Windows 11 está viviendo una especie de puesta a punto silenciosa: cada vez es más complicado atacarlo y, al mismo tiempo, mucho más fácil recuperarlo cuando todo se rompe. 
Microsoft está desplegando un paquete bastante ambicioso de mejoras de seguridad y nuevas herramientas de recuperación pensado para los peores días con el PC: cuando el portátil deja de arrancar, una actualización revienta el sistema o un archivo importante se corrompe justo antes de una entrega.
Durante años, Windows ha cargado con la etiqueta de ser el blanco favorito de virus, ransomware y todo tipo de malware. Parte de la culpa la tiene su propio éxito: si casi todo el mundo usa Windows, casi todos los ataques irán a por él. El resultado es familiar para muchos usuarios: antivirus por todas partes, pantallas de advertencia y esa sensación constante de que cualquier clic puede ser el inicio de un problema. Con los últimos cambios en Windows 11, Microsoft intenta cambiar la narrativa y convertir al sistema en algo más cercano a una plataforma robusta y preparada para resistir, tanto frente a ataques como frente a errores propios.
Por qué Microsoft está blindando Windows 11
La mayoría de estas novedades nacen en el mundo corporativo. Están pensadas para empresas, administraciones públicas y organizaciones con decenas o miles de equipos que proteger
. Es lógico: allí es donde un ataque puede significar fuga masiva de datos, parón de negocio o una factura millonaria de ransomware. Pero la historia de Windows siempre ha sido la misma: lo que empieza en la empresa acaba llegando, de una forma u otra, al portátil de casa.
La estrategia de Redmond se apoya en tres pilares principales. Primero, reforzar la base con cifrado moderno y preparado para el futuro. Segundo, limitar al máximo qué aplicaciones y controladores pueden ejecutarse en el sistema. Y tercero, reducir la dependencia de contraseñas débiles apostando por métodos de inicio de sesión más inteligentes, apoyados en biometría y claves criptográficas.
No se trata de hacer de Windows una fortaleza perfecta, algo que nunca va a existir, sino de subir tanto el listón que muchos ataques sencillamente dejen de ser rentables.
Criptografía post-cuántica: pensando en el problema antes de que llegue
Una de las mejoras más llamativas, al menos desde el punto de vista técnico, es la llegada de la criptografía post-cuántica a Windows 11. Hoy en día, la seguridad de nuestras conexiones bancarias, correos cifrados o VPN depende de algoritmos que son extremadamente difíciles de romper con ordenadores clásicos. El matiz está en la palabra clásicos: un futuro con ordenadores cuánticos maduros puede cambiar las reglas del juego y dejar obsoletos algunos de los algoritmos actuales.
La criptografía post-cuántica busca adelantarse a ese escenario. Son nuevos algoritmos diseñados para seguir siendo seguros incluso frente a ataques que aprovechen la potencia de un ordenador cuántico. Windows 11 incorpora ya APIs específicas para que aplicaciones, servicios y la propia infraestructura de las empresas empiecen a probar y planificar una migración gradual hacia estos esquemas de cifrado más resistentes.
Para el usuario de a pie esto suena lejano, casi teórico, pero para sectores como banca, salud, administración o cloud, donde los datos tienen que seguir protegidos durante muchos años, es un movimiento estratégico. Mejor preparar el terreno ahora que correr a apagar un incendio dentro de diez años.
BitLocker se apoya más en el hardware
El segundo gran frente es BitLocker, la función de cifrado de disco completo integrada en Windows. Ya es bastante habitual verla activada en portátiles de empresa, precisamente para evitar que un equipo robado se convierta en un regalo de datos para quien lo encuentre. Con Windows 11, Microsoft quiere que BitLocker sea más rápido y a la vez más difícil de atacar, apoyándose de forma mucho más intensa en el propio hardware.
En los dispositivos compatibles, las claves de cifrado se envuelven y aíslan a nivel de silicio, directamente en el chip, en lugar de vivir principalmente en la memoria o depender solo de la CPU. Eso complica la vida a ataques avanzados que intentan husmear la RAM, aprovechar fallos de microarquitectura o filtrar información por canales laterales.
Al mismo tiempo, parte del trabajo pesado del cifrado se descarga en unidades dedicadas dentro del procesador y de los SoC modernos. La idea es que el usuario no sienta que tener el disco cifrado implica un lastre constante. Según Microsoft, estas capacidades reforzadas de BitLocker llegarán primero a nuevos equipos a partir de 2026, y su impacto será especialmente relevante en entornos donde circulan contratos, datos personales o información regulada.
App Control for Business: si no está en la lista, no se ejecuta
Muchos incidentes de seguridad empiezan con algo tan simple como abrir el archivo equivocado. Un adjunto en apariencia inocente, una herramienta milagrosa bajada de una web dudosa o un controlador sacado de un foro cualquiera pueden bastar para abrir una puerta al atacante. Para cortar este camino, Microsoft está empujando App Control for Business.
La filosofía es clara: Windows solo ejecuta aplicaciones y controladores que han sido aprobados. Todo lo demás queda bloqueado por defecto. En combinación con Intune y el concepto de Managed Installer, los equipos de TI pueden permitir de forma controlada las herramientas internas de la organización sin abrir la veda a cualquier ejecutable que llegue por correo o se descargue desde la nube.
Para la persona que usa el PC, el ideal es que esto se note poco: lo que necesita para trabajar funciona, lo que nunca debería instalarse ni siquiera arranca. Para un malware que intenta entrar por la puerta de atrás, la cosa se complica bastante más.
Adiós contraseña de siempre: Windows Hello y passkeys
El tercer eje importante ataca uno de los puntos más débiles de cualquier sistema: la contraseña. Reutilizadas, fáciles de adivinar, entregadas alegremente a webs de phishing… por mucho que mejoren el cifrado y los filtros, si el atacante consigue tu contraseña, el partido está casi perdido.
Windows 11 quiere dejar las contraseñas en un segundo plano. Windows Hello, el sistema que permite iniciar sesión con el rostro o con la huella dactilar, mejora en rapidez y fiabilidad para que usarlo sea tan natural como abrir la tapa del portátil. Pero el gran salto viene con las passkeys, esas claves de acceso que reemplazan a las contraseñas tradicionales en servicios compatibles.
Con las últimas actualizaciones, los gestores de passkeys pueden integrarse directamente con Windows Hello y sincronizar las claves de forma segura entre varios dispositivos. En la práctica, tú miras a la cámara o tocas el lector de huellas y listo; mientras tanto, un par de claves criptográficas se encarga de demostrar que eres quien dices ser, sin que exista una contraseña fija que se pueda robar, filtrar o volver a usar en otro sitio.
Cuando Windows deja de arrancar: nuevas opciones de recuperación
Por muy bien que se refuerce la seguridad, las cosas se seguirán rompiendo. Una actualización que llega con un bug importante, un driver que no se lleva bien con tu hardware o un corte de luz a mitad de instalación pueden dejar el sistema inestable o directamente incapaz de arrancar. Ahí es donde entran las nuevas herramientas de recuperación de Windows 11.
Una de las funciones que más miradas se lleva es la restauración a un punto concreto en el tiempo. Más allá de los clásicos intentos de reparación automática, el usuario gana control: puede elegir un estado anterior, cuando todo funcionaba, y enviar el sistema exactamente a ese momento.
La idea recuerda a los antiguos puntos de restauración, pero con más precisión y menos sensación de lotería. Aplicaciones, archivos del sistema y configuraciones clave se ajustan al escenario guardado, de modo que los efectos de un controlador problemático o de una actualización fallida pueden deshacerse con bastante más elegancia. La única pega es la de siempre: estos puntos ocupan espacio, así que habrá que decidir cuánta historia queremos conservar.
WinRE con red de verdad: menos malabares con drivers
Otro viejo conocido que recibe cariño es Windows Recovery Environment, el entorno de recuperación minimalista que aparece cuando Windows no arranca. Hasta ahora, WinRE tenía soporte de red en teoría, pero en la práctica exigía cargar los controladores adecuados a mano, algo poco realista para la mayoría de usuarios y bastante pesado incluso para técnicos.
Con las mejoras actuales, WinRE puede tomar los controladores de red directamente de la instalación principal de Windows. Primero llega el soporte para conexiones Ethernet por cable y, más adelante, para Wi-Fi con estándares modernos como WPA2 y WPA3. Una vez que el equipo consigue conectarse, se abre un abanico nuevo de opciones: descargar imágenes del sistema desde la nube, acceder a herramientas de soporte remoto, recuperar archivos antes de reinstalar o consultar documentación técnica sin tener que usar otro dispositivo.
Para los equipos de soporte, eso significa menos pendrives con drivers y menos pasos manuales. Para el usuario, simplemente aumenta la probabilidad de que ese modo de recuperación sirva para algo más que mostrar una rueda girando durante horas.
Reinstalación en la nube: recuperación masiva para empresas
En entornos corporativos, Microsoft da un paso más con la reinstalación de Windows directamente desde la nube. A través de Intune, el equipo de TI puede definir qué edición y qué idioma del sistema se van a desplegar en cada dispositivo y lanzar un proceso de reconstrucción controlado sin tener que pasar físicamente por cada puesto de trabajo.
OneDrive for Business se suma a la ecuación ayudando a conservar y restaurar los datos de los empleados, de forma que una reinstalación completa no tenga por qué traducirse en perder todo lo que había en el equipo. En escenarios en los que una actualización defectuosa golpea a docenas de portátiles a la vez, esta capacidad de recovery masivo puede marcar la diferencia entre un caos de varios días y una interrupción relativamente controlada.
Qué cambia para quien usa Windows todos los días
Visto desde fuera, todo esto suena muy técnico: post-cuántico por aquí, BitLocker reforzado por allá, Intune, WinRE, nubes y políticas. Pero, traducido al lenguaje del día a día, el mensaje es bastante simple: menos posibilidades de que tu PC se convierta en un desastre total y más opciones de salvarlo cuando inevitablemente algo se rompa.
Casi todo el mundo tiene una anécdota con Windows que todavía duele un poco: el trabajo de clase perdido justo antes de entregarlo, el informe del trabajo que desapareció tras un cuelgue o ese portátil que entró en un bucle de reparación infinita y nunca volvió a ser el mismo. Hay quien se cambió de sistema por una sola noche de pánico y pérdida de datos.
Por eso, ver a Microsoft invertir de verdad en cifrado más fuerte, control de aplicaciones más estricto, inicio de sesión sin contraseñas, puntos de restauración más útiles y un entorno de recuperación que conecta a internet y permite hacer algo concreto, se siente menos como marketing y más como un cambio de mentalidad.
Windows 11 seguirá teniendo parches, bugs y pantallas azules de vez en cuando; eso no va a desaparecer. Pero el sistema empieza a aceptar una realidad incómoda: el peor día frente al PC llegará. La diferencia es que ahora trae más herramientas para que ese día no termine con tu portátil convertido en un pisapapeles caro y tu trabajo perdido para siempre.
1 comentario
Al final la prueba será el típico portátil de la familia donde se abre cualquier adjunto… si sobrevive ahí, es que va en serio