El presidente de Microsoft, Brad Smith, había admitido fallas de seguridad de la empresa al permitir que los piratas informáticos estatales chinos accedieran a los correos electrónicos de funcionarios del gobierno de EE. UU. en el verano de 2023. En testimonio ante el Congreso ante miembros del Comité de Seguridad Nacional de la Cámara de Representantes de EE. UU. el 13 de junio de 2024, Smith dijo que el gigante tecnológico acepta la responsabilidad de todos los problemas citados en un informe de la Junta de Revisión de Seguridad Cibernética (CSRB) «sin equívocos ni vacilaciones». El informe de la CSRB, publicado en abril de 2024, culpó a Microsoft de una “cascada de fallas de seguridad” que permitió al actor de amenazas chino Storm-0558 acceder a las cuentas de correo electrónico de 25 organizaciones, incluidos funcionarios del gobierno estadounidense. Para lanzar el ataque de espionaje, Storm-0558 falsificó tokens de autenticación utilizando una clave de cifrado adquirida de Microsoft que, combinada con otra falla en el sistema de autenticación de Microsoft, les permitió obtener acceso completo a prácticamente cualquier cuenta de Exchange Online en cualquier parte del mundo. La investigación de la CSRB encontró una cultura de seguridad inadecuada en Microsoft y también identificó brechas dentro del proceso de evaluación y corrección de compromisos de seguridad en fusiones y adquisiciones (M&A) de la empresa, entre otros errores que permitieron a los atacantes tener éxito. El informe también establece 25 recomendaciones de ciberseguridad para Microsoft y todos los demás proveedores de servicios en la nube para evitar que este tipo de intrusión vuelva a ocurrir. El papel “único y crítico” de la ciberseguridad de Microsoft En su discurso de apertura ante el comité del Congreso, Smith reconoció el “papel único y crítico” de Microsoft en la ciberseguridad, no sólo para sus clientes sino también para los EE.UU. y las naciones aliadas. “Este rol refleja la amplia gama de productos y servicios que Microsoft ofrece a individuos y organizaciones, incluidos servicios en la nube que operan a través de centros de datos ubicados en 32 países alrededor del mundo. También refleja el amplio trabajo de ciberseguridad que llevamos a cabo todos los días, incluso para Estados Unidos y numerosos gobiernos aliados y en estrecha colaboración con ellos”, afirmó Smith. Señaló que la expansión e intensificación de los conflictos geopolíticos, como la guerra entre Rusia y Ucrania, ha creado un mundo cibernético más peligroso. En particular, ha habido ataques cibernéticos más prolíficos, sofisticados y con mejores recursos por parte de Rusia, China, Irán y Corea del Norte en los 28 meses transcurridos desde que comenzó la guerra. Smith añadió: “Se mire como se mire, la actividad cibernética agresiva y ilegal ha alcanzado un nivel extraordinario. Durante el año pasado, Microsoft detectó 47 millones de ataques de phishing contra nuestra red y nuestros empleados. Pero esto es modesto en comparación con los 345 millones de ciberataques que detectamos contra nuestros clientes cada día”. También dijo que Microsoft se disculpa y expresó su más profundo pesar a los afectados por el ataque Storm-0558, incluidos funcionarios gubernamentales. Compromiso para fortalecer las protecciones de ciberseguridad Microsoft utilizará el informe CSRB como una oportunidad y base para fortalecer su protección de ciberseguridad en todos los ámbitos, según Smith. El gigante tecnológico está tomando medidas para implementar cada una de las 16 recomendaciones que se aplican específicamente a Microsoft. Smith reveló que la empresa está en el proceso de transición de sus sistemas de identidad empresarial y de consumidores a un nuevo sistema de gestión de claves reforzado que aprovecha los módulos de seguridad de hardware para el almacenamiento y la generación de claves. También está implementando datos patentados y las correspondientes señales de detección en todos los lugares donde se validan los tokens. Smith agregó que el equipo de liderazgo senior de Microsoft ha revisado su cultura de seguridad a la luz del informe CSRB y ha comunicado una «estrella del norte» a los empleados para hacer de la seguridad la máxima prioridad en la empresa, por encima de todo. Esto incluye priorizarlo por encima del lanzamiento de nuevas funciones o la prestación de soporte continuo para sistemas heredados. Microsoft ha agregado 1600 ingenieros de seguridad más este año fiscal y agregará otros 800 nuevos puestos de seguridad en su próximo año fiscal para ayudar a implementar este cambio cultural. Además, Smith dijo que Microsoft ha creado la Oficina del CISO con CISO adjuntos de alto nivel para ampliar la supervisión de los distintos equipos de ingeniería para evaluar y garantizar que la seguridad esté «integrada» en la toma de decisiones y los procesos de ingeniería. Smith también destacó la Iniciativa Futuro Seguro (SFI) de Microsoft en su testimonio, que se lanzó en noviembre de 2023. Esta iniciativa está diseñada para evolucionar la forma en que Microsoft diseña, prueba y opera sus productos y servicios para garantizar que tengan principios seguros por diseño y predeterminados. in. “En resumen, aceptamos la responsabilidad por el pasado y estamos aplicando lo que hemos aprendido para ayudar a construir un futuro más seguro. Estamos siguiendo nuevas estrategias, invirtiendo más recursos y fomentando una cultura de ciberseguridad más sólida”, comentó Smith. Microsoft retrasa el lanzamiento de la función Recall AI para Copilot y Windows PC, tras el testimonio de su comunidad Windows Insider. La compañía dijo en un blog que Recall ahora pasará de una experiencia de vista previa ampliamente disponible para PC Copilot+ el 18 de junio de 2024, a una vista previa disponible por primera vez en el Programa Windows Insider (WIP) en las próximas semanas. Esto es para dar tiempo a realizar más pruebas de seguridad de la función impulsada por IA. Esto sigue a importantes preocupaciones de privacidad sobre Recall, que se utilizará para registrar continuamente los dispositivos de los usuarios, incluida información confidencial, para permitir a los usuarios realizar búsquedas retrospectivas en sus actividades. La actualización sigue a un anuncio de Microsoft el 7 de junio de que brindaría a los clientes una opción más clara para optar por la función. Fuente de la imagen: Volodymyr Kyrylyuk / Shutterstock.com