Microsoft ha anunciado que a partir de este mes comenzará a deshabilitar todos los controles de ActiveX en las versiones de Microsoft 365 y Office 2024 para Windows.
¿Qué es ActiveX?
Introducido hace casi tres décadas, en 1996, ActiveX es un marco de software heredado que permite a los desarrolladores crear objetos interactivos incrustados en documentos de Office.
Aunque con el tiempo, se ha demostrado que ActiveX presenta problemas de seguridad graves, lo que ha llevado a Microsoft a bloquearlo por completo.
¿Qué Cambios Se Implementarán?
Con esta actualización, ActiveX se bloqueará totalmente y sin previo aviso en aplicaciones como Word, Excel, PowerPoint y Visio para reducir el riesgo de ejecución de malware o código no autorizado.
Cuando se abran documentos que contengan controles ActiveX, aparecerá una notificación en la parte superior con un botón que dice “Contenido Bloqueado”, informando que el contenido ActiveX ha sido bloqueado.
Microsoft también advierte a los usuarios de Office en un documento de soporte por separado que no abran archivos adjuntos inesperados ni cambien la configuración de ActiveX cuando aparezcan pop-ups aleatorios de personas desconocidas.
Efectos del Cambio
Interacción con ActiveX
Una vez deshabilitado, no podrás crear ni interactuar con objetos ActiveX en los archivos de Microsoft 365. Algunos objetos existentes de ActiveX aún aparecerán como imágenes estáticas, pero no será posible interactuar con ellos.
Cómo Activarlo
Si deseas habilitar los controles de ActiveX nuevamente, puedes hacerlo a través del Centro de Confianza de Office siguiendo estos pasos:
- Selecciona Archivo, luego Opciones.
- Selecciona Centro de confianza y haz clic en el botón de Configuración del Centro de confianza.
- Elige Configuraciones de ActiveX y asegúrate de que esté activada la opción “Pedir antes de habilitar todos los controles con restricciones mínimas”.
- Haz clic en Aceptar para guardar los cambios.
Microsoft recomienda, por motivos de seguridad óptima, dejar deshabilitados los controles de ActiveX a menos que sea absolutamente necesario.
Motivos de la Decisión ️
La decisión de deshabilitar ActiveX por defecto se debe a los problemas de seguridad conocidos de este componente, incluidos los vulnerabilidades de día cero que han sido explotadas por grupos de cibercriminales, tanto respaldados por el estado como motivados por razones financieras, para desplegar malware.
Además, ActiveX se ha utilizado para incrustar controles maliciosos en documentos de Word, como el malware TrickBot y las señales de Cobalt Strike, herramientas usadas para penetrar y mantener acceso a las redes de empresas.
Una Medida Dentro de un Esfuerzo Mayor
Este cambio es parte de un esfuerzo más amplio de Microsoft para eliminar o desactivar funciones de Windows y Office que han sido abusadas por atacantes para infectar a los clientes de Microsoft con malware.
Desde 2018, Microsoft ha implementado medidas como:
- Expansión del soporte para la Interfaz de Escaneo Antimalware (AMSI) en Office 365.
- Bloqueo de macros VBA en Office por defecto.
- Protección de macros XLM y bloqueo de complementos XLL no confiables.
Además, en mayo de 2024, Microsoft anunció que VBScript se eliminaría por completo, convirtiéndolo en una función bajo demanda antes de su desaparición definitiva.