Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SmartScreen de Microsoft Defender comprueba la reputación de los archivos descargados antes de permitirles ejecutarse. Comprender cómo funciona la reputación puede ayudar a evitar advertencias cuando los usuarios descargan o ejecutan los archivos.
Sugerencia
La manera más sencilla de evitar las advertencias de SmartScreen es publicar a través del Microsoft Store. Las aplicaciones distribuidas por la Tienda están firmadas por un certificado de Microsoft y nunca están sujetas a advertencias de descarga de SmartScreen. El resto de este artículo se aplica a las aplicaciones distribuidas fuera de la Tienda.
Funcionamiento de la reputación de SmartScreen
SmartScreen evalúa dos señales cuando un usuario descarga y ejecuta un archivo:
- Reputación del editor — ¿Está el archivo firmado? ¿Es el certificado de firma de un publicador conocido de confianza?
- Reputación de archivo hash — ¿Este archivo específico ha sido descargado por los usuarios sin indicaciones de comportamiento malicioso?
Una reputación negativa o desconocida del hash de un archivo o del certificado de su editor puede provocar advertencias. Incluso cuando se firma, un binario recién creado podría seguir mostrando una advertencia de SmartScreen hasta que su hash o certificado de editor acumulen pruebas suficientes de reputación positiva.
Cuando un archivo no está firmado, la reputación de SmartScreen debe compilarse para cada nueva versión de los archivos, empezando por cero reputación. La reputación no puede transferirse desde versiones anteriores a menos que ambos se hayan firmado con la misma identidad del publicador.
Opciones de certificado y sus implicaciones de SmartScreen
Para reducir la probabilidad de interrupción, debe firmar todos los archivos con un certificado válido.
| Tipo de certificado | Comportamiento de SmartScreen en la primera descarga |
|---|---|
| Microsoft Store | ✅ Sin advertencia, cubierto por el certificado de Microsoft |
| Certificado válido (OV/EV) | ⚠️ Advertencia: aplicación marcada como no reconocida hasta que se acumula la reputación; Se muestra el nombre del publicador comprobado |
| Sin firma | |
| Certificado autofirmado | ⚠️ Advertencia — Mismo comportamiento que sin firma |
Nota:
Los certificados EV ya no omiten SmartScreen. Hace años, la firma de archivos con un certificado de firma de código de validación extendida (EV) daría como resultado una reputación positiva de SmartScreen de forma predeterminada, pero este comportamiento ya no existe. Los certificados EV pueden ser importantes para la adquisición empresarial, pero ya no afectan al comportamiento de SmartScreen. El pago de una prima para EV únicamente para evitar advertencias de SmartScreen ya no está justificada.
Microsoft Store (recomendado)
Las aplicaciones publicadas a través de la Microsoft Store se vuelven a firmar por Microsoft y llevan una reputación completa. Los usuarios nunca verán una advertencia de SmartScreen para una aplicación instalada en la Tienda.
Firma de artefactos (anteriormente Firma de confianza)
Artifact Signing (anteriormente Trusted Signing) es el servicio de firma de código recomendado de Microsoft para la distribución fuera de la Tienda:
- Costo: Aproximadamente 10 USD al mes
- No se requiere token de hardware — se integra directamente con canalizaciones de CI/CD (Acciones de GitHub, Azure DevOps)
- Validación de identidad requerida: Microsoft valida la identidad antes de emitir certificados.
- Comportamiento de SmartScreen : la reputación se acumula con el tiempo en función del volumen de descarga y el comportamiento
Qué esperar al publicar una nueva aplicación
- Primeras descargas: Los usuarios pueden ver un mensaje de SmartScreen que indica que la aplicación no está reconocida. En el caso de las aplicaciones firmadas, se muestra el nombre del publicador. Los usuarios solo deben continuar después de comprobar el origen.
- A medida que se acumulan las descargas: La reputación de SmartScreen se acumula automáticamente. El mensaje dejará de aparecer una vez que el hash del archivo tenga suficiente historial de descargas. No hay ningún umbral exacto, pero puede tardar varias semanas y cientos de instalaciones limpias por parte de un público amplio.
- Nueva versión: La firma de archivos mediante un certificado de confianza puede permitir que se compile la reputación del certificado, lo que podría evitar advertencias en los nuevos archivos firmados por el mismo certificado de confianza. Los archivos sin firmar deben crear la reputación de nuevo con cada actualización.
No es necesario ni hay un mecanismo para enviar manualmente un archivo para la revisión de reputación de SmartScreen en los dispositivos de los consumidores. La reputación se crea orgánicamente a través del volumen de descarga.
Nota:
Los entornos empresariales pueden tener un comportamiento diferente de SmartScreen en función de la configuración de la directiva; Por ejemplo, la capacidad de omitir una advertencia de SmartScreen puede deshabilitarse. Las empresas pueden distribuir archivos desde ubicaciones de intranet de confianza no sujetas a la revisión de SmartScreen. Los administradores de TI de empresa pueden enviar archivos para su revisión a través del portal Seguridad de Microsoft Intelligence. Esto puede acelerar la confianza para implementaciones internas o administradas.
Minimizar las advertencias de SmartScreen en la práctica
- Publicar en Microsoft Store cuando sea factible; es la manera más confiable de evitar por completo las advertencias.
- Firmar cada versión — los archivos sin firmar no pueden heredar una reputación positiva del certificado de firma digital
- No modificar archivos firmados : evite modificar los archivos después de firmar, ya que puede interrumpir la firma en función de la configuración del cliente.
- No firmar aplicaciones potencialmente no deseadas : evite firmar ningún archivo que muestre un comportamiento de aplicación malintencionado o potencialmente no deseado , o bien que el certificado pueda desarrollar una reputación negativa .
- Uso de una identidad de firma coherente : el cambio del certificado de firma afecta a la señal de confianza del publicador
- Comunicarse con los usuarios pioneros : para las nuevas aplicaciones, informe a los usuarios beta de que pueden ver un mensaje de SmartScreen en la primera descarga y que solo deben continuar después de comprobar el publicador y confirmar que confían en el origen de descarga.
Sugerencia
En dispositivos con Windows 11, la característica Smart App Control puede sustituir la funcionalidad de reputación de aplicaciones de SmartScreen. Smart App Control bloqueará la ejecución de archivos sin firmar a menos que el archivo tenga una reputación positiva. Las comprobaciones de firma de Smart App Control se aplican a todos los archivos ejecutables, no solo a los descargados de Internet.
Contenido relacionado
- Sear una ruta de distribución para la aplicación de Windows
- Estado actual de las características de distribución de aplicaciones de Windows
- Firmar un paquete de aplicación mediante SignTool
- Documentación de Firma de Artefactos (anteriormente Firma Confiable)
- Requisitos del programa de certificados raíz de confianza de Microsoft
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
Windows developer