Los miembros del Congreso de Estados Unidos están presionando a Microsoft para que explique una «cascada de errores evitables» que permitió a un grupo de hackers chino violar correos electrónicos de altos funcionarios estadounidenses. El presidente de Microsoft, Brad Smith, pasó más de tres horas el 13 de junio respondiendo preguntas de miembros del Comité de Seguridad Nacional de la Cámara de Representantes en Washington, asegurándoles que la ciberseguridad se está integrando más profundamente en la cultura de la empresa de tecnología. «Microsoft acepta la responsabilidad por todos y cada uno de los temas citados» en un mordaz informe del gobierno estadounidense sobre la violación «sin equívocos ni vacilaciones», dijo Smith al comité. La Junta de Revisión de Seguridad Cibernética (CSRB), dirigida por el Departamento de Seguridad Nacional de EE. UU., llevó a cabo una investigación de siete meses sobre el incidente del año pasado que involucró al actor de ciberespionaje afiliado a China Storm-0558. «Microsoft tiene una enorme huella tanto en el gobierno como en las redes de infraestructura crítica», dijo a Smith el congresista estadounidense y miembro del comité Bennie Thompson al iniciarse la audiencia. «Es nuestro interés compartido que los problemas de seguridad planteados por el (informe) se aborden rápidamente». La operación, que fue descubierta por primera vez por el Departamento de Estado en junio de 2023, incluyó ataques a los buzones de correo oficiales y personales de la secretaria de Comercio, Gina Raimondo, y del embajador de Estados Unidos en China, Nicholas Burns. El negocio principal de Microsoft es proporcionar servicios de computación en la nube, como Azure u Office360, que alojan datos confidenciales e impulsan las operaciones comerciales y gubernamentales en los principales sectores de la economía. El informe criticaba una cultura corporativa de Microsoft que estaba «en desacuerdo con… el nivel de confianza que los clientes depositan en la empresa». La revisión identificó una serie de decisiones operativas y estratégicas de Microsoft que abrieron la puerta a la infracción, incluida la falta de identificación de la computadora portátil comprometida de un nuevo empleado luego de una adquisición corporativa en 2021. También encontró que Microsoft no cumplía con los estándares de seguridad observados en la competencia. empresas de la nube, incluidas Google, Amazon y Oracle. «La Junta considera que esta intrusión se podía prevenir y nunca debería haber ocurrido», decía la revisión, señalando «la cascada de errores evitables de Microsoft que permitieron que esta intrusión tuviera éxito». El informe también recomendó que Microsoft desarrolle y publique un plan con cronogramas para implementar reformas de seguridad de amplio alcance en todos sus productos y prácticas. «El verdadero desafío es cómo lograr un cambio cultural efectivo y duradero», dijo Smith, señalando que Microsoft tiene casi 226.000 empleados. Smith dijo que Microsoft tiene el equivalente a 34.000 ingenieros trabajando a tiempo completo para responder a las deficiencias de seguridad en «el proyecto de ingeniería más grande centrado en la ciberseguridad en la historia de la tecnología digital». La junta directiva de Microsoft aprobó el miércoles un cambio que vinculará los logros en ciberseguridad con bonificaciones anuales para los altos ejecutivos y lo hará parte de la revisión anual de cada empleado, según Smith. Microsoft detecta unos 300 millones de ciberataques a sus clientes diariamente, la mayoría de los cuales provienen de China, Irán, Corea, Rusia u operaciones de ransomware, dijo Smith al comité. «Estamos lidiando con cuatro enemigos formidables: China, Rusia, Corea del Norte e Irán, y están mejorando», dijo Smith. «Deberíamos esperar que trabajen juntos; están lanzando ataques a un ritmo extraordinario». Si bien es inevitable que los adversarios utilicen inteligencia artificial para ataques cada vez más sofisticados, la tecnología ya se está utilizando para fortalecer las defensas cibernéticas, añadió Smith. © 2024 AFP