Qué es Windows Information Protection (WIP) y cómo funciona

Mundobytes » Tutoriales » Qué es Windows Information Protection (WIP) y cómo aplicarlo en tu empresa

WIP protege datos corporativos en Windows mediante políticas MDM/MAM e identidad Microsoft Entra.
Las apps pueden ser habilitadas o compatibles; la lista de permitidos y las reglas gestionan copiar/pegar y acceso.
Configuración avanzada: dominios, rangos IP, proxys, certificado DRA y reglas AppLocker.

Windows Information Protection (WIP) es una tecnología incluida en Windows 10 y versiones posteriores que ayuda a evitar fugas de datos sin entorpecer el trabajo diario. En pocas palabras, permite separar y proteger los datos corporativos en dispositivos que pueden ser tanto personales como de empresa, controlando cómo se comparten, copian o mueven esos datos entre aplicaciones y redes.

Con WIP, las organizaciones pueden definir directivas precisas que determinan qué apps pueden abrir documentos de la empresa, si está permitido copiar contenido al portapapeles y pegarlo en otro contexto, o si se bloquea del todo. Gracias a su integración con la administración de dispositivos (MDM) y la administración de aplicaciones (MAM), WIP es versátil en escenarios BYOD y en equipos totalmente gestionados, minimizando el impacto en los datos personales del usuario.

Qué es Windows Information Protection (WIP)

En esencia, WIP es un conjunto de características de Windows orientadas a proteger la información corporativa en escritorios, portátiles, tabletas y teléfonos que la organización administre mediante MDM o, cuando proceda, solo a nivel de aplicaciones con MAM. Desde Windows 10, versión 1607, estas capacidades permiten aplicar políticas de protección sobre datos empresariales sin mezclar ni dañar los archivos privados del usuario.

Mediante MDM o MAM, un administrador define la lista de aplicaciones permitidas y las reglas de uso de los datos. Si una app está incluida en la directiva, todo lo que cree o manipule bajo el contexto corporativo queda sujeto a las restricciones marcadas: por ejemplo, copiar y pegar desde un documento de la empresa a uno personal puede bloquearse o requerir advertencia al usuario, y también se controlan elementos como el acceso a redes VPN o el uso compartido entre apps.

En dispositivos inscritos en MDM, el flujo típico es claro: el usuario registra el dispositivo en la plataforma de la organización y el administrador entrega las directivas a través de Microsoft Intune o System Center Configuration Manager (SCCM). Para dispositivos no inscritos (BYOD), MAM permite aplicar políticas directamente sobre apps concretas, de modo que al instalar esas apps el usuario recibe la directiva asociada.

Cuando el dispositivo se da de baja de MDM o el usuario desinstala las apps gestionadas con MAM, los administradores pueden borrar selectivamente los datos corporativos del equipo. Esta revocación de acceso afecta a los ficheros cifrados bajo WIP, eliminando el riesgo de que documentos sensibles queden expuestos fuera del control de la empresa.

Cómo actúa WIP sobre las aplicaciones

Si una aplicación está en la lista de permitidos de la política, todo dato generado bajo contexto de empresa queda sujeto a protección: esto puede implicar que, si se revoca el acceso del usuario, pierda el acceso a los datos corporativos de esa aplicación. Esta lógica encaja con apps puramente empresariales, pero no con aquellas que los usuarios usan tanto para trabajo como para actividades personales.

Para esos casos, Microsoft recomienda desarrollar aplicaciones habilitadas para empresa (enlightened/enterprise-enabled), capaces de distinguir de forma inteligente qué es corporativo y qué es personal. De esta forma, la app aplica la política solo a lo que proceda y conserva la integridad de los datos privados del usuario, evitando molestias como prompts innecesarios o bloqueos injustificados.

Además, al habilitar una app con las API de WIP, es posible personalizar la experiencia: por ejemplo, si la directiva permite pegar datos empresariales en un documento personal, la app puede evitar preguntar cada vez y mostrar en su lugar mensajes informativos propios cuando detecte ciertas acciones del usuario.

Para desarrolladores, existen guías específicas: aplicaciones UWP en C# y aplicaciones de escritorio en C++ pueden apoyarse en la documentación técnica de WIP para instrumentar la detección de contexto, el etiquetado de datos y el cumplimiento de las reglas definidas por TI.

Apps no habilitadas para empresa: cuándo y cómo

Si vas a crear una aplicación de línea de negocio (LOB) destinada solo a uso corporativo, puede que no necesites habilitarla con las API de WIP. Aun así, conviene probarla bajo directiva para confirmar que funciona correctamente y que no cifra, por accidente, archivos personales del usuario como metadatos, imágenes u otros recursos auxiliares.

En el caso de aplicaciones de escritorio de Windows, es buena práctica iniciar la app, utilizarla, anular la inscripción del dispositivo en MDM y verificar que puede volver a iniciarse. Si algún fichero crítico para su funcionamiento quedase cifrado por WIP y dejase de estar accesible, la aplicación podría no arrancar. Tras las pruebas, se recomienda añadir en el proyecto la marca de compatibilidad para que Windows proteja por ti los datos empresariales y no interfiera con lo personal:

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO
EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN 0x0001
END

Esta marca no es obligatoria para directivas desplegadas vía MDM, pero sí lo es en escenarios MAM, donde la gestión se aplica a aplicaciones concretas sin inscribir el dispositivo al completo.

Errores al abrir imágenes en Windows 11: guía completa de soluciones y formatos

Para aplicaciones UWP que vayan a entrar en el alcance de una directiva MAM, habilitarlas es imprescindible. Aunque en MDM no siempre sea requerido, en entornos con consumidores de la organización es difícil prever qué sistema de administración se usará, por lo que habilitar la app garantiza que funcionará correctamente en ambos contextos.

Integración con Microsoft Entra ID y Workplace Join (WPJ)

WIP se integra con el servicio de identidad Microsoft Entra ID tanto para el usuario como para el dispositivo, durante la inscripción y la descarga de directivas. En dispositivos personales, se utiliza Workplace Join (WPJ): el usuario añade su cuenta profesional o educativa como secundaria, manteniendo su cuenta personal como principal, y el dispositivo queda registrado con WPJ.

Si el dispositivo se une (join) a Microsoft Entra ID, queda inscrito en MDM. En general, un equipo con cuenta personal como principal se considera dispositivo personal y debería registrarse con WPJ; los dispositivos corporativos, por su parte, se deben unir a Entra ID y administrarse con MDM. Un detalle práctico: los usuarios estándar (no administradores) pueden realizar inscripción en MAM directamente, lo que simplifica la adopción.

Los usuarios pueden agregar su cuenta de Entra desde una app compatible (por ejemplo, aplicaciones de Microsoft 365 actuales) o desde Configuración en Cuenta > Acceso a trabajo o escuela. Este flujo facilita que WIP determine el contexto corporativo para aplicar la protección adecuada en el día a día.

Tipos de aplicaciones bajo WIP y cómo se comportan

Para proteger apps propiedad del usuario en equipos personales, WPJ limita la aplicación de WIP a dos categorías: aplicaciones habilitadas (capaces de diferenciar entre datos corporativos y personales) y aplicaciones compatibles (que informan a Windows de que no gestionan datos personales, y por tanto Windows puede proteger por ellas el contenido empresarial).

Las aplicaciones compatibles deben incluir en sus recursos la información de marcado de autoprotección, de forma que Windows sepa que puede aplicar WIP a los datos de empresa que tratan, sin afectar al resto. Esa marca es la misma que se indicaba para apps de escritorio y garantiza un comportamiento consistente en despliegues MAM.

Preparar el inquilino de Microsoft Entra para MAM

La inscripción MAM requiere que el proveedor publique su aplicación de administración en la galería de Microsoft Entra. Normalmente se usa la misma app de administración basada en la nube tanto para MDM como para MAM; si ya existía para MDM, hay que actualizarla con las URL de inscripción y los términos de uso específicos de MAM.

En función de la arquitectura de la empresa, puede haber uno o dos proveedores: si MAM y MDM los sirve el mismo, bastará una sola aplicación de administración; si son distintos, habrá que configurar dos aplicaciones en Entra ID, una para MAM y otra para MDM. Así se mantienen separadas las rutas de inscripción y la distribución de políticas en cada caso.

Inscripción MAM: protocolo, autenticación y ejemplo

La inscripción MAM se basa en la extensión MAM del protocolo [MS-MDE2] y admite como método de autenticación Microsoft Entra ID federado. Existen diferencias frente a MDM: no hay detección MDM, el nodo APPAUTH en DMAcc CSP es opcional y no se usa certificado de autenticación de cliente ni [MS-XCEP]; en su lugar, el cliente usa un token de Entra y las sesiones de sincronización se establecen sobre TLS/SSL unidireccional con autenticación de servidor.

Un ejemplo de provisioning XML para MAM podría ser:

<wap-provisioningdoc version="1.1">
  <characteristic type="APPLICATION">
    <parm name="APPID" value="w7" />
    <parm name="PROVIDER-ID" value="MAM SyncML Server" />
    <parm name="NAME" value="mddprov account" />
    <parm name="ADDR" value="http://localhost:88" />
    <parm name="DEFAULTENCODING" value="application/vnd.syncml.dm+xml" />
  </characteristic>
</wap-provisioningdoc>

Si no se define un nodo de sondeo (Poll), el dispositivo realizará la comprobación cada 24 horas por defecto, lo que marca el ritmo de actualización de políticas en este modo de administración.

Switch iPhone Images to Exterior Onerous Drive On Home windows PC

CSP admitidos y políticas de bloqueo de dispositivo/EAS

WIP admite un conjunto específico de CSP (Configuration Service Providers) y bloquea el resto en escenarios MAM; esta lista puede cambiar con el tiempo según la retroalimentación de clientes, por lo que conviene revisar la documentación vigente antes de desplegar.

En cuanto a controles de bloqueo, MAM soporta directivas parecidas a MDM utilizando el área DeviceLock del CSP de Policy y el CSP PassportForWork. No se recomienda combinar directivas EAS y MAM en el mismo dispositivo, pero si ocurre, Windows evalúa si las políticas MAM cumplen con EAS y, de ser así, notifica cumplimiento para permitir la sincronización de correo.

Si el dispositivo no cumple, EAS puede aplicar sus propias directivas (requiere derechos de administrador) y el conjunto efectivo será un superconjunto de ambas. En caso de que un equipo con EAS se inscriba después en MAM, coexistirán los dos grupos de políticas, de nuevo con efecto combinado.

Sincronización de políticas y cambio de MAM a MDM

La sincronización de directivas MAM se modela tras MDM, pero el cliente usa tokens de Microsoft Entra para autenticarse ante el servicio durante los ciclos de sincronización. Este enfoque simplifica la autenticación del lado del dispositivo y reduce dependencias de certificados de cliente.

Windows no soporta aplicar simultáneamente MAM y MDM en el mismo dispositivo. Si el administrador lo permite, los usuarios pueden migrar de MAM a MDM. Para ello, hay que configurar la URL de detección MDM en el CSP DMClient; tras el traspaso y la aplicación completa de las políticas MDM, se retiran las políticas MAM.

Normalmente, al quitar las políticas WIP del dispositivo, el acceso del usuario a documentos protegidos se revoca (borrado selectivo), salvo que el ajuste EDP.RevokeOnUnenroll esté en false. Para evitar ese borrado en el cambio de MAM a MDM, el administrador debe garantizar que: ambas directivas (MAM y MDM) soportan WIP, el Enterprise ID de EDP es idéntico en MAM y MDM, y EDP.RevokeOnMDMHandoff está en false.

Cuando el dispositivo MAM está listo para el cambio, el usuario verá el vínculo «Inscribir solo en la administración de dispositivos» en Configuración > Cuentas > Acceso profesional o educativo. Al seleccionarlo e introducir credenciales, la inscripción pasa a MDM y la cuenta de Microsoft Entra del usuario no se ve afectada.

Administración con Citrix XenMobile: directiva WIP y parámetros

En XenMobile (Citrix), WIP —anteriormente llamado Enterprise Data Protection (EDP)— se gestiona como una directiva de dispositivo para Windows 10/11. Es posible definir las aplicaciones con WIP y el nivel de exigencia, con una lista base de apps comunes y la opción de añadir más a mano.

Las aplicaciones pueden marcarse como Permitidas (leen, crean y actualizan datos de empresa), Denegadas (no acceden a datos de empresa) o Exentas (pueden leer datos de empresa pero no crear/modificar). Además, la directiva admite tres modos de protección: Silencioso (audita sin bloquear), Reemplazar (advierte y permite anulación) y Bloquear (impide compartir de manera no segura), junto a la opción Desactivado.

Para excluir apps con problemas conocidos de compatibilidad, Microsoft proporciona un XML de AppLocker recomendado. Al importarlo en XenMobile, se combina con la configuración de apps de escritorio y de tienda dentro de la directiva que se envía al dispositivo, lo que ayuda a evitar conflictos en escenarios reales.

Parámetros clave que se pueden configurar en XenMobile para WIP:

Nombres de dominio protegidos: dominios usados por la identidad de los usuarios (el primero actúa como identidad empresarial principal). Separados por «|».
Certificado de recuperación de datos: certificado DRA (EFS) distribuido vía MDM para recuperar datos de archivos cifrados; imprescindible si se quiere desbloquear contenidos en caso de contingencia.
Nombres de dominio de red: dominios perimetrales de la empresa; el tráfico a estos dominios se considera protegido por WIP.
Intervalos IP: rangos IPv4/IPv6 corporativos; WIP los trata como destinos seguros para compartir datos.
La lista de intervalos IP es autoritativa: si está activada, impide la detección automática de IPs por parte de Windows.
Servidores proxy: proxies de salida para recursos empresariales; necesarios para asegurar acceso consistente cuando el cliente está detrás de un proxy.
Servidores proxy internos: proxies usados para conectar a recursos en la nube; el tráfico vía estos proxies se trata como corporativo.
Recursos de nube: listado de recursos cloud protegidos por WIP, con asignación opcional a un proxy interno.
Revocar certificado WIP al desinscribir: revoca o conserva las claves locales de cifrado al darse de baja.
Mostrar iconos de superposición: superpone el icono de WIP sobre archivos empresariales y apps solo corporativas en Inicio.

Ejemplo: ¿Cómo puedo compartir mi cuenta de Spotify con mis amigos y familiares?

Para crear el certificado de recuperación de datos (requisito de la directiva), en el servidor con la consola de XenMobile abre un símbolo de sistema en una carpeta cualquiera y ejecuta:

cipher /r:ESFDRA

El asistente solicitará una contraseña y generará un .cer y un .pfx; después, en la consola de XenMobile, importa el .cer en Parámetros > Certificados y aplícalo a dispositivos Windows 10/11. Con la directiva en vigor, verás iconos de WIP en apps y archivos, y si el usuario intenta copiar o guardar contenido protegido en una ubicación no protegida, aparecerán avisos o bloqueos según el nivel de exigencia.

WIP con Dropbox para equipos

WIP se puede combinar con la app de escritorio de Dropbox en Windows 10 o posterior. Tras configurar el dispositivo, incluye Dropbox en la lista de permitidos del software de gestión empresarial: así, la aplicación sincroniza archivos cifrados dentro del dominio gestionado por WIP de tu organización.

Los ficheros nuevos añadidos a cuentas de Dropbox desde equipos con WIP quedarán protegidos por defecto. La sincronización funciona con normalidad mientras la cuenta de Dropbox está asociada a un dominio con acceso válido; si el archivo pertenece a un dominio que la cuenta no puede utilizar, no se sincronizará. Esta integración está disponible únicamente en cuentas de equipo de Dropbox.

Compatibilidad, requisitos y notas prácticas

Recuerda que WIP se aplica a Windows 10, versión 1607 o posterior, y que su soporte está integrado en el sistema. En entornos personales, es común que el usuario no inscriba el dispositivo en MDM; ahí MAM marca la diferencia al controlar apps específicas y entregarles políticas sin gestionar el equipo por completo.

Para añadir una cuenta profesional de Microsoft Entra como secundaria y registrar el dispositivo en WPJ, el usuario puede hacerlo desde apps Microsoft 365 o desde Configuración > Cuentas > Acceso a trabajo o escuela. Esta acción establece la identidad corporativa en el equipo, lo que permite que WIP clasifique y proteja el tráfico, los archivos y las operaciones de forma coherente.

Marcado de binarios y ejemplo de AppLocker

El marcado de binarios como Allowed for WIP (EDP) indica a Windows que puede proteger datos empresariales en nombre de la aplicación sin interferir con datos personales. Un ejemplo de marca en recursos es el mostrado anteriormente (EDPAUTOPROTECTIONALLOWEDAPPINFO) y, además, puedes gestionar el alcance con reglas de AppLocker en XML.

Un fragmento ilustrativo de reglas AppLocker que combina reglas de editor y de ruta podría tener este aspecto, con una regla por defecto que permite todo, otra que deniega WordPad y una que permite Notepad:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePathRule Name="(Default Rule) All files" Description="" UserOrGroupS Action="Allow">
    <Conditions>
      <FilePathCondition Path="*" />
    </Conditions>
  </FilePathRule>
  <FilePublisherRule Name="WORDPAD.EXE, from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupS Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="WORDPAD.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Name="NOTEPAD.EXE, from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupS Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="NOTEPAD.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Aunque estos ejemplos son genéricos, sirven para entender cómo encajar AppLocker con WIP en una estrategia de control de aplicaciones, definiendo con precisión qué binarios pueden tratar datos corporativos y bajo qué condiciones.

WIP ofrece un equilibrio realista entre seguridad y productividad: permite que TI establezca políticas claras sobre datos, apps y redes, respeta el espacio personal del usuario y se integra con Entra ID, MDM/MAM y herramientas como XenMobile o Dropbox. Si necesitas proteger información sin frenar a tus equipos, esta combinación de directivas, marcado de apps y administración flexible es una base sólida para empezar.

Isaac

Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.