La Junta de Revisión de Seguridad Cibernética (CSRB) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha encontrado que Microsoft Corporation (NASDAQ:MSFT) tuvo fallas de seguridad que abrieron el camino para un ciberataque en 2023. Este incidente resultó en el compromiso de cuentas de altos funcionarios estadounidenses.
Brecha de seguridad en Microsoft
Según el informe de CSRB, un grupo con vínculos a China, identificado como “Storm-0558”, aprovechó las deficiencias en la seguridad en la nube y la cultura de la seguridad de la información de Microsoft. Esto llevó a una violación de su servicio de correo electrónico alojado en Exchange Online en junio de 2023. Después de esto, Microsoft y el gobierno federal de EE. UU. continuaron investigando el hackeo y comprendiendo su impacto total.
El informe destacó las prácticas de rotación de claves de Microsoft para asegurar la Cuenta de Servicios de Microsoft (MSA), que no incluían un proceso automático de firma de rotación o desactivación de claves. El sistema obsoleto, lanzado a principios de la década de 2000, resultó ineficaz cuando Microsoft dejó de gestionar manualmente las claves en 2021 después de un importante apagón en la nube.
También puedes leer: Sismo en Taiwán pone en riesgo producción de chips TSMC
Storm-0558 explotó una clave antigua de 2016 para acceder al Outlook Web Access de cara al público de Microsoft. Debido a un fallo del sistema, el grupo pudo usar la clave para irrumpir en cuentas de correo electrónico empresarial, lo que llevó al robo de casi 60.000 correos electrónicos del Departamento de Estado de EE. UU., incluyendo conversaciones diplomáticas sensibles y una lista de correos electrónicos de empleados.
Según la CSRB, Microsoft “no otorgó a la gestión del riesgo de seguridad la prioridad que merecía dada la amenaza y la importancia crítica de la tecnología de Microsoft para más de 1.000 millones de clientes globales”. Se subrayó que la “Iniciativa de Futuro Seguro” de la compañía requiere supervisión de su alta dirección.
Críticas a Microsoft tras hackeo gubernamental
A principios de julio de 2023, Microsoft reveló que Storm-0558 había violado cuentas de correo electrónico conectadas a agencias gubernamentales de Europa Occidental, lo que planteó preocupaciones de ciberseguridad.
Más tarde, el senador Ron Wyden (D-Ore.) acusó a Microsoft de negligencia en sus prácticas de ciberseguridad e instó al Departamento de Justicia a responsabilizar a la empresa.
También puedes leer: Análisis de Acuity Brands antes de resultados financieros