Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Windows Defender SmartScreen comprueba la reputación de los archivos descargados antes de permitirles ejecutarse. Comprender cómo funciona la reputación le ayuda a establecer las expectativas adecuadas para los usuarios y elegir la estrategia de firma adecuada.
Sugerencia
La manera más sencilla de evitar las advertencias de SmartScreen es publicar a través del Microsoft Store. Las aplicaciones distribuidas por la Tienda llevan el certificado de Microsoft y nunca están sujetas a advertencias de descarga de SmartScreen. Todo lo de este artículo se aplica a las aplicaciones distribuidas fuera de la Tienda.
Funcionamiento de la reputación de SmartScreen
SmartScreen evalúa dos cosas cuando un usuario descarga un archivo:
- Reputación del editor— ¿Es el certificado de firma de un editor conocido y de confianza?
- Reputación del hash de archivo: ¿Este archivo específico ha sido descargado por suficientes usuarios sin ser reportado como malintencionado?
Ambas señales son necesarias para una experiencia de descarga limpia (sin advertencia). Un nuevo binario firmado de un editor de confianza seguirá recibiendo un mensaje de SmartScreen hasta que su hash acumule suficiente historial de descargas.
La reputación de SmartScreen es por hash de archivo — cada nueva compilación de la aplicación comienza con cero reputación. La reputación no se transfiere desde versiones anteriores.
Lo que cambió en 2024: los certificados EV ya no permiten que SmartScreen pase por alto comprobaciones de seguridad.
Históricamente, los certificados de firma de código de validación extendida (EV) otorgaban reputación inmediata en SmartScreen. Un binario firmado con EV no mostraría ninguna advertencia, incluso en la primera descarga. Este comportamiento se quitó en 2024 cuando Microsoft actualizó los requisitos del programa raíz de confianza.
Comportamiento actual (a partir de 2024):
| Tipo de certificado | Comportamiento de SmartScreen en la primera descarga |
|---|---|
| Sin firma | ❌ Bloqueo fuerte — "Windows ha protegido su PC"; es posible que se requiera confirmación adicional del usuario antes de que la aplicación pueda ejecutarse. La directiva de empresa puede impedir esta confirmación por completo. |
| Autofirmado | ❌ Bloqueo fuerte; certificado no es confiable por defecto; mismo comportamiento que sin firmar |
| Certificado de OV (validado por la organización) | ⚠️ Advertencia: aplicación marcada como no reconocida hasta que se acumula la reputación; el nombre del publicador se muestra como comprobado |
| Certificado EV (validación extendida) | ⚠️ Advertencia – igual que OV para archivos nuevos (ya no hay evitación instantánea) |
| Certificado de Firma de Artefactos de Azure (anteriormente Firma Confiable) | ⚠️ Advertencia para nuevos archivos; la reputación se acumula normalmente |
| Microsoft Store | ✅ Sin advertencia, cubierto por el certificado de Microsoft |
Los certificados EV siguen proporcionando valor (requieren más validación de identidad, lo que puede importar para la adquisición empresarial), pero ya no proporcionan omisión instantánea de SmartScreen. El pago de una prima para EV únicamente para evitar advertencias de SmartScreen ya no está justificada.
Opciones de certificado y sus implicaciones de SmartScreen
Microsoft Store (recomendado)
Las aplicaciones publicadas a través de la Microsoft Store se vuelven a firmar por Microsoft y llevan una reputación completa. Los usuarios nunca verán una advertencia de SmartScreen para una aplicación instalada en la Tienda.
Firma de Artefactos de Azure (anteriormente Firma de Confianza)
Firma de artefactos de Azure (anteriormente Firma de confianza) es el servicio de firma de código recomendado por Microsoft para la distribución fuera de la Tienda.
- Costo: Aproximadamente 10 dólares al mes: significativamente menor que los certificados de Autoridad Certificadora tradicionales
- No se requiere token de hardware — se integra directamente con canalizaciones de CI/CD (Acciones de GitHub, Azure DevOps)
- Validación de identidad requerida: Microsoft valida la identidad de la organización antes de emitir certificados.
- Comportamiento de SmartScreen: Igual que los certificados de OV: la reputación se acumula con el tiempo en función del volumen de descarga.
Certificados OV y EV de las CAs tradicionales
También se aceptan certificados tradicionales de firma de código de entidades de certificación (DigiCert, Sectigo, etc.). Los certificados OV normalmente cuestan 150–300 USD al año; Certificados EV de $400+/año. Ambos ahora tienen un comportamiento equivalente de SmartScreen para los nuevos archivos.
Si ya tiene un certificado OV o EV, sigue siendo válido y funcional. Si va a comprar un nuevo certificado, Firma de artefactos de Azure (anteriormente Firma de confianza) suele ser la mejor opción para la distribución de aplicaciones de Windows.
Qué esperar al publicar una nueva aplicación
- Primeras descargas: Los usuarios pueden ver un mensaje de SmartScreen que indica que la aplicación no está reconocida. En el caso de las aplicaciones firmadas, se muestra el nombre del publicador: la advertencia se refiere a la baja reputación de los archivos, no a un publicador desconocido. Los usuarios solo deben continuar después de comprobar el origen.
- A medida que se acumulan las descargas: La reputación de SmartScreen se acumula automáticamente. El mensaje dejará de aparecer una vez que el hash del archivo tenga suficiente historial de descargas. En función de los informes de desarrolladores, esto suele tardar varias semanas y cientos de instalaciones limpias: no hay ningún umbral exacto que Microsoft publica.
- Nueva versión: Cada nueva versión empieza de nuevo: la reputación no se transfiere del hash de la versión anterior.
No hay ninguna manera de enviar manualmente un archivo para revisar la reputación de SmartScreen para los puntos de conexión de consumidor. La reputación se crea orgánicamente a través del volumen de descarga.
Sugerencia
Para entornos empresariales, los administradores de TI pueden enviar archivos para su revisión a través del portal de inteligencia de Seguridad de Microsoft. Esto puede acelerar la confianza de las implementaciones internas o administradas, pero no afecta al comportamiento de SmartScreen del consumidor.
Nota:
Los entornos empresariales administrados por Microsoft Defender para punto de conexión o Windows Defender Control de aplicaciones (WDAC) pueden tener un comportamiento de SmartScreen diferente en función de la configuración de la directiva. Los administradores de TI pueden permitir incluir certificados de publicador específicos o hashes de archivo para omitir las comprobaciones de SmartScreen para dispositivos administrados.
Minimizar las advertencias de SmartScreen en la práctica
- Publicar en Microsoft Store cuando sea factible; es la manera más confiable de evitar por completo las advertencias.
- Firmar cada versión : los archivos sin firmar muestran una advertencia de SmartScreen más sólida que los archivos firmados, y las empresas pueden bloquear archivos binarios sin firmar por completo
- Usar una identidad de firma coherente : cambiar el certificado de firma afecta a la señal de confianza del publicador; Tenga en cuenta que el hash de cada nueva compilación también comienza sin reputación de archivo, independientemente de la continuidad del certificado.
- Utilice Azure firma de artefactos (anteriormente Firma de confianza) para la distribución que no es de la tienda, ya que es rentable y se integra con las canalizaciones de compilación automatizadas.
- Comunicarse con los usuarios pioneros : para las nuevas aplicaciones, informe a los usuarios beta de que pueden ver un mensaje de SmartScreen en la primera descarga y que solo deben continuar después de comprobar el publicador y confirmar que confían en el origen de descarga.
Contenido relacionado
- Sear una ruta de distribución para la aplicación de Windows
- Estado actual de las características de distribución de aplicaciones de Windows
- Firmar un paquete de aplicación mediante SignTool
- Documentación de firma de artefactos de Azure (anteriormente Firma de confianza)
- Requisitos del programa de certificados raíz de confianza de Microsoft
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
