Microsoft ha modificado el comportamiento del panel de vista previa en el Explorador de archivos de Windows para reducir un vector de filtración de credenciales con interacción mínima. Desde las actualizaciones publicadas el 14 de octubre de 2025, la vista previa se deshabilita automáticamente para archivos descargados de Internet o ubicados en rutas que Windows clasifica como “zona Internet”, mitigando la exposición de hashes NTLM al simplemente seleccionar un archivo.
Qué ha cambiado en Windows 11 y Windows Server: vista previa bloqueada por MotW y zonas Internet
El cambio aplica a dos conjuntos de objetos: archivos con Mark of the Web (MotW) y contenido alojado en recursos de red asignados a la zona “Internet”. En ambos casos, el panel de vista previa deja de renderizar el contenido y muestra una advertencia que invita a abrir el archivo de forma explícita solo si se confía en su origen. Este ajuste neutraliza cargas de contenido activo inadvertidas en el Explorador.
Riesgo NTLM: por qué la vista previa podía filtrar credenciales
Algunos formatos con contenido activo (por ejemplo, HTML incrustado o metadatos que referencian recursos externos mediante link, src o rutas UNC/SMB/WebDAV) pueden generar solicitudes de red implícitas durante la vista previa. En esos flujos, Windows podría intentar autenticarse con NTLM, enviando un desafío-respuesta que un atacante puede interceptar o reenviar (NTLM relay). Lo crítico es que el usuario no necesita abrir el archivo: basta con resaltarlo para que el panel de vista previa dispare la petición.
MotW y zonas de seguridad: cómo decide Windows aplicar restricciones
MotW es un flujo alterno (Zone.Identifier) que navegadores y aplicaciones establecen al almacenar archivos desde orígenes externos. Con base en ese indicador y en la asignación de zonas (Internet, Intranet, Sitios de confianza), Windows y SmartScreen aplican controles adicionales: avisos de ejecución, modos protegidos y, ahora, bloqueo de la vista previa en el Explorador. Esta defensa reduce la probabilidad de descargas silenciosas de recursos remotos y la exposición de secretos durante el renderizado.
Disponibilidad y excepciones seguras para escenarios de confianza
La modificación está disponible en Windows 11 y Windows Server tras instalar los acumulativos de octubre. Si existe una necesidad legítima, el usuario puede levantar el bloqueo de forma granular desde Propiedades del archivo, pestaña General, mediante la opción “Desbloquear”. Para rutas de red internas confiables, los administradores pueden añadirlas a Trusted Sites desde “Propiedades de Internet” en la pestaña “Seguridad”.
Análisis experto: cerrando un vector de “cero clics” en el Explorador
Eliminar el renderizado automático del panel de vista previa suprime un punto de exposición con fricción casi nula, especialmente frente a formatos capaces de referenciar rutas SMB o WebDAV. Este patrón es consistente con la documentación de Microsoft sobre Restrict NTLM y con técnicas catalogadas por MITRE ATT&CK relacionadas con intermediación y relay de credenciales. Casos reales como CVE-2023-23397 en Microsoft Outlook evidencian el impacto de fugas de NTLM a través de rutas UNC hacia servidores controlados por atacantes; la respuesta de plataforma refuerza el principio de “contenido activo bajo consentimiento explícito”.
Recomendaciones para empresas: defensa en profundidad más allá del Explorador
- Reducir/Elminar NTLM: habilitar la directiva “Network Security: Restrict NTLM” y priorizar Kerberos; inventariar dependencias antes de endurecer.
- Proteger el subsistema de credenciales: activar Windows Defender Credential Guard; exigir SMB signing y, cuando aplique, considerar SMB over QUIC para integridad y cifrado robustos.
- Bloquear llamadas salientes indebidas: limitar NTLM hacia Internet en proxies y firewalls; deshabilitar protocolos heredados que facilitan el relay.
- Endurecer el endpoint: aplicar reglas de Attack Surface Reduction y mantener SmartScreen habilitado; seguir las Windows Security Baselines de Microsoft.
- Confianza y trazabilidad: firmar digitalmente documentos internos; usar canales gestionados de intercambio de archivos para quitar MotW solo donde esté justificado.
- Concienciación: entrenar a los usuarios para identificar riesgos de “archivos de Internet” y evitar trabajar con ellos desde ubicaciones de red no confiables.
La decisión de deshabilitar la vista previa para archivos de Internet representa un equilibrio práctico entre usabilidad y seguridad: cierra un vector común con impacto operativo mínimo y ofrece vías controladas para otorgar confianza explícita. Es aconsejable revisar procesos que dependan de la vista previa de “archivos externos” y complementar con políticas de restricción de NTLM, protección de credenciales y endurecimiento del endpoint para elevar el nivel de ciberhigiene organizacional.
