Google dice que no puede confiar en Microsoft después de fallas de seguridad en el correo electrónico


Google publicó un documento desafiando directamente a Microsoft por una serie de fallas de seguridad en los últimos meses, sugiriendo que las empresas y organizaciones del sector público necesitan alternativas más seguras.

Microsoft parece estar buscando aprovechar lo que ha sido un año difícil desde una perspectiva de seguridad después de sufrir una serie de fallas de seguridad importantes que involucran sus soluciones empresariales.

El documento acusa a Microsoft de tener una “cultura de seguridad deficiente”, como se identificó en una investigación de la Junta de Revisión de Seguridad Cibernética (CSRB) de EE. UU., y se promociona como una empresa con una cultura que prioriza la seguridad.

Específicamente, el informe de la CSRB se centra en la intrusión de Microsoft Exchange Online del verano de 2023, en la que un actor de amenazas vinculado a China conocido como Storm-0558 obtuvo acceso a las cuentas de correo electrónico de altos funcionarios del gobierno de EE. UU.

El ataque se llevó a cabo utilizando una clave de firma robada, “dándole a Storm-0558 acceso completo a prácticamente todas las cuentas de Exchange Online del mundo”.

Los legisladores estadounidenses describieron una “cascada de fallas de seguridad” que condujeron al incidente y dijeron que en conjunto “demuestran una falla de la gestión organizacional, la gobernanza y la cultura de seguridad de Microsoft”.

Google también señaló otro incidente cibernético que ocurrió apenas unos meses después. En este incidente, el grupo de amenazas vinculado a Rusia Midnight Blizzard comprometió una variedad de cuentas de correo electrónico corporativas de Microsoft, incluidas las de altos ejecutivos, equipos de seguridad y equipos legales.

El artículo destacó el hecho de que Microsoft dijo que los ataques aún continuaban cinco meses después de la violación inicial, citando las actualizaciones de seguridad de la compañía que no daban un cronograma para resolver el incidente.

Google huele sangre

Como crítica específica a las acciones de Microsoft, el documento de la CSRB señala que la empresa no proporcionó detalles sobre cómo el grupo pudo infiltrarse en sus sistemas y obtener acceso a esta “llave maestra”.

Si Google aún no sabe cómo Storm-0558 obtuvo la clave MSA de 2016, se pregunta cómo Microsoft puede evitar que este tipo de incidentes vuelva a ocurrir, y si Google lo sabe, demostró que no dudó en atacar.

Otros dos informes en el informe también encontraron que Microsoft no priorizó la seguridad y la gestión de riesgos (la cultura de seguridad de la compañía fue descrita como “inadecuada”) y que no corrigió declaraciones públicas inexactas. También aborda dos críticas importantes.

Encontró que Microsoft había tomado la “decisión de no corregir oportunamente declaraciones públicas inexactas sobre este incidente” y señaló que el gigante tecnológico sólo planeaba emitir una corrección después de repetidas preguntas de su junta directiva.

Esta respuesta contrasta con la respuesta de la compañía a la Operación Aurora, un ciberataque a gran escala llevado a cabo por actores de amenazas vinculados al estado en 2009. En ese momento, la empresa fue la única que admitió haber sido víctima de un ciberataque y dijo públicamente que cuentas específicas de Gmail habían sido comprometidas.

“Aunque ninguna organización es inmune a ser blanco de adversarios sofisticados, hay un patrón claro de evidencia que muestra que Microsoft es incapaz de mantener seguros sus sistemas y, por extensión, los datos de sus clientes”, dijo Google.

Google dice que debería ser un socio de seguridad confiable

Google afirmó que ya había aprendido lecciones del incidente, incluida una mayor transparencia en torno a los incidentes de seguridad y precauciones básicas con respecto a la arquitectura de seguridad.

El objetivo principal de este documento es defender los beneficios de Workspace, la suite de productividad empresarial de Google, que, según dice, ofrece un enfoque fundamentalmente diferente y más seguro que el de Microsoft.

“Con una sólida trayectoria en ingeniería, una importante inversión en defensas de vanguardia y una cultura transparente que considera la seguridad de nuestros clientes como una responsabilidad crítica, creemos que Google Workspace es la opción más segura. Confiamos en esto”, dijo la empresa. dicho.

El gigante tecnológico lanzó su programa Secure Alternatives el 20 de mayo de 2024, en paralelo con este artículo. Este programa ofrece a las organizaciones migratorias descuentos en paquetes de Google Workspace Enterprise Plus y servicios de respuesta a incidentes de Mandiant.

Esto parece ser un desafío directo a la Iniciativa Futuro Seguro de Microsoft, que se anunció por primera vez en noviembre de 2023.

Microsoft ha anunciado planes para revisar sus medidas de seguridad luego de una violación de seguridad del correo electrónico.

ITPro se ha puesto en contacto con Microsoft para hacer comentarios.



Fuente: https://www.itpro.com/security/google-says-microsoft-cant-be-trusted-after-email-security-blunders