Un comité de investigación creado bajo la dirección del presidente Biden emitió el martes un informe mordaz que detalla las deficiencias del gigante tecnológico Microsoft que llevaron a un hackeo chino el año pasado que tuvo como objetivo los correos electrónicos de altos funcionarios del gobierno estadounidense, incluida la secretaria de Comercio, Gina Raimondo, que publicó un libro.
El informe de la Junta de Revisión de Ciberseguridad, obtenido por The Washington Post antes de su publicación oficial, destacó prácticas laxas de ciberseguridad, una cultura corporativa descuidada y una transparencia intencional sobre lo que Microsoft sabía sobre la causa de la violación. Esta es una crítica mordaz a un gigante tecnológico cuya infraestructura de nube es ampliamente utilizada por consumidores y gobiernos de todo el mundo.
El comité emitió recomendaciones integrales que, de implementarse, mejorarían dramáticamente la apertura y seguridad de la floreciente industria de la computación en la nube.
La infracción, que comprometió los buzones de correo de Microsoft Exchange Online de 22 organizaciones y más de 500 personas en todo el mundo, era “evitable” y “nunca debería haber ocurrido”, concluyó el informe.
Quizás lo más preocupante es que el informe del comité deja claro que Microsoft todavía no sabe cómo llevaron a cabo los chinos el ataque.
Microsoft dijo en una declaración al Washington Post que aprecia los esfuerzos del comité.
“Los acontecimientos recientes demuestran la necesidad de introducir una nueva cultura de ingeniería de seguridad en nuestras redes”, dijo un portavoz de Microsoft, señalando que la compañía ha iniciado esfuerzos para hacerlo. “Si bien ninguna organización es inmune a los ciberataques de adversarios con buenos recursos, movilizamos a nuestros equipos de ingeniería para identificar y mitigar la infraestructura heredada, mejorar los procesos, realizar evaluaciones comparativas de seguridad, y eso es todo”.
El informe, la tercera y más importante revisión realizada por la comisión independiente de dos años, examina estos incidentes para ayudar al gobierno y a los funcionarios de seguridad a proteger mejor las redes e infraestructura digitales del país. El comité, compuesto por expertos del gobierno y de la industria, está presidido por Robert Silvers, subsecretario de Política del Departamento de Seguridad Nacional.
Las agencias de inteligencia estadounidenses dicen que la intrusión, descubierta en junio, fue encargada por la principal agencia de inteligencia de Beijing, el Ministerio de Seguridad del Estado (MSS). El departamento lleva a cabo operaciones de piratería a gran escala, incluido el grupo que llevó a cabo la operación de intrusión denominada Operación Aurora, que Google anunció por primera vez en 2010.
La intrusión de Microsoft de 2023 aprovechó las fallas de seguridad en la nube de la compañía, lo que permitió a los piratas informáticos de MSS falsificar credenciales y atacar a funcionarios del gabinete como Raimondo, el embajador de Estados Unidos en China, Nicholas Burns, y otros. Robaron con éxito correos electrónicos de altos funcionarios del Departamento de Estado.
“A través de esta investigación, la Junta identificó una serie de decisiones operativas y estratégicas en Microsoft que, en conjunto, contribuyeron a una cultura corporativa que ignoraba tanto las inversiones en seguridad de la empresa como la gestión rigurosa de riesgos”, dijo la empresa.
En otras palabras, la “cultura de seguridad de la empresa es inadecuada y requiere una revisión completa”, según el informe.
El gobierno de Estados Unidos confía en Microsoft como uno de sus mayores proveedores de software y servicios en la nube, con contratos por valor de miles de millones de dólares al año.
Una de las críticas más duras ha sido el mensaje público de la empresa al respecto. El comité encontró que durante meses Microsoft no corrigió declaraciones inexactas o engañosas que sugerían que la violación se debía a “volcados de falla”, o datos que quedaron después de una falla del sistema. De hecho, Microsoft sigue sin estar seguro de si este evento provocó una infracción, señala el informe.
Microsoft finalmente modificó su declaración de seguridad pública el 12 de marzo, después de repetidas preguntas de su junta directiva sobre sus planes de emitir una corrección y después de que quedó claro que la junta había terminado de considerarla.
Según el informe, el comité “reveló las declaraciones públicas oportunas e inexactas de Microsoft sobre este incidente, incluidas declaraciones de la compañía de que creía haber identificado la causa raíz de la intrusión, cuando en realidad aún no había identificado la decisión de Microsoft de no corregir la situación”. El tema fue criticado.
Microsoft hizo su primera declaración sobre la violación en julio, diciendo que los atacantes con sede en China de alguna manera obtuvieron claves de “firma”, o certificados digitales, y los piratas informáticos pudieron falsificar las credenciales de los usuarios y acceder a Outlook. Señaló que ahora es posible. robar correos electrónicos.
Microsoft sugirió en una declaración del 6 de septiembre que los piratas informáticos obtuvieron claves que se incluyeron accidentalmente en volcados de memoria pero que no fueron detectadas por los sistemas de seguridad de la empresa.
Sin embargo, en noviembre, Microsoft admitió ante su junta directiva que la publicación del blog de septiembre era “inexacta”, según el informe.
Microsoft actualizó esta publicación hace unas semanas. En una actualización, el Centro de respuesta de seguridad de Microsoft confirma que “no se han encontrado volcados de memoria que contengan material clave afectado”.
Microsoft, la empresa más valiosa del mundo, se ha enorgullecido durante mucho tiempo de la solidez de su ciberseguridad, pero recientemente ha sufrido violaciones vergonzosas. A principios de 2021, piratas informáticos respaldados por el gobierno chino violaron los servidores de correo electrónico Exchange de Microsoft, poniendo en riesgo al menos 30.000 instituciones públicas y privadas en Estados Unidos y al menos 200.000 instituciones en todo el mundo.
En enero, Microsoft detectó un ataque a su sistema de correo electrónico por parte de la agencia de inteligencia exterior rusa SVR. La compañía dijo que los espías se infiltraron en el departamento de pruebas y desde allí de alguna manera obtuvieron acceso a los correos electrónicos de altos ejecutivos y personal de seguridad. Microsoft advirtió a su cliente Hewlett Packard Enterprise que había sido pirateado como parte de la operación, y las autoridades estadounidenses dijeron al Washington Post el mes pasado que había docenas de víctimas, incluidos revendedores de Microsoft.
En conjunto, “estas cosas muestran que la situación está bastante rota”, dijo una persona familiarizada con las conclusiones del comité. La persona habló bajo condición de anonimato porque el informe aún no se ha hecho público.
Según funcionarios estadounidenses, el Departamento de Estado detectó la intrusión china en junio y notificó a Microsoft. El informe dijo que el departamento pudo detectar la intrusión porque había pagado por servicios de nivel superior que incluían registros de auditoría, lo que reveló que los piratas informáticos habían descargado alrededor de 60.000 correos electrónicos. Actualmente, la empresa ofrece el servicio de forma gratuita a agencias gubernamentales de EE. UU. después de negociar con funcionarios federales.
El informe detalla las llamadas “cadenas de errores evitables”. Por ejemplo, Microsoft desconocía la existencia de una antigua clave de firma de 2016 que debería haber sido deshabilitada pero no lo fue. “La llave había estado ahí durante años, como olvidada”, dijo la segunda persona. Parte del problema era que se suponía que Microsoft cambiaría de la rotación manual de claves a un sistema automatizado que minimizaría la posibilidad de error humano. Sin embargo, el cambio nunca se produjo. “No dieron prioridad a resolver el problema”, dijo la primera persona.
Otro error fue que las claves funcionaban tanto en redes comerciales como de consumidores, violando los protocolos estándar. “Hubo múltiples puntos en los que había una diferencia, aunque fuera sólo lo básico”, dijo la segunda persona.
El tercer error señalado en el informe fue que los ingenieros de Microsoft en una empresa adquirida en 2020 estaban trabajando en computadoras portátiles comprometidas a las que se les dio acceso a la red corporativa en 2021. Algo de lo que el equipo de seguridad no estaba al tanto. No hay evidencia de que la máquina del ingeniero fuera la fuente de la violación, según personas familiarizadas con los hallazgos del comité, pero Microsoft dijo en una actualización de marzo que una “cuenta de ingeniería comprometida” fue la razón por la que ocurrió la violación. la hipótesis principal.
El informe dice que es posible que nunca se conozca la causa raíz, pero Microsoft no evaluó adecuadamente la seguridad de la red de la empresa que adquirió antes de permitir que los ingenieros conectaran sus computadoras portátiles. Se trata de un incumplimiento básico de las prácticas estándar de ciberseguridad.
Según el informe, Microsoft cooperó con la investigación de la comisión.
El informe resume años de creciente descontento con Microsoft entre legisladores, funcionarios gubernamentales y expertos de la industria. En 2020, piratas informáticos del gobierno ruso irrumpieron en la empresa de software de redes SolarWinds y atacaron los correos electrónicos de empleados del gobierno estadounidense. Una forma de robar los correos electrónicos fue aprovechando las debilidades de un programa de Microsoft que algunas empresas utilizan en sus servidores de correo electrónico para autenticar a los empleados. La violación de SolarWinds afectó al menos a nueve agencias federales y 100 empresas privadas.
Al año siguiente, el presidente de Microsoft, Brad Smith, dijo a los senadores que “los clientes que quieran la mejor seguridad deberían pasarse a la nube”. Esta es la misma nube, o servidor remoto, que fue víctima de un ataque chino el año pasado. En respuesta a la violación, el senador Ron Wyden (D-Ore.) envió una carta a varias agencias gubernamentales exigiendo que responsabilicen a Microsoft por una serie de deficiencias.
La violación de 2023 podría haber sido mucho más generalizada. Usando las claves robadas, los piratas informáticos “podrían haber acuñado tokens de autenticación”. [credentials] “Se están produciendo ataques similares en casi todas las cuentas en línea de Microsoft”, dijo una tercera persona familiarizada con el asunto. Pero parecen haber elegido apuntar a personas de particular interés, como el secretario de Comercio, miembros del Congreso y funcionarios del Departamento de Estado responsables de los asuntos de China, dijo esta persona.
El informe destaca que los principales proveedores de nube, como Microsoft, Amazon y Google, son grandes objetivos y necesitan mejorar para todos. “Toda la industria debe trabajar en conjunto para mejorar drásticamente nuestra identidad y nuestra infraestructura de acceso… La seguridad del mundo depende de ello”.
Los funcionarios del DHS dijeron que lanzarán un esfuerzo importante y se reunirán con las empresas para elevar los estándares de las medidas de seguridad.
“Una serie de recomendaciones sobre la transparencia de los proveedores de servicios en la nube, ya sea sobre vulnerabilidades e incidentes o medidas de seguridad más generales, conducirán a una mayor participación de los clientes gubernamentales”, dijo Eric Goldstein, subdirector ejecutivo de Ciberseguridad y Seguridad de Infraestructura del Departamento de Seguridad. Agencia.
El informe también proporciona recomendaciones para prácticas como el manejo de claves de firma y la gestión de credenciales.
Una recomendación proviene del fundador de la empresa, Bill Gates. En 2002, envió un correo electrónico al personal enfatizando que la seguridad era una prioridad. “A lo largo de los años, hemos hecho que nuestro software y servicios sean más atractivos para nuestros usuarios agregando nuevas características y funcionalidades”, dijo en la carta. Nada de eso importa si los clientes no pueden confiar en el software, afirmó. “Entonces, cuando tenemos que elegir entre agregar funcionalidad y resolver problemas de seguridad, debemos elegir la seguridad”, escribió.
El comité recomendó que Microsoft considere seguir la estrategia de Gates y posponer el lanzamiento de nuevas funciones hasta que se resuelvan los problemas de seguridad.
La independencia de la comisión significa que ninguna agencia gubernamental, incluida la Casa Blanca o el Departamento de Seguridad Nacional, que supervisa la comisión, puede dictar las conclusiones o recomendaciones del informe.
“La creación de algo como esta comisión era necesaria para proporcionar una evaluación confiable e imparcial de las acciones de Microsoft. Este es un paso necesario hacia la rendición de cuentas”, dijo Jason Kikuta, ex jefe de asociaciones del sector privado y ahora director de seguridad de la información en software de TI. empresa Automox.
Fuente: https://www.washingtonpost.com/national-security/2024/04/02/microsoft-cyber-china-hack-report/
