El senador estadounidense Ron Wyden de Oregon ha pedido a la Comisión Federal de Comercio que investigue a Microsoft por lapsos de ciberseguridad vinculados a los ataques de ransomware en la infraestructura crítica de los Estados Unidos. Esto incluye el Hack de Ascensión 2024, uno de los sistemas hospitalarios más grandes del país. Según la oficina de Wyden, la violación comenzó cuando un contratista hizo clic en un enlace malicioso en un resultado de búsqueda de Bing, que infectó su computadora portátil con malware. La configuración predeterminada en el software de Microsoft luego permitió a los atacantes obtener acceso administrativo a la red de Ascensión, exponiendo los datos confidenciales de 5,6 millones de pacientes. Los hackers explotaron una técnica conocida como «kerberoasting», que aprovecha el soporte continuo de Microsoft para el estándar de cifrado RC4 obsoleto. Existe una opción de cifrado más segura, pero no está habilitada de forma predeterminada. Según los informes, el personal de Wyden advirtió a Microsoft sobre la vulnerabilidad en julio de 2024. Microsoft publicó una publicación de blog sobre la amenaza en octubre de 2024 y dijo que planeaba emitir una actualización de software. Casi un año después, no se ha publicado ninguna actualización y la compañía no ha realizado un alcance directo para advertir a los clientes. Lea más sobre las tendencias de ataque de ransomware: los pagos de ransomware se desploman en la educación en medio de la posición dominante de la resiliencia mejorada de Microsoft en los sistemas operativos empresariales le da al control de la compañía sobre las configuraciones de seguridad predeterminadas. Wyden criticó el manejo de ciberseguridad de la compañía. «Sin una acción oportuna, la cultura de ciberseguridad negligente de Microsoft, combinada con su monopolización de facto del mercado de sistemas operativos empresariales, plantea una seria amenaza de seguridad nacional y hace inevitables hacks adicionales», escribió en su carta de la FTC el miércoles. Según los informes, las llamadas de responsabilidad Wyden han presionado a las agencias federales varias veces para responsabilizar a Microsoft por los lapsos de ciberseguridad. Las revisiones anteriores, incluidas una de la Junta de Revisión de Seguridad Cibernética, concluyeron que la cultura de seguridad de Microsoft «era inadecuada y requiere una revisión». A pesar de las infracciones repetidas, Wyden dijo que la compañía continúa asegurando contratos federales lucrativos. «Lo que sucedió en Ascension no se trata solo de un mal clic o un viejo cifrado», dijo Ensar Seker, CISO de la compañía de inteligencia de amenazas de ciberseguridad Socrar. «Se trata de un riesgo sistémico heredado de las configuraciones predeterminadas y la complejidad arquitectónica de ecosistemas de software ampliamente adoptados como los de Microsoft». El costo humano de los incidentes de ransomware de software inseguro en los Estados Unidos aumentó bruscamente en 2024 con más de 5000 ataques reportados, lo que representa un aumento del 15% de 2023. La mitad de estas organizaciones estadounidenses específicas, incluidas las hospitales, las agencias gubernamentales y las empresas privadas. El caso de Ascensión destaca el costo humano potencial del software inseguro de incumplimiento, interrumpiendo la atención al paciente y poniendo en riesgo los datos confidenciales. La carta de Wyden insta a la FTC a actuar, citando la necesidad de responsabilizar a Microsoft por las fallas sistémicas de ciberseguridad que podrían representar una amenaza para la seguridad nacional. Crédito de la imagen: Ahyan Stock Studios / Shutterstock.com