Microsoft ha implementado un controlador de Windows para evitar que los usuarios cambien el navegador web predeterminado en Windows 10 y Windows 11 a través de software o modificaciones manuales en el Registro.
Aunque los usuarios de Windows aún pueden cambiar el navegador web predeterminado a través de la configuración del sistema, aquellos que solían hacerlo mediante software ahora se enfrentan a restricciones debido a un controlador introducido silenciosamente a nivel mundial como parte de las actualizaciones de febrero para Windows 10 (KB5034763) y Windows 11 (KB5034765).
El consultor de TI Christoph Kolbicz fue el primero en notar este cambio cuando sus programas, SetUserFTA y SetDefaultBrowser, dejaron de funcionar repentinamente.
SetUserFTA es una herramienta de línea de comandos que permite a los administradores de Windows cambiar las asociaciones de archivos a través de scripts de inicio de sesión y otros métodos.
Por otro lado, SetDefaultBrowser funciona de manera similar, pero se centra exclusivamente en cambiar el navegador web predeterminado en Windows.
Desde Windows 8, Microsoft ha implementado un nuevo sistema para asociar extensiones de archivo y protocolos de URL con programas predeterminados para protegerlos de manipulaciones por parte de malware y scripts maliciosos.
Este nuevo sistema asocia una extensión de archivo o protocolo de URL con un hash especialmente diseñado que se almacena bajo las claves del Registro de UserChoice.
Por ejemplo, el navegador web predeterminado asignado al protocolo de URL HTTPS se encuentra bajo:
Equipo\HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
Si el hash correcto no se utiliza, Windows ignorará los valores del Registro y establecerá el programa predeterminado para el protocolo de URL correspondiente, que en este caso es Microsoft Edge.
Kolbicz llevó a cabo ingeniería inversa de este algoritmo de hash para desarrollar los programas SetUserFTA y SetDefaultBrowser, que permiten cambiar los programas predeterminados.
Sin embargo, tras instalar las actualizaciones de febrero de Windows 10 y Windows 11, Kolbicz notó que estas claves del Registro ahora están bloqueadas, generando errores al intentar modificarlas fuera de la Configuración de Windows.
Por ejemplo, al intentar modificar estas configuraciones utilizando el Editor del Registro de Windows, aparece un mensaje de error que indica: “No se puede editar Hash: Error al escribir el nuevo contenido del valor“.
Tras una investigación más detallada, Kolbicz descubrió que Microsoft incorporó un nuevo controlador de filtro de Windows (c:\windows\system32\drivers\UCPD.sys) como parte de las actualizaciones de febrero.
Este controlador se identifica como un “Controlador de Protección de Elección del Usuario“.
Al cargarse, impide la edición directa de las claves del Registro relacionadas con las asociaciones de URL HTTP y HTTPS, así como la asociación de archivos .PDF.
Las claves del Registro afectadas son las siguientes:
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
En un artículo del blog, Kolbicz explica que, aunque el controlador no se puede desinstalar, se puede desactivar desde el Registro.
No obstante, según un artículo publicado en el blog de Gunnar Haslinger, una nueva tarea programada denominada ‘UCPD velocity’, creada dentro de \Microsoft\Windows\AppxDeploymentClient, volverá a habilitar automáticamente el servicio si se desactiva.
Por consiguiente, la única manera de desactivar el controlador es mediante la deshabilitación en el Registro y la eliminación o desactivación de la tarea programada asociada.
Posible vinculo con el cumplimiento de la DMA
Kolbicz sugiere que esta modificación podría estar relacionada con el cumplimiento de la Ley de Mercados Digitales (DMA) de Europa, la cual tiene como objetivo garantizar una competencia justa y prevenir prácticas anticompetitivas por parte de las denominadas “gatekeepers”, entre las que se encuentran Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft.
Estas empresas tenían hasta marzo para adecuarse a las nuevas regulaciones.
En noviembre de 2023, Microsoft anunció cambios en Windows que entrarían en vigor en marzo de 2024 para cumplir con las nuevas normativas de la DMA.
Estas modificaciones incluían nuevas políticas para el navegador predeterminado en la Unión Europea (UE), que requerían que Windows respetara la configuración predeterminada del navegador elegido por los usuarios al abrir enlaces, en lugar de utilizar exclusivamente Microsoft Edge.
Sin embargo, la implementación de este nuevo controlador en dispositivos en los Estados Unidos, que no están sujetos a la DMA, plantea dudas sobre esta teoría.
Además, incluso cuando las claves del Registro están bloqueadas y el navegador predeterminado del dispositivo es Google Chrome, Windows continuaba abriendo los enlaces del sistema operativo en Microsoft Edge.
En 2021, Mozilla también analizó el hash del navegador predeterminado de Windows para facilitar a los usuarios la configuración de Firefox como navegador predeterminado.
Algunos sugieren que este cambio se introdujo para evitar que los navegadores competidores se configurasen como el navegador predeterminado fuera de la Configuración de Windows, mientras que otros creen que podría haber sido agregado como una medida de seguridad para prevenir la configuración de malware como el navegador predeterminado.
