PyE
WASHINGTON: A fines de junio, uno de los clientes del experto en seguridad cibernética Steven Adair recibió una alerta de Microsoft: uno de los empleados del cliente que trabajaba en temas de derechos humanos tenía su cuenta de correo electrónico comprometida. El cliente quería saber si Adair podía llegar al fondo del asunto.
Adair, que solía trabajar en defensa cibernética en la agencia espacial estadounidense NASA antes de establecer su propia empresa, Volexity, inició de inmediato una investigación y se topó con una pared de ladrillos.
«Examinamos detenidamente cada detalle relacionado con el comportamiento de este usuario», dijo Adair a Reuters el jueves. «No pudimos descubrir nada».
Los piratas informáticos que irrumpieron en los correos electrónicos de su cliente eran el mismo conjunto de sofisticados espías cibernéticos a los que Microsoft culpó esta semana por robar correos electrónicos de altos funcionarios estadounidenses, incluidos los empleados del Departamento de Estado y la secretaria de Comercio Gina Raimondo. Microsoft dijo que los ataques no funcionaron secuestrando computadoras o robando contraseñas, sino aprovechando un problema de seguridad aún no revelado con el omnipresente servicio de correo electrónico en línea de la compañía.
Debido a que el cliente de Adair, a quien se negó a identificar, no estaba pagando a Microsoft por su suite de seguridad premium, los datos forenses detallados no estaban disponibles y Adair no tenía forma de averiguar qué había sucedido.
«Básicamente nos convertimos en espectadores en ese momento», dijo.
Adair ahora está presionando para que Microsoft proporcione los datos adicionales a sus clientes de forma gratuita, una campaña que se ha acelerado a raíz de la brecha en medio de la inquietud con las prácticas de seguridad del gigante del software en los círculos gubernamentales.
El senador estadounidense Ron Wyden dijo que Microsoft debería ofrecer a todos sus clientes capacidades forenses completas, diciendo que «cobrar a las personas por las funciones premium necesarias para no ser pirateadas es como vender un automóvil y luego cobrar más por los cinturones de seguridad y las bolsas de aire».
Microsoft no respondió de inmediato los mensajes en busca de comentarios sobre la experiencia de Adair, el comentario de Wyden u otras críticas sobre su seguridad.
En una publicación de blog que describió por primera vez el ataque el martes por la noche, Microsoft dijo que «la responsabilidad comienza con nosotros» y que «continuamente se autoevalúa, aprende de los incidentes» y fortalece sus defensas.
UNA TORMENTA EN LA NUBE
Durante años, las personas, las organizaciones y los gobiernos han estado moviendo sus correos electrónicos, hojas de cálculo y otros datos de sus propios servidores a los de Microsoft, aprovechando los ahorros de costos y la integración con el conjunto de herramientas de oficina de la compañía con sede en Redmond, Washington. Al mismo tiempo, Microsoft ha promovido el uso de sus propios productos de seguridad, lo que llevó a algunos clientes a abandonar lo que consideraban programas antivirus redundantes.
El proceso de migrar los datos y servicios de una organización a una gran empresa de tecnología a veces se denomina «trasladarse a la nube». Puede impulsar la seguridad, especialmente para las organizaciones pequeñas que carecen de los recursos para ejecutar sus propios departamentos de TI o seguridad.
Pero los competidores presionados por la oferta de seguridad de Microsoft están haciendo sonar la alarma sobre cómo amplias franjas de la industria y el gobierno estaban poniendo todos sus huevos en una sola canasta.
«Las organizaciones necesitan invertir en seguridad», dijo Adam Meyers, de la empresa de seguridad cibernética CrowdStrike, en un correo electrónico distribuido a los periodistas el miércoles. «Tener un proveedor monolítico que sea responsable de toda su tecnología, productos, servicios y seguridad puede terminar en un desastre».
La frustración también está aumentando con la estructura de licencias de Microsoft, que cobra a los clientes más por la capacidad de ver registros forenses detallados como los que Adair de Volexity no pudo acceder. El problema ha sido un punto de discordia entre la empresa y el gobierno de EE. UU. desde que se reveló un ataque a la empresa de software empresarial SolarWinds en 2020.
Adair dijo que entendía que Microsoft quería ganar dinero con su producto de seguridad premium. Pero dijo que tener más ojos abiertos a las ciberamenazas sería beneficioso para la empresa y sus clientes. Señaló que los piratas informáticos, a los que Microsoft apoda Storm-0558, fueron capturados solo porque alguien en el Departamento de Estado con acceso al registro de primera línea de Microsoft notó una anomalía en sus datos forenses.
«Tener a Microsoft empoderando aún más a los clientes y las empresas de seguridad para que puedan trabajar juntos es probablemente la mejor manera», dijo Adair.
