Cuando Microsoft reveló en enero que los piratas informáticos de gobiernos extranjeros habían una vez más violó sus sistemasla noticia provocó otra ronda de recriminaciones sobre la postura de seguridad de la empresa tecnológica más grande del mundo.
A pesar de la angustia entre los responsables políticos, los expertos en seguridad y los competidores, Microsoft no enfrentó consecuencias por su último y vergonzoso fracaso. El gobierno de Estados Unidos siguió comprando y utilizando productos de Microsoft, y altos funcionarios se negaron a reprender públicamente al gigante tecnológico. Fue otro recordatorio de cuán aislado se ha vuelto Microsoft de prácticamente cualquier responsabilidad gubernamental, incluso cuando la administración Biden promete hacer que las poderosas empresas tecnológicas asuman más responsabilidad por la ciberdefensa de Estados Unidos.
Es poco probable que esa situación cambie incluso después de un nuevo informe por la Junta de Revisión de Seguridad Cibernética (CSRB), un grupo de expertos gubernamentales y de la industria, que critica a Microsoft por no haber evitado uno de los peores incidentes de piratería informática en la historia reciente de la empresa. El informe dice que la “cultura de seguridad de Microsoft era inadecuada y requiere una revisión”.
La posición casi intocable de Microsoft es el resultado de varios factores entremezclados. Es, con diferencia, el proveedor de tecnología más importante del gobierno de Estados Unidos, ya que alimenta computadoras, redacta documentos y mantiene conversaciones por correo electrónico en todas partes, desde el Pentágono hasta el Departamento de Estado y el FBI. Es un socio fundamental en las iniciativas de ciberdefensa del gobierno, con conocimientos casi incomparables sobre las actividades de los piratas informáticos y amplias capacidades para interrumpir sus operaciones. Y sus ejecutivos y cabilderos han promocionado incansablemente a la empresa como una fuerza líder para un mundo digitalmente más seguro.
Estas envidiables ventajas ayudan a explicar por qué altos funcionarios gubernamentales se han negado a criticar a Microsoft incluso cuando piratas informáticos vinculados a los gobiernos ruso y chino han violado repetidamente los sistemas informáticos de la empresa, según expertos en ciberseguridad, legisladores, ex funcionarios gubernamentales y empleados de los competidores de Microsoft.
Estas personas (algunas de las cuales solicitaron el anonimato para hablar con franqueza sobre el gobierno de Estados Unidos y el gigante indiscutible de su industria) argumentan que la relación del gobierno con Microsoft está paralizando la capacidad de Washington para defenderse de importantes ataques cibernéticos que ponen en peligro datos confidenciales y amenazan servicios vitales. Según ellos, Microsoft ya debería haber sido supervisado.
Una historia de incumplimientos y controversias
Microsoft tiene un largo historial de violaciones de seguridad, pero los últimos años han sido particularmente malos para la empresa.
En 2021, los piratas informáticos del gobierno chino descubrieron y utilizó fallas en los servidores de correo electrónico de Microsoft para piratear los clientes de la empresa, y luego publicaron las fallas para provocar un frenesí de ataques. En 2023, China irrumpió en las cuentas de correo electrónico de 22 agencias federales, espiando Altos funcionarios del Departamento de Estado y la secretaria de Comercio, Gina Raimondo, antes de múltiples viajes de delegaciones estadounidenses a Beijing. Hace tres meses, Microsoft reveló que los piratas informáticos del gobierno ruso habían utilizado un truco sencillo para acceder a los correos electrónicos de algunos altos ejecutivos, expertos cibernéticos y abogados de Microsoft. El mes pasado, la compañía dijo que el ataque también comprometió algo de su código fuente y “secretos” compartidos entre empleados y clientes. El jueves, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) confirmó que esos clientes incluían agencias federales y emitió una directiva de emergencia advirtiendo a las agencias cuyos correos electrónicos fueron expuestos que buscaran señales de que los piratas informáticos rusos estaban intentando utilizar las credenciales de inicio de sesión contenidas en esos correos electrónicos.
Estos incidentes ocurrieron como expertos en seguridad eran criticando cada vez más Microsoft por no haber hecho lo antes posible y arreglar adecuadamente defectos en sus productos. Como, con diferencia, el mayor proveedor de tecnología para el gobierno de EE. UU., las vulnerabilidades de Microsoft representan la parte del león de ambos Recientemente descubierto y más ampliamente usado fallas de software. Muchos expertos dicen que Microsoft se niega a realizar las mejoras necesarias en ciberseguridad para mantenerse al día con los desafíos cambiantes.
Microsoft no ha “adaptado su nivel de inversión en seguridad y su mentalidad para adaptarse a la amenaza”, dice un destacado experto en política cibernética. “Es una gran cagada por parte de alguien que tiene los recursos y la capacidad de ingeniería interna que tiene Microsoft”.
La CSRB del Departamento de Seguridad Nacional respaldó esta opinión en su nuevo informe sobre la intrusión china de 2023, diciendo que Microsoft exhibió “una cultura corporativa que despriorizó tanto las inversiones en seguridad empresarial como la gestión rigurosa de riesgos”. El informe también critica a Microsoft por publicar información inexacta sobre el Posibles Causas de la última intrusión china.
Las recientes filtraciones revelan la incapacidad de Microsoft para implementar defensas de seguridad básicas, según varios expertos.
Adam Meyers, vicepresidente senior de inteligencia de la firma de seguridad CrowdStrike, señala la capacidad de los rusos para pasar de un entorno de prueba a un entorno de producción. “Eso nunca debería suceder”, dice. Otro experto cibernético que trabaja en un competidor de Microsoft destacó la capacidad de China para espiar las comunicaciones de múltiples agencias a través de una sola intrusión, haciéndose eco del informe CSRB, que criticaba el sistema de autenticación de Microsoft por permitir un acceso amplio con una única clave de inicio de sesión.
“No se oye hablar de este tipo de infracciones provenientes de otros proveedores de servicios en la nube”, afirma Meyers.
Según el informe de la CSRB, Microsoft “no ha dado suficiente prioridad a la reestructuración de su infraestructura heredada para abordar el panorama de amenazas actual”.
En respuesta a preguntas escritas, Microsoft le dice a WIRED que está mejorando agresivamente su seguridad para abordar incidentes recientes.
“Estamos comprometidos a adaptarnos al cambiante panorama de amenazas y asociarnos con la industria y el gobierno para defendernos contra estas crecientes y sofisticadas amenazas globales”, dice Steve Faehl, director de tecnología del negocio de seguridad federal de Microsoft.
Como parte de su Iniciativa de futuro seguro Lanzado en noviembre, dice Faehl, Microsoft mejoró su capacidad para detectar y bloquear automáticamente abusos en las cuentas de los empleados, comenzó a escanear en busca de más tipos de información confidencial en el tráfico de la red, redujo el acceso otorgado por claves de autenticación individuales y creó nuevos requisitos de autorización para los empleados. buscando crear cuentas de empresa.
Microsoft también ha redistribuido a “miles de ingenieros” para mejorar sus productos y ha comenzado a convocar a altos ejecutivos para actualizaciones de estado al menos dos veces por semana, dice Faehl.
La nueva iniciativa representa la “hoja de ruta y los compromisos de Microsoft para responder a gran parte de lo que el informe CSRB consideró prioridades”, dice Faehl. Aun así, Microsoft no acepta que su cultura de seguridad esté rota, como sostiene el informe de la CSRB. “No estamos de acuerdo con esta caracterización”, dice Faehl, “aunque sí estamos de acuerdo en que no hemos sido perfectos y tenemos trabajo por hacer”.