Home Gobierno Microsoft admite que fallas de seguridad permitieron a China acceder a correos...

Microsoft admite que fallas de seguridad permitieron a China acceder a correos electrónicos del gobierno de EE.UU.

El presidente de Microsoft, Brad Smith, había admitido fallas de seguridad de la empresa al permitir que los piratas informáticos estatales chinos accedieran a los correos electrónicos de funcionarios del gobierno estadounidense en el verano de 2023.

En un testimonio ante el Congreso ante miembros del Comité de Seguridad Nacional de la Cámara de Representantes de Estados Unidos el 13 de junio de 2024, Smith dijo que el gigante tecnológico acepta la responsabilidad de todas las cuestiones citadas en un informe de la Junta de Revisión de Seguridad Cibernética (CSRB) “sin equívocos ni vacilaciones”.

El informe de la CSRB, publicado en abril de 2024, culpó a Microsoft de una “cascada de fallas de seguridad” que permitió al actor de amenazas chino Storm-0558 acceder a las cuentas de correo electrónico de 25 organizaciones, incluidos funcionarios del gobierno estadounidense.

Para lanzar el ataque de espionaje, Storm-0558 falsificó tokens de autenticación utilizando una clave de cifrado adquirida de Microsoft que, combinada con otra falla en el sistema de autenticación de Microsoft, les permitió obtener acceso completo a prácticamente cualquier cuenta de Exchange Online en cualquier parte del mundo.

La investigación de la CSRB encontró una cultura de seguridad inadecuada en Microsoft y también identificó brechas dentro del proceso de evaluación y corrección de compromisos de seguridad en fusiones y adquisiciones (M&A) de la empresa, entre otros errores que permitieron a los atacantes tener éxito.

El informe también establece 25 recomendaciones de ciberseguridad para Microsoft y todos los demás proveedores de servicios en la nube para evitar que este tipo de intrusión vuelva a ocurrir.

En su discurso de apertura ante el comité del Congreso, Smith reconoció el “papel único y crítico en ciberseguridad” de Microsoft, no sólo para sus clientes sino también para Estados Unidos y sus naciones aliadas.

“Este rol refleja la amplia gama de productos y servicios que Microsoft ofrece a individuos y organizaciones, incluidos servicios en la nube que operan a través de centros de datos ubicados en 32 países alrededor del mundo. También refleja el amplio trabajo de ciberseguridad que llevamos a cabo todos los días, incluso para Estados Unidos y numerosos gobiernos aliados y en estrecha colaboración con ellos”, afirmó Smith.

Señaló que la expansión e intensificación de los conflictos geopolíticos, como la guerra entre Rusia y Ucrania, ha creado un mundo cibernético más peligroso. En particular, ha habido ataques cibernéticos más prolíficos, sofisticados y con mejores recursos por parte de Rusia, China, Irán y Corea del Norte en los 28 meses transcurridos desde que comenzó la guerra.

Smith añadió: “Según se mire como se mire, la actividad cibernética agresiva y ilegal ha alcanzado un nivel extraordinario. Durante el año pasado, Microsoft detectó 47 millones de ataques de phishing contra nuestra red y nuestros empleados. Pero esto es modesto en comparación con los 345 millones de ciberataques que detectamos contra nuestros clientes cada día”.

También dijo que Microsoft se disculpa y expresó su más profundo pesar a los afectados por el ataque Storm-0558, incluidos funcionarios gubernamentales.

Microsoft utilizará el informe CSRB como una oportunidad y una base para fortalecer su protección de ciberseguridad en todos los ámbitos, según Smith.

El gigante tecnológico está tomando medidas para implementar cada una de las 16 recomendaciones que se aplican específicamente a Microsoft.

Smith reveló que la empresa está en el proceso de transición de sus sistemas de identidad empresarial y de consumidores a un nuevo sistema de gestión de claves reforzado que aprovecha los módulos de seguridad de hardware para el almacenamiento y la generación de claves.

También está implementando datos patentados y las correspondientes señales de detección en todos los lugares donde se validan los tokens.

Microsoft ha agregado 1600 ingenieros de seguridad más, en este año fiscal y agregará otros 800 nuevos puestos de seguridad en su próximo año fiscal para ayudar a implementar este cambio cultural.

Además, expresó que Microsoft ha creado la Oficina del CISO con CISO adjuntos de alto nivel para ampliar la supervisión de los distintos equipos de ingeniería para evaluar y garantizar que la seguridad esté “integrada” en la toma de decisiones y los procesos de ingeniería.

Para finalizar, Smith indico: “En resumen, aceptamos la responsabilidad por el pasado y estamos aplicando lo que hemos aprendido para ayudar a construir un futuro más seguro. Estamos siguiendo nuevas estrategias, invirtiendo más recursos y fomentando una cultura de ciberseguridad más sólida”.