Después de un reciente intento de piratería de correo electrónico contra funcionarios gubernamentales y empresas, el senador estadounidense Ron Wyden pidió tres investigaciones separadas contra Microsoft.
El incumplimiento, que afectó a aproximadamente 25 organizaciones-incluidas agencias gubernamentales- ha provocado seriamente que muchas personas cuestionen los procedimientos de seguridad de la empresa, según Tech Radar.
El ciberataque, atribuido a un actor de amenazas chino identificado como Storm-0558, permitió el acceso no autorizado a cuentas de correo electrónico, exponiendo datos privados pertenecientes a funcionarios destacados como el Secretario de Estado Antony Blinken y la Secretaria de Comercio Gina Raimondo, entre otros. Microsoft dijo que el compromiso incluía cuentas de consumidores vinculadas a las empresas afectadas.
El senador Wyden relacionó el intento con la campaña SolarWinds 2020, en la que un actor de amenazas ruso pirateaba las comunicaciones del gobierno de EE. UU., en una carta que aborda el problema. Además de criticar la aparente falta de voluntad de Microsoft para aceptar la responsabilidad por el ataque, Wyden dijo que los deficientes procedimientos de seguridad de la compañía contribuyeron al éxito de los piratas informáticos.
Negligencia por parte de Microsoft
En opinión de Wyden, la reacción de Microsoft ante el problema fue problemática ya que asignó responsabilidades a otros e instó a los usuarios a ceñirse a sus intereses. El senador describió casos en los que piratas informáticos chinos supuestamente utilizaron tokens de autenticación falsos para Exchange Online y Outlook.com para acceder a cuentas de correo electrónico gubernamentales.
Microsoft dijo que los piratas informáticos habían obtenido una “clave de firma de consumidor de cuenta Microsoft (MSA)”, que les permitió crear tokens de autenticación de cuentas corporativas falsificados.
Wyden dijo que Microsoft “tiene responsabilidad significativa para este nuevo incidente, a pesar de la disponibilidad de “detalles limitados”. Añadió que la empresa “no debería haber tenido una sola llave maestra” que pudiera utilizarse para “forjar el acceso” a varias comunicaciones privadas cuando “inevitablemente fue robada”, según PC Mag.
No hace falta decir que los gobiernos extranjeros no deberían poder piratear las cuentas de correo electrónico de funcionarios del gobierno estadounidense. Exijo que el gobierno federal investigue cómo el descuido de Microsoft en materia de ciberseguridad permitió esta campaña de espionaje china. https://t.co/5IzukiCtOO
—Ron Wyden (@RonWyden) 27 de julio de 2023
Además, Wyden criticó a Microsoft por no almacenar las claves de firma en un módulo de seguridad de hardware, un paso que previamente habían aconsejado a los clientes que tomaran tras el hack de SolarWinds. Una de las claves utilizadas en la violación de Outlook había estado en uso desde 2016 y se había actualizado recientemente, según el proveedor de seguridad en la nube Wiz.
El senador de Oregón enfatizó que para reducir el peligro de compromiso, las mejores prácticas de la industria y las recomendaciones de ciberseguridad recomiendan actualizar las claves de cifrado con mayor regularidad.
Además, el hecho de que las auditorías internas y externas de Microsoft no detectaron la vulnerabilidad crítica de la firma plantea dudas sobre la posibilidad de problemas adicionales no identificados en los productos de la empresa.
El gigante tecnológico está en problemas
Microsoft reconoció las dificultades de la ciberseguridad frente a ataques sofisticados en respuesta a la demanda de investigaciones de Wyden. Garantizó que estaban colaborando con las autoridades federales sobre el tema. La empresa prometió seguir difundiendo información a través de su blog, Microsoft Threat Intelligence.
Las prácticas de Microsoft han sido criticadas antes. Durante años, la UE ha monitoreó la empresa sobre preocupaciones antimonopolio y anticompetitivas, según NY Breaking. Microsoft ha sido criticado recientemente por prácticas supuestamente desleales en la nube relacionadas con su plataforma Azure.
El senador Wyden sostiene que se requiere un esfuerzo exhaustivo de todo el gobierno para responsabilizar a Microsoft por su incompetencia, dada la gravedad del incidente más reciente. Las tres agencias gubernamentales estadounidenses seleccionadas para llevar a cabo investigaciones separadas se encargarán de determinar el alcance de la violación de seguridad y de investigar cualquier posible falla en los sistemas y productos de Microsoft.
Los hallazgos de estas investigaciones podrían tener ramificaciones significativas para Microsoft y el sector de TI en general, destacando la importancia crucial de una ciberseguridad sólida en el entorno digital moderno.
ⓒ 2023 . .
