Bloomberg — Una intrusión estatal china el año pasado en la tecnología de Microsoft Corp. (MSFT) que permitió a los piratas informáticos recopilar correos electrónicos de funcionarios estadounidenses “nunca debería haber ocurrido”, según un informe publicado el martes por una junta de revisión cibernética del gobierno.
La Junta de Revisión de la Seguridad Cibernética, un grupo creado por mandato de la Casa Blanca para examinar los principales ciberataques, afirmó que Microsoft mostraba prácticas corporativas que “quitaban prioridad tanto a las inversiones en seguridad empresarial como a la gestión rigurosa de los riesgos”. La cultura de seguridad de la empresa era “inadecuada” y “requiere una revisión”, decía el informe.
El comité de revisión examinó el pirateo de 2023 de los buzones de correo de Microsoft Exchange Online, en el que personas ajenas a la empresa vulneraron 22 organizaciones y cientos de personas. La secretaria de Comercio estadounidense, Gina Raimondo; el embajador de Estados Unidos en China, Nicholas Burns; y el representante Don Bacon, republicano de Nebraska, fueron algunos de los implicados en la campaña.
Un grupo de piratas informáticos asociado al gobierno chino conocido como Storm-0558 estaba detrás de la operación, según el informe. Según el informe, Microsoft aún no ha determinado cómo se infiltraron los atacantes en la empresa.
Los revisores también determinaron que la empresa tardó en actualizar las revelaciones engañosas o inexactas sobre el incidente. En un caso, Microsoft sugirió en septiembre de 2023 que los hackers habían utilizado una herramienta conocida como certificado digital para robar correos electrónicos. No fue hasta noviembre cuando la empresa reconoció ante la junta directiva que su revelación de septiembre era “inexacta”, según el informe.
Microsoft dijo que revisaría el informe en busca de recomendaciones adicionales.
“Aunque ninguna organización es inmune a los ciberataques de adversarios con buenos recursos, hemos movilizado a nuestros equipos de ingeniería para identificar y mitigar la infraestructura heredada, mejorar los procesos y hacer cumplir los puntos de referencia de seguridad”, dijo un portavoz de Microsoft.
Aunque Microsoft es conocida principalmente por su software para empresas y consumidores, la empresa de Redmond (Washington) se ha convertido en los últimos años en el mayor proveedor de productos de ciberseguridad, un área de negocio que ha crecido hasta alcanzar unos US$20.000 millones anuales.
El senador estadounidense Ron Wyden, que solicitó la investigación, afirmó que las agencias federales comparten parte de la culpa de la brecha “por colmar a Microsoft con miles de millones de dólares en contratos gubernamentales, sin exigir a la empresa que cumpla unas normas mínimas de ciberseguridad.”
“La dependencia del gobierno de Microsoft plantea una grave amenaza para la seguridad nacional, que requiere una acción enérgica”, dijo el demócrata de Oregón en un comunicado. “El gobierno debe establecer normas estrictas y mínimas de ciberseguridad para los proveedores de tecnología, la adhesión a esas normas debe ser verificada a través de auditorías independientes, y las empresas y sus altos ejecutivos que violen esas normas deben rendir cuentas.”
Lea más en Bloomberg.com