¿Qué es la prevención de ejecución de datos y cómo funciona?

La prevención de ejecución de datos (DEP) es una característica de protección de la memoria en Microsoft Windows que evita la explotación de códigos maliciosos. Supervisa ciertas regiones o páginas de memoria y evita que ejecuten códigos maliciosos.

DEP utiliza mecanismos basados ​​en hardware y software para garantizar que las ubicaciones de memoria del sistema sean utilizadas únicamente por Windows y otras aplicaciones autorizadas.

Cuando DEP detecta un programa no deseado que ejecuta código en estas ubicaciones, notifica al usuario y finaliza el programa.

¿Cómo funciona la prevención de ejecución de datos?

A diferencia de un firewall o una suite antivirus, DEP no puede evitar que se instale malware en su computadora. Es solo una herramienta de seguridad que monitorea los programas en la computadora y garantiza que utilicen la memoria del sistema de manera segura.

DEP logra esto marcando una o más ubicaciones de memoria como no ejecutables. Una ubicación no ejecutable significa que el código no se puede ejecutar desde esa región de memoria, lo que reduce la amenaza de ataques de código malicioso.

En caso de que una aplicación intente ejecutar código desde una de las regiones de memoria protegida, se produce una infracción de acceso a la memoria y se notifica al usuario. Si el usuario no maneja la infracción, el proceso finaliza.

Una desventaja de usar DEP es que a veces puede marcar programas que dependen de los servicios de Microsoft Windows. Deberá deshabilitar DEP o crear una excepción para el programa en la configuración de su sistema para ejecutar dichos programas. Sin embargo, esto haría que el programa fuera vulnerable a ataques que luego podrían propagarse a otros programas y archivos en su computadora.

Antes de deshabilitar DEP para un programa, recomendamos buscar una versión compatible con DEP del programa con el fabricante del software.

Tipos de prevención de ejecución de datos

La Prevención de Ejecución de Datos puede ser aplicada tanto por hardware como por software para ayudar a prevenir la ejecución de código malicioso. Así es como los dos difieren:

1. DEP reforzado por hardware

El DEP basado en hardware marca todas las ubicaciones de memoria como no ejecutables a menos que una ubicación contenga explícitamente el código ejecutable. Se basa en el hardware del procesador para distinguir las ubicaciones de la memoria donde no se debe ejecutar el código.

La implementación basada en hardware de DEP varía con la arquitectura del procesador, pero todos los procesadores que admiten "protección de ejecución" pueden aplicar DEP basada en hardware contra explotaciones maliciosas. Ambas cosas AMD e Intel hacer que las arquitecturas de procesador sean compatibles con DEP.

Requisitos DEP aplicados por hardware

• El procesador de la computadora debe ser compatible con DEP.
• La DEP aplicada por hardware debe estar habilitada en el BIOS.
• La DEP aplicada por hardware debe estar habilitada para los programas del sistema.

2. DEP aplicado por software

La DEP aplicada por software es una tecnología de protección de memoria diseñada para evitar vulnerabilidades de código que aprovechan los mecanismos de manejo de excepciones de Windows. Cualquier procesador capaz de ejecutar Windows XP Service Pack 2 (SP2) y superior puede ejecutar la prevención de ejecución de datos forzada por software.

El DEP aplicado por software por sí solo solo puede proteger archivos binarios del sistema limitados. Para aprovechar al máximo la función de protección de ejecución, debe utilizar un procesador que admita DEP basado en hardware.

Cómo habilitar DEP en Windows 10 y 11

Puede habilitar, deshabilitar o hacer excepciones específicas para programas que no deberían usar DEP en ventanas 10 y 11. Para ello, puede utilizar cualquiera de los dos métodos siguientes.

1. Uso de la configuración del sistema

Usar el menú Configuración es la forma más sencilla de habilitar DEP en su máquina con Windows. Esto es lo que debe hacer:

1. Para comenzar, haga clic en Comienzo y seleccione Ajustes.
2. Tipo Ver la configuración avanzada del sistema y elija la misma opción en el menú desplegable.
3. Toque en Avanzado en la nueva ventana y seleccione Ajustes bajo la Actuación sección.
4. Haga clic en prevención de ejecución de datos en la barra de menú y marque la casilla contra Active DEP solo para todos los programas y servicios opción.
5. Aplicar los cambios y hacer clic DE ACUERDO para completar el proceso. También es posible que deba reiniciar el sistema para que los cambios surtan efecto.

También puede excluir ciertos programas de la protección DEP eligiendo Activar DEP para todos los programas y servicios excepto los que seleccione. Tan pronto como marque la casilla de esta opción, podrá agregar programas y servicios a la lista que no usarán DEP.

Además, la ventana de prevención de ejecución de datos también le indica si su procesador es compatible con DEP forzado por hardware.

2. Uso del símbolo del sistema

Alternativamente, puede usar el símbolo del sistema, que en realidad es un proceso de un solo paso, siempre que conozca la línea de comando. Siga los pasos a continuación:

1. Para habilitar DEP a través del símbolo del sistema, haga clic en Comienzo y tipo CMD en el cuadro de búsqueda.
2. Haga clic con el botón derecho en Símbolo del sistema y seleccione Ejecutar como administrador.
3. En la ventana del símbolo del sistema, escriba BCDEDIT /SET {ACTUAL} NX SIEMPRE y presiona Ingresar.

Los cambios surtirán efecto tan pronto como reinicie su computadora.

Disfrute de la protección contra vulnerabilidades de código

DEP no es una defensa integral contra todos los exploits. Es una función básica de protección del sistema y no debe usarla como reemplazo del software de firewall o antivirus.

Windows habilita DEP de manera predeterminada y permanecerá activo a menos que tenga una razón válida para deshabilitarlo para programas específicos instalados en su sistema.

¿Cuántas vulnerabilidades de seguridad existen y cómo se evalúan?

Leer siguiente

Sobre el Autor