Acusan omisión de Microsoft en espionaje chino

CDMX

Legisladores de Estados Unidos acusaron a Microsoft de facilitar a hackers el robo de datos gubernamentales.

Ron Wyden, senador por Oregon, envió una carta a la Agencia de Seguridad de Infraestructura y Ciberseguridad, al Departamento de Justicia y a la Comisión Federal de Comercio para solicitar que se culpe a la tecnológica de incurrir en un patrón repetido de prácticas negligentes de seguridad cibernética, lo que ha permitido espionaje chino contra el gobierno de Estados Unidos.

“Se deben tomar medidas contra Microsoft luego de un ataque informático vinculado a China, que resultó en el robo de miles de correos electrónicos gubernamentales de altos funcionarios estadounidenses”, dijo Wyden.

Una investigación de Google Project Zero reveló que los productos de la compañía han representado 42.5% de todos los días cero descubiertos desde 2014.

El término día cero hace alusión a una vulnerabilidad de seguridad recién descubierta, en software nuevo o actualizaciones, que los hackers usan para atacar. Se refiere al hecho de que el proveedor o desarrollador acaba de conocer la falla, lo que significa que ha tenido cero días para corregirla.

“La falta de transparencia de Microsoft se aplica a las brechas, a las prácticas de seguridad irresponsables y a las vulnerabilidades, todo lo cual expone a sus clientes a riesgos que se les ocultan deliberadamente”, afirmó Amit Yoran, CEO de la firma de ciberseguridad Tenable.

Refirió que en marzo se detectó una vulnerabilidad en los sistemas de un banco, la cual no ha sido corregida.

MICROSOFT, CULPABLE
Los datos son contundentes contra Microsoft: los productos de la compañía han representado 42.5% de todos los días cero descubiertos desde 2014, según una investigación de Google Project Zero. Las advertencias de transparencia han sido solicitadas, pero sólo se han dado largas a las autoridades y empresas especializadas en temas de ciberseguridad.

La semana pasada el senador por el estado de Oregon, Ron Wyden, envió una carta a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y al Departamento de Justicia y la Comisión Federal de Comercio (FTC), solicitando que responsabilicen a Microsoft por un patrón repetido de prácticas negligentes de seguridad cibernética, lo que ha permitido espionaje chino contra el gobierno de Estados Unidos.

“Se deben tomar medidas contra Microsoft luego de un ataque informático vinculado a China, que resultó en el robo de miles de correos electrónicos gubernamentales de altos funcionarios estadunidenses”, dijo Wyden.

En la carta se señala que incluso con los detalles limitados que se han hecho públicos hasta ahora, Microsoft tiene una responsabilidad significativa por este nuevo incidente.

“La falta de transparencia de Microsoft se aplica a las brechas, a las prácticas de seguridad irresponsables y a las vulnerabilidades, todo lo cual expone a sus clientes a riesgos que se les ocultan deliberadamente”, afirma Amit Yoran, CEO de Tenable.

Microsoft ha estado bajo un escrutinio cada vez mayor luego de las revelaciones de que piratas informáticos, que supuestamente operaban en nombre de Pekín, obtuvieron una de sus claves criptográficas y aprovecharon una falla de codificación para obtener un acceso amplio a la plataforma de correo electrónico en la nube de la compañía. Ese acceso se utilizó para espiar las comunicaciones de la secretaria de Comercio, Gina Raimondo, y de altos diplomáticos del Departamento de Estado.

LOS TRABAJOS
En marzo de 2023, un miembro del equipo de Investigación de Tenable estaba explorando y analizando la plataforma Azure de Microsoft y los servicios relacionados. Descubrió un problema que permitiría a un atacante no autenticado acceder a aplicaciones de varios inquilinos y a sus datos confidenciales, como secretos de autenticación.

“Para que se hagan una idea de lo grave que es esto, nuestro equipo descubrió muy pronto secretos de autenticación de un banco. Ellos estaban tan preocupados por la gravedad y la ética del asunto que notificamos inmediatamente a Microsoft.

“¿Arregló la compañía rápidamente el problema que podía conducir a la violación de las redes y servicios de múltiples clientes? Por supuesto que no. Tardaron más de 90 días en implementar una solución parcial, y sólo para las nuevas aplicaciones cargadas en el servicio”, explica Yoran.

Esto significa que, al día de hoy, el banco al que se ha referido Tenable sigue siendo vulnerable, más de 120 días desde que se informó el problema, al igual que todas las organizaciones que habían puesto en marcha el servicio antes de la corrección.

“Y, por lo que sabemos, todavía no tienen ni idea de que están en riesgo y, por tanto, no pueden tomar una decisión sobre los controles compensatorios y otras acciones de mitigación de riesgos. Microsoft afirma que solucionará el problema a finales de septiembre, cuatro meses después de que se lo notificáramos. Esto es una grave irresponsabilidad, por no decir negligencia. Conocemos el problema, Microsoft lo conoce y esperemos que los cibercriminales no lo conozcan”, agrega Yoran.

CRONOGRAMA DE DIVULGACIÓN

• 30 de marzo de 2023. Problema descubierto e informado a Microsoft a través de MSRC
• 3 de abril de 2023. Microsoft confirma el problema
• 6 de julio de 2023. Microsoft informa a Tenable que el problema está solucionado
• 10 de julio de 2023. Tenable informa a Microsoft que la corrección está incompleta
• 11 de julio de 2023. Microsoft solicita que se retrase la divulgación pública
• 21 de julio de 2023. Tenable informa a Microsoft que se publicará un aviso limitado sin detalles técnicos ni pruebas de concepto
• 21 de julio de 2023. Microsoft reconoce e informa a Tenable que la solución tardará hasta el 28 de septiembre de 2023.

RESPONSABILIDADES
Los proveedores de servicios en la nube llevan mucho tiempo defendiendo el modelo de responsabilidad compartida. Ese modelo se rompe irremediablemente si su proveedor de nube no le notifica los problemas a medida que surgen y aplica las correcciones abiertamente.

“Lo que se escucha de Microsoft es ‘confíen en nosotros’, pero lo que se obtiene es muy poca transparencia y una cultura de ofuscación tóxica. ¿Cómo puede un CISO, un consejo de administración o un equipo ejecutivo creer que Microsoft hará lo correcto, dados los patrones de hechos y los comportamientos actuales? El historial de Microsoft nos pone a todos en peligro. Y es incluso peor de lo que pensábamos”, señala el CEO de Tenable en entrevista con Excelsior.