Este artículo fue publicado originalmente por ProPublica. Investigando cómo el proveedor de software más grande del mundo maneja la seguridad de sus propios productos omnipresentes. Después de que la inteligencia rusa lanzara uno de los ataques de ciberespionaje más devastadores de la historia contra agencias del gobierno de Estados Unidos, la administración Biden creó una nueva junta y le encargó que averiguara qué había sucedido y se lo contara al público. Los piratas informáticos estatales se habían infiltrado en SolarWinds, una empresa de software estadounidense que presta servicios al gobierno de Estados Unidos y a miles de empresas estadounidenses. Los intrusos utilizaron un código malicioso y una falla en un producto de Microsoft para robar información de la Administración Nacional de Seguridad Nuclear, los Institutos Nacionales de Salud y el Departamento del Tesoro en lo que el presidente de Microsoft, Brad Smith, llamó «el ataque más grande y sofisticado que el mundo haya visto jamás». El presidente emitió una orden ejecutiva que establecía la Junta de Revisión de Seguridad Cibernética en mayo de 2021 y le ordenó que comenzara a trabajar revisando el ataque a SolarWinds. Pero por razones que, según los expertos, siguen sin estar claras, eso nunca sucedió. La junta tampoco investigó a SolarWinds para su segundo informe. En su tercer caso, la junta investigó un ataque separado de 2023, en el que piratas informáticos estatales chinos explotaron una serie de deficiencias de seguridad de Microsoft para acceder a las bandejas de entrada de correo electrónico de altos funcionarios federales. Un relato público y completo de lo que sucedió en el caso Solar Winds habría sido devastador para Microsoft. ProPublica reveló recientemente que Microsoft conocía desde hacía tiempo una falla utilizada en el ataque, pero se negó a abordarla. La falta de acción de la empresa tecnológica reflejó una cultura corporativa que priorizaba las ganancias sobre la seguridad y dejó al gobierno de Estados Unidos vulnerable, dijo un denunciante. La junta se creó para ayudar a abordar la grave amenaza que representan para la economía y la seguridad nacional de Estados Unidos los piratas informáticos sofisticados que penetran constantemente en los sistemas gubernamentales y corporativos, y se llevan grandes cantidades de inteligencia sensible, secretos corporativos o datos personales. Durante décadas, la comunidad de ciberseguridad ha pedido un equivalente cibernético de la Junta Nacional de Seguridad del Transporte, la agencia independiente obligada por ley a investigar y emitir informes públicos sobre las causas y las lecciones aprendidas de cada accidente de aviación importante, entre otros incidentes. La NTSB está financiada por el Congreso y cuenta con personal experto que trabaja fuera de la industria y otras agencias gubernamentales. Sus audiencias públicas e informes estimulan el cambio de la industria y la acción de los reguladores como la Administración Federal de Aviación. Hasta ahora, la Junta de Revisión de Seguridad Cibernética ha trazado un camino diferente. La junta no es independiente, está alojada en el Departamento de Seguridad Nacional. Rob Silvers, el presidente de la junta, es un subsecretario de Seguridad Nacional. Su vicepresidente es un alto ejecutivo de seguridad de Google. La junta no tiene personal de tiempo completo, poder de citación o financiación dedicada. Silvers dijo a ProPublica que el DHS decidió que la junta no necesitaba hacer su propia revisión de SolarWinds como ordenó la Casa Blanca porque el ataque ya había sido «estudiado de cerca» por los sectores público y privado. «Queremos centrar la junta en las revisiones en las que todavía queda mucho por aprender, muchas lecciones aprendidas que se pueden extraer a través de la investigación», dijo. Como resultado, no ha habido un examen público por parte del gobierno del problema de seguridad no abordado en Microsoft que fue explotado por los piratas informáticos rusos. Ninguno de los informes de SolarWinds identificó o entrevistó al denunciante que expuso los problemas dentro de Microsoft. Al negarse a revisar SolarWinds, la junta no descubrió el papel central que jugó la débil cultura de seguridad de Microsoft en el ataque ni impulsó cambios que podrían haber mitigado o evitado el ataque chino de 2023, dijeron a ProPublica expertos en ciberseguridad y funcionarios electos. «Es posible que el ataque más reciente se hubiera podido evitar con una supervisión real», dijo el senador Ron Wyden, miembro demócrata del Comité Selecto de Inteligencia del Senado, en un comunicado. Wyden ha pedido que la junta revise SolarWinds y que el gobierno mejore sus defensas de ciberseguridad. En un comunicado, un portavoz del DHS rechazó la idea de que una revisión de SolarWinds pudiera haber expuesto las fallas de Microsoft a tiempo para detener o mitigar el ataque estatal chino del verano pasado. «Los dos incidentes fueron bastante diferentes en ese sentido, y no creemos que una revisión de SolarWinds hubiera descubierto necesariamente las lagunas identificadas en el último informe de la Junta», dijeron. Los demás miembros de la junta se negaron a hacer comentarios, remitieron las consultas al DHS o no respondieron a ProPublica. En declaraciones anteriores, Microsoft no cuestionó el relato del denunciante, pero enfatizó su compromiso con la seguridad. «Proteger a los clientes siempre es nuestra máxima prioridad», dijo anteriormente un portavoz a ProPublica. «Nuestro equipo de respuesta de seguridad se toma en serio todos los problemas de seguridad y le da a cada caso la debida diligencia con una evaluación manual exhaustiva, así como una confirmación cruzada con socios de ingeniería y seguridad». El hecho de que la junta no haya investigado a SolarWinds también subraya una pregunta que los críticos, incluido Wyden, han planteado sobre la junta desde su inicio: si una junta con funcionarios federales que conforman su mayoría puede responsabilizar a las agencias gubernamentales por su papel en la falta de prevención de ciberataques. «Sigo profundamente preocupado por el hecho de que una razón clave por la que la Junta nunca examinó a SolarWinds, como le ordenó el presidente, fue porque habría requerido que la junta examinara y documentara una negligencia grave por parte del gobierno de los EE. UU.», dijo Wyden. Entre sus preocupaciones se encuentra un sistema de ciberdefensa del gobierno que no detectó el ataque a SolarWinds. Silvers dijo que si bien la junta no investigó a SolarWinds, la Oficina de Responsabilidad Gubernamental (GAO, por sus siglas en inglés) independiente le dio un pase, y dijo en un estudio de abril que examinó la implementación de la orden ejecutiva que la junta había cumplido con su mandato de realizar la revisión. La determinación de la GAO desconcertó a los expertos en ciberseguridad. “Rob Silvers ha estado declarando por decreto durante mucho tiempo que la CSRB hizo su trabajo con respecto a SolarWinds, pero simplemente declarar que algo es así no lo hace verdad”, dijo Tarah Wheeler, directora ejecutiva de Red Queen Dynamics, una empresa de ciberseguridad, que fue coautora de un informe de la Escuela Kennedy de Harvard que describe cómo debería operar una “NTSB cibernética”. Silvers dijo que el primer y el segundo informe de la junta, si bien no investigaron a SolarWinds, resultaron en cambios gubernamentales importantes, como nuevas reglas de la Comisión Federal de Comunicaciones relacionadas con los teléfonos celulares. “Los impactos tangibles del trabajo de la junta hasta la fecha hablan por sí solos y confirman la sabiduría de las decisiones que la junta ha revisado”, dijo.