Una intrusión estatal china el año pasado en la tecnología de Microsoft Corp. que permitió a los piratas informáticos recopilar correos electrónicos de funcionarios estadounidenses «nunca debería haber ocurrido», según un informe publicado el martes por una junta de revisión cibernética del gobierno.
La Junta de Revisión de Seguridad Cibernética, un grupo ordenado por la Casa Blanca diseñado para examinar los principales ataques cibernéticos, dijo que Microsoft mostró prácticas corporativas que «despriorizaron tanto las inversiones en seguridad empresarial como la gestión rigurosa de riesgos». La cultura de seguridad de la empresa era “inadecuada” y “requiere una revisión”, según el informe.
La junta de revisión examinó el ataque de 2023 a las bandejas de entrada de Microsoft Exchange Online, en el que personas externas violaron 22 organizaciones y cientos de personas. la secretaria de Comercio de Estados Unidos, Gina Raimondo; el embajador de Estados Unidos en China, Nicholas Burns; y el representante Don Bacon, republicano de Nebraska, estuvieron entre los atrapados en la campaña.
Un grupo de hackers asociado con el gobierno chino conocido como Storm-0558 estaba detrás del esfuerzo, según el informe. Microsoft aún tiene que determinar cómo los atacantes se infiltraron en la empresa, según el informe.
El congresista estadounidense Don Bacon dice que los espías chinos de Microsoft piratearon sus correos electrónicos
El congresista estadounidense Don Bacon dice que los espías chinos de Microsoft piratearon sus correos electrónicos
Los revisores también determinaron que la empresa tardó en actualizar las divulgaciones engañosas o inexactas sobre el incidente. En un caso, Microsoft sugirió en septiembre de 2023 que los piratas informáticos habían utilizado una herramienta conocida como certificado digital para robar correos electrónicos. No fue hasta noviembre que la empresa reconoció ante la junta que su divulgación de septiembre fue «inexacta», según el informe.
Microsoft dijo que revisaría el informe en busca de recomendaciones adicionales.
«Si bien ninguna organización es inmune a los ciberataques de adversarios con buenos recursos, hemos movilizado a nuestros equipos de ingeniería para identificar y mitigar la infraestructura heredada, mejorar los procesos y hacer cumplir los puntos de referencia de seguridad», dijo un portavoz de Microsoft.
Si bien Microsoft es conocido principalmente por su software para corporaciones y consumidores, la compañía con sede en Redmond, Washington, se ha convertido en el mayor proveedor de productos de ciberseguridad en los últimos años, un área del negocio que ha crecido a alrededor de 20 mil millones de dólares al año.
El senador estadounidense Ron Wyden, quien pidió la investigación, dijo que las agencias federales comparten parte de la culpa por la violación “por colmar a Microsoft con miles de millones de dólares en contratos gubernamentales, sin exigirle a la compañía que cumpla con estándares mínimos de ciberseguridad”.
«La dependencia del gobierno de Microsoft representa una grave amenaza a la seguridad nacional, que requiere medidas enérgicas», dijo el demócrata de Oregón en un comunicado.
«El gobierno debe establecer estándares mínimos y estrictos de ciberseguridad para los proveedores de tecnología, el cumplimiento de esos estándares debe verificarse mediante auditorías independientes, y las empresas y sus altos ejecutivos que violen esos estándares deben rendir cuentas».
