Microsoft fue atacado mientras los hackers lograron traspasar el guardián hacia la nube.
El secretario de Estado de Estados Unidos, Antony Blinken, se estaba preparando para un viaje de alto riesgo a China en junio pasado. Las relaciones entre las superpotencias habían empeorado. Nancy Pelosi, entonces presidenta de la Cámara de Representantes de Estados Unidos, había enfurecido a Pekín al hacer una visita diplomática a Taiwán. Blinken había cancelado su viaje anterior cuando se descubrió y derribó un globo espía chino sobre el espacio aéreo estadounidense.
La estancia de verano, donde el principal diplomático de Estados Unidos se reuniría con el presidente Xi Jinping y otros altos funcionarios, se presentaba como un primer paso para restablecer la relación.
Una semana antes de que Blinken partiera hacia Pekín, sin embargo, un analista de ciberseguridad del Departamento de Estado descubrió una actividad de inicio de sesión extraña. El gobierno alertó a Microsoft, cuyo brazo de nube Azure maneja las comunicaciones de gran parte del gobierno federal. La posterior investigación reveló una grave violación de los sistemas de Microsoft. Personas vinculadas al gobierno chino habían pirateado los correos electrónicos personales y comerciales de más de 500 diplomáticos y funcionarios de alto rango, incluido el secretario de Comercio de Estados Unidos y el embajador en China, así como 63 personas «de alto perfil» en Gran Bretaña.
Más sorprendente que el allanamiento, sin embargo, fue el informe crítico que se publicó discretamente este mes por la Junta de Revisión de Seguridad Cibernética (CSRB), una división del Departamento de Seguridad Nacional de Estados Unidos. El informe de 34 páginas criticó a Microsoft por una «cascada de errores evitables» que permitieron a China atacar, «el equivalente de oro del espionaje», dándole acceso a los datos de las personas más importantes responsables de gestionar la relación con China, en vísperas de un evento diplomático crítico.
La investigación reveló una cultura de seguridad «fallida» dentro del gigante tecnológico de $3 billones (£2.5 billones) – una cultura que debía ser renovada con «la máxima urgencia» y, según exigía el gobierno, ser supervisada personalmente por el director ejecutivo de Microsoft, Satya Nadella. El Centro Nacional de Seguridad Cibernética de Gran Bretaña lanzó su propia investigación sobre el hackeo, pero no ha publicado sus conclusiones.
El episodio no solo destacó la importancia crítica de los servicios de computación en la nube – la CSRB dijo que se ha vuelto «tan indispensable como la electricidad» – sino que también pintó una imagen sorprendente de Microsoft. Nadella lo ha convertido en la empresa más valiosa del mundo en gran medida al desarrollar Azure. La división administra una flota global de centros de datos que albergan la vida digital de más de mil millones de personas, desde correos electrónicos y datos financieros hasta videos y fotos personales. Es particularmente dominante entre los gobiernos y las grandes empresas porque Microsoft ha sabiamente incluido Azure junto con el software empresarial de Windows que han utilizado durante décadas.
Alex Stamos, director de confianza de la empresa de ciberseguridad SentinelOne, dijo: «Microsoft tiene efectivamente un monopolio en cierto tipo de servicio en la nube. Si eres una gran empresa que busca gestionar la identidad que se vincula a tu infraestructura de Windows existente, Microsoft es prácticamente tu única opción».
La importancia de Azure se destacará el jueves cuando Nadella presente los resultados financieros del trimestre hasta marzo. Wall Street espera que las ventas alcancen los $61 mil millones, impulsadas por un aumento del 30% en el gasto en Azure.
El ser el custodio de la información más personal e importante de una octava parte del planeta es una responsabilidad impresionante. Y sin embargo, según el gobierno de Estados Unidos, Microsoft parece ser especialmente deficiente en garantizar la seguridad de los datos. De hecho, entre las 25 recomendaciones que el gobierno hizo para fortalecer la seguridad de Microsoft, se mencionaron las mejores prácticas implementadas por competidores como Amazon’s AWS y Google Cloud. Los autores escribieron: «La junta concluye que Microsoft se ha alejado de [una prioridad de seguridad] y necesita restaurarla de inmediato como una máxima prioridad corporativa».
El hackeo fue llevado a cabo por un grupo llamado Storm-0588, y su punto de entrada fue una clave de cuenta de 2016 que había sido robada y que Microsoft no había desactivado. La práctica recomendada en la industria es asegurarse de que dichas claves caduquen automáticamente y regularmente. A partir de esa apertura, una serie de otras vulnerabilidades de seguridad permitieron el acceso a las cuentas en el más alto nivel del gobierno.
Microsoft empeoró las cosas al engañar al público, según encontró el gobierno, en una serie de publicaciones de blog que ofrecían una explicación no basada en hechos, y que finalmente modificó, bajo presión, seis meses después. El gobierno criticó la insistencia del gigante tecnológico en mantener sus publicaciones «inexactas», «incluida una declaración corporativa en la que Microsoft afirmaba haber determinado la causa raíz probable de la intrusión cuando, de hecho, aún no lo ha hecho».
Stamos dijo: «Estos grupos de piratería chinos y rusos están atacando a todos en la TI empresarial, por lo que lo responsable sería documentar cómo operan para que todos puedan defenderse. El hecho de que Microsoft oculte estas cosas y se vea obligado por el gobierno a ser transparente no es algo bueno».
Microsoft se negó a comentar sobre los detalles de las conclusiones de la Junta de Revisión de Seguridad Cibernética, pero pareció intentar desviar parte de la culpa al insinuar una falta de apoyo para combatir tales amenazas. «Apreciamos el trabajo de la CSRB para investigar el impacto de actores de amenazas estatales bien financiados que operan de manera continua y sin disuasión significativa».
Sin embargo, la necesidad de acción es crítica. Este año, 64 países celebrarán elecciones, incluidas las de Estados Unidos e India. El aumento de la inteligencia artificial ha facilitado que los delincuentes y los actores estatales construyan herramientas de piratería complejas y siembren desinformación.
En noviembre, Microsoft presentó una revisión integral de su enfoque de seguridad, llamada Iniciativa de Futuro Seguro, que coloca a la inteligencia artificial en el centro de las herramientas que utiliza y los productos que fabrica. La compañía dijo que está rastreando a más de 160 grupos de piratería estatales y 120 organizaciones de «ransomware como servicio», que violan sistemas, recopilan vastas cantidades de datos y luego los venden al mejor postor en la web oscura.
Sin embargo, el gobierno no está impresionado por los esfuerzos de Microsoft. Señaló un caso alarmante en enero, donde un grupo de piratería llamado Midnight Blizzard, este vinculado a Vladimir Putin de Rusia, había ingresado a las cuentas de correo electrónico corporativas de Microsoft y había obtenido acceso a su código fuente y otros sistemas internos. La CSRB escribió: «Esta intrusión adicional destaca la preocupación de la junta de que Microsoft aún no ha implementado la gobernanza o la priorización de seguridad necesarias».
Agregó: «Individualmente, cualquiera de las fallas descritas anteriormente podría ser comprensible. Sin embargo, juntas, apuntan a un fracaso de los controles organizativos y la gobernanza de Microsoft, y de su cultura corporativa en torno a la seguridad».
Todo esto es bastante inquietante, dada la posición de Microsoft como poseedor de las claves digitales de muchas de las entidades estatales y corporativas más importantes del mundo. El problema, según Stamos, es que la compañía está adicta a los miles de millones de dólares que obtiene de productos antiguos como Microsoft Exchange, el software de correo electrónico y calendario que introdujo en 1996. «Aunque se han trasladado a la nube, y la mayoría de sus clientes también, siguen vendiendo Exchange porque ganan mucho dinero con ello. Si miras la lista de las vulnerabilidades más explotadas en 2023, en la parte superior de la lista está Microsoft Exchange».
Microsoft dijo el mes pasado que el hackeo de Midnight Blizzard está «en curso», y agregó: «Puede estar utilizando la información que ha obtenido para acumular una imagen de las áreas a atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados de estados nacionales».