorización del usuario para elevar aplicaciones que no son de confianza y no firmadas ahora viene con regiones codificadas por colores ampliadas que ahora se extenderán hasta la descripción de la aplicación», explica el equipo de Windows Insider.
La implementación técnica sigue el principio de privilegio mínimo, donde los usuarios operan con permisos mínimos de forma predeterminada.
Cuando se requieren derechos de administrador, Windows solicita autenticación a través de Windows Hello (PIN, huella digital o reconocimiento facial) y crea un token privilegiado temporal que existe solo mientras dura esa tarea específica y se destruye después.
Los usuarios pueden verificar que la función esté funcionando ejecutando un símbolo del sistema elevado y escribiendo el comando whoami, que mostrará el perfil como «ADMIN_».
A diferencia del Control de cuentas de usuario (UAC), que Microsoft describe como “más una característica de defensa en profundidad, la protección del administrador crea un límite de seguridad genuino entre contextos elevados y no elevados.
Este cambio de arquitectura evita las técnicas clásicas de omisión de UAC, como la manipulación de claves de registro y los ataques de sobrecarga de variables de entorno.
Una mejora fundamental es la eliminación completa de la elevación automática, que permitía que componentes específicos de Windows obtuvieran permisos administrativos sin el consentimiento del usuario de forma silenciosa.
Con la protección del administrador, cada operación administrativa requiere autenticación explícita, lo que garantiza que los usuarios mantengan el control sobre los cambios del sistema y al mismo tiempo impide que el malware realice modificaciones silenciosas.
Microsoft destacó un ejemplo con el Bloc de notas: «Si cambia el tema a oscuro en el Bloc de notas no elevado, el cambio no se reflejará automáticamente en el Bloc de notas elevado. Si necesita paridad, deberá realizar el cambio manualmente».
La protección del administrador estará disponible en las ediciones Windows 11 Home, Professional, Enterprise y Education.
Los usuarios pueden habilitarlo a través de la configuración de seguridad de Windows en la pestaña Protección de cuenta, mientras que los administradores de TI pueden implementarlo a través de la Política de grupo o herramientas MDM como Microsoft Intune.
La característica crea perfiles de usuario separados para contextos regulares y administrativos, lo que afecta la forma en que las aplicaciones interactúan con el sistema.
Los archivos creados en modo elevado se guardan en los directorios del perfil SMAA y la configuración del registro no se transfiere automáticamente entre contextos.
Microsoft recomienda ejecutar aplicaciones con el menor privilegio necesario y utilizar la elevación granular sólo para tareas específicas en lugar de la elevación «por adelantado».
En una reciente actualización de mayo de 2025, Microsoft comunicó que los recursos confidenciales como la cámara, el micrófono y la ubicación se desactivarán por defecto cuando las aplicaciones se ejecuten con privilegios elevados. Para activarlos, será necesario el consentimiento explícito del usuario.
David Weston de Microsoft calificó la protección del administrador como «el cambio arquitectónico más significativo en Windows desde una perspectiva de seguridad en una generación», lo que resalta su importancia dentro de la Iniciativa de Resiliencia de Windows de Microsoft, cuyo objetivo es fortalecer la seguridad de Windows frente a las amenazas contemporáneas.
