Software más seguro gracias a Signing Transparency: ¿Qué aporta la novedad de Microsoft?

28/11/2025 | Jindřich Zechmeister

Microsoft presentó Signing Transparency, un registro transparente verificable criptográficamente que aumenta la confianza en el software y protege contra los ataques a la cadena de suministro de software. Descubra cómo esta tecnología está cambiando la forma en que se verifican los artefactos firmados.

Por qué la seguridad de la cadena de suministro de software es cada vez más desafiante

La seguridad de la cadena de suministro de software ha sido uno de los mayores temas en el ámbito de la ciberseguridad en los últimos años. Las aplicaciones modernas ya no son un único paquete monolítico de código, sino un mosaico de componentes internos, bibliotecas de código abierto, servicios de terceros y herramientas de construcción. Basta con un único punto débil en esta cadena y un atacante puede insertar código malicioso en un software que parece legítimo sin ser detectado. Las firmas digitales tradicionales aún desempeñan un papel importante, pero por sí solas ya no son suficientes contra ataques sofisticados, especialmente cuando puede estar comprometida la clave de firma o todo el sistema de construcción.

Microsoft introduce Signing Transparency

Microsoft responde a este problema con un nuevo servicio llamado Signing Transparency, que fue presentado en vista previa pública. Su objetivo es agregar una capa adicional de confianza y transparencia al proceso de firma. La idea básica es simple: cada artefacto firmado, ya sea un binario, una imagen de contenedor, un firmware u otro tipo de software, no se quedará solo con la firma digital estándar, sino que también se creará un registro inmutable en el llamado log de transparencia.

Cómo funciona Signing Transparency

Cuando se firma un artefacto, la información sobre la firma se envía al servicio Signing Transparency. Este lleva un log asegurado criptográficamente, solo de anexión, es decir, un libro de contabilidad al que solo se pueden añadir nuevos elementos, pero no se pueden modificar ni borrar retroactivamente. Este log se ejecuta en un entorno de computación confidencial, por lo tanto, la infraestructura donde reside está protegida contra accesos no autorizados. Luego se emite un llamado "recibo", que es una confirmación criptográfica de que la firma ha sido registrada en el log, incluyendo la prueba basada en el árbol de Merkle, de cuándo y por quién fue firmado el artefacto.

Beneficios para los receptores y emisores de software

Para los receptores de software, esto significa que ya no tienen que confiar solo en que la firma en el archivo parezca legítima. Pueden verificar de manera independiente si la firma realmente existe en el log oficial, si corresponde al emisor esperado y si no ha habido cambios sospechosos. Un atacante que se apodere de la clave de firma podría aún firmar código malicioso, pero no podría eludir el log transparente: cada firma de este tipo sería rastreable y auditable. Esto dificulta significativamente los ataques de compromiso silencioso de actualizaciones, donde los usuarios reciben una actualización aparentemente legítima que contiene malware oculto.

Otro paso en la evolución de la firma de software

Signing Transparency en general representa un paso importante en la evolución de la firma digital. Ya no basta con verificar que el archivo está firmado: debe ser posible demostrar que la firma encaja en un contexto más amplio, transparente y auditable. Microsoft responde así al creciente número de ataques a la cadena de suministro de software y a la necesidad de estandarizar la confiabilidad del software en todo el ecosistema.

Fuentes:

Artículo Enhancing software supply chain security with Microsoft’s Signing Transparency, disponible en el blog de Azure.