Microsoft Office ha admitido ActiveX durante años como una opción para la extensibilidad y automatización de documentos, pero también es una grave vulnerabilidad de seguridad. Ahora, Microsoft finalmente está comenzando a deshabilitar ActiveX en las aplicaciones de Microsoft 365, siguiendo una medida similar con la suite Office 2024 el año pasado.
Cambios de seguridad importantes
A partir de este mes, las versiones de Windows de Microsoft Word, Excel, PowerPoint y Visio en Microsoft 365 deshabilitarán todo el contenido ActiveX de forma predeterminada sin mostrar una notificación. Las versiones Mac y web de Office nunca han admitido ActiveX.
La configuración predeterminada anterior permitía a los usuarios habilitar controles ActiveX potencialmente peligrosos, que podían ser explotados por hackers mediante ingeniería social o archivos maliciosos. La nueva configuración predeterminada es más segura porque bloquea completamente estos controles, lo que reduce el riesgo de malware o ejecución de código no autorizado, según Microsoft en una publicación de blog.
Este cambio se implementó en Microsoft Office 2024, pero ahora también se aplicará a las aplicaciones de Microsoft 365 basadas en suscripción. La función está actualmente disponible en el Canal Beta para la versión 2504 (compilación 18730.20030) y superiores y pronto se implementará para todos los usuarios de Windows.

ActiveX no se elimina por completo
Es importante tener en cuenta que ActiveX no se elimina por completo de las aplicaciones de Office. Es posible que algunas organizaciones aún tengan esta función habilitada, y las cuentas individuales pueden volver a habilitarla yendo a:
Archivo > Opciones > Centro de confianza > Configuración del Centro de confianza > Configuración de ActiveX > Preguntarme antes de habilitar todos los controles con restricciones mínimas .
Microsoft lanzó la primera versión de ActiveX en 1996, permitiendo que las páginas web en Internet Explorer y documentos de Office incorporen código complejo y contenido interactivo. Por ejemplo, ActiveX puede crear botones y listas de verificación en documentos de Office que pueden modificar el documento o realizar acciones externas al hacer clic.
Si bien ActiveX tiene algunos usos legítimos, es más conocido por sus ataques de phishing y malware. Han habido múltiples vulnerabilidades de ActiveX que permiten que un documento de Word o PowerPoint aparentemente seguro cambie la configuración y los archivos de Windows. También es una amenaza frecuente a la seguridad y la privacidad en Internet Explorer y nunca llegó a Microsoft Edge.
Microsoft actualizó previamente las aplicaciones de Office para que no ejecuten automáticamente contenido ActiveX, pero algunos archivos maliciosos aún pueden engañar a los usuarios para que hagan clic en el botón "Habilitar contenido". La eliminación de esta opción por defecto por parte de Microsoft debería ayudar a reducir los ataques, permitiendo al mismo tiempo que ActiveX se ejecute si es absolutamente necesario.
El cambio mencionado anteriormente parece ser el paso final antes de que ActiveX se elimine por completo de Office, pero no está claro cuándo (o si) eso sucederá. Algunos documentos solo funcionan correctamente con ActiveX, y la nueva plataforma de complementos de Microsoft no es un reemplazo completo.
Deshabilitar ActiveX es otro paso en los esfuerzos de Microsoft por reducir los riesgos de seguridad, especialmente a medida que los ataques de phishing y malware se vuelven más sofisticados.