Microsoft ha confirmado que los administradores empresariales de Windows dispondrán como máximo hasta diciembre de 2027 para sustituir la protección que ofrecía Microsoft Defender Application Guard para Office MDAG. Esta funcionalidad, diseñada para aislar documentos de Office potencialmente manipulados recibidos por correo electrónico, se introdujo en algunos niveles de suscripción de Office a partir de 2019 y quedó anunciada su retirada en noviembre de 2023. Desde entonces los clientes esperaban detalles sobre fechas y procesos de eliminación.

Según la nueva cronología publicada por Microsoft en su portal de clientes, la eliminación comenzará con Office versión 2602 en el Current Patch Tuesday Channel en febrero de 2026, en el Monthly Enterprise Channel en abril de 2026 y en el Semi Annual Enterprise Channel en julio de 2026. La retirada completa está prevista para la versión 2612: diciembre de 2026 en Current Channel, febrero de 2027 en Monthly Enterprise Channel y julio de 2027 en Semi Annual Enterprise Channel. De forma ambigua la línea temporal también señala diciembre de 2027 como fecha final, probablemente como plazo máximo para clientes con licencias de soporte extendido.

MDAG funcionaba abriendo los archivos en una sandbox basada en Hyper V en lugar de en la memoria principal, aislando así cualquier código malicioso del sistema operativo. La idea es sólida pero tiene la desventaja de tiempos de apertura de documentos sensiblemente más lentos y puede verse comprometida por vulnerabilidades en la capa de aislamiento, como el ejemplo conocido CVE 2022 26706 que afectó a macOS.

Microsoft propone reemplazar MDAG por dos capas de seguridad que, según la compañía, cubren la misma función: Attack Surface Reduction ASR y Windows Defender Application Control WDAC. ASR aplica reglas para bloquear scripts maliciosos, ejecutables o inyección de código y ofrece un rendimiento mucho mejor, aunque se apoya en análisis conductual, con la pregunta inherente de qué ocurre si un atacante utiliza una técnica completamente nueva no detectada por ASR. Microsoft sostiene que la mayoría de los ataques contra documentos usan tácticas previsibles y que el respaldo en aprendizaje automático en la nube reduce la probabilidad de evasión.

Por su parte WDAC actúa a nivel kernel y bloquea aplicaciones supervisando firmas digitales, hashes de archivos y otras señales de reputación, añadiendo una capa de control rígida sobre qué código puede ejecutarse en los equipos.

¿Qué deben hacer los administradores ante la retirada automática de MDAG? Microsoft recomienda activar las reglas ASR de Microsoft Defender for Endpoint para bloquear comportamientos de riesgo en archivos de Office, habilitar WDAC para garantizar que solo se ejecute código firmado y revisar documentación interna y guías de mesa de ayuda si la organización dependía de Application Guard para Office. Más allá de estas acciones, la retirada puede generar trabajo oculto en entornos que integraron MDAG en flujos automatizados. Por ejemplo un script que solo permitía abrir documentos tras pasar por MDAG deberá reescribirse y cualquier registro de pruebas de aislamiento que se enviaba a SIEMs por cumplimiento deberá revisarse.

Este impacto afecta sobre todo a organizaciones con políticas muy conservadoras sobre documentos de Office, como infraestructuras críticas o administraciones públicas, pero puede convertirse en un volumen considerable de trabajo para equipos de TI. La situación es otro recordatorio de la complejidad creciente de la plataforma Windows y del ritmo de aparición y desactivación de características, junto a novedades como los cambios en la arquitectura de seguridad de Windows 11 y funcionalidades impulsadas por Security Copilot.

En Q2BSTUDIO, como empresa de desarrollo de software y aplicaciones a medida, ayudamos a clientes a adaptar sus entornos y automatizaciones a estos cambios. Ofrecemos servicios integrales de ciberseguridad y pentesting para evaluar riesgo y diseñar controles equivalentes a MDAG, puede ver más sobre nuestras soluciones en servicios de ciberseguridad y pentesting. Además desarrollamos soluciones de inteligencia artificial y agentes IA para empresas que integran detección avanzada y respuesta automatizada, descubra nuestras propuestas en Inteligencia artificial para empresas.

Si su organización necesita reescribir flujos de trabajo, adaptar scripts, integrar registros en SIEMs o desplegar reglas ASR y políticas WDAC, Q2BSTUDIO puede acompañarle con servicios de software a medida y aplicaciones a medida, consultoría en inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio y soluciones con power bi. Contamos con experiencia en ia para empresas, agentes IA y automatización que facilitan la transición sin interrumpir procesos críticos.

Palabras clave: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.