Ron Wyden, Senador por el estado de Oregón, EU.
En una carta enviada a autoridades estadounidenses se culpa a Microsoft de incurrir en un patrón repetido de prácticas negligentes de seguridad cibernética.
Microsoft en problemas: tras el robo de correos electrónicos a altos funcionarios y legisladores de Estados Unidos, especialistas acusaron a la empresa por incurrir en prácticas negligentes de seguridad cibernética.
De acuerdo con información publicada en el diario Exélsior.
Los datos que señalan a Microsoft parten de una investigación hecha por Google Project Zero, donde se reporta que los productos de la compañía han representado 42.5% de todos los días cero descubiertos desde 2014.
Día cero, cabe mencionar, se refiere a una vulnerabilidad de seguridad recién descubierta en software nuevo o actualizaciones, que los hackers utilizan para atacar.
Además, significa que el proveedor o desarrollador acaba de conocer la falla, lo que quiere decir que ha tenido cero días para corregirla.
Por tal motivo, en contra de Microsoft las advertencias de transparencia han sido solicitadas, pero sólo se han dado largas a las autoridades y empresas especializadas en ciberseguridad.
Culpan a Microsoft de espionaje chino.
Bajo ese contexto y luego del espionaje chino en contra del gobierno de Estados Unidos, en días pasados Ron Wyden, senador por Oregon, tomo acciones en contra de Microsoft.
El legislador envió una carta a la Agencia de Seguridad de Infraestructura y Ciberseguridad, al Departamento de Justicia y a la Comisión Federal de Comercio.
En esta solicita que se culpe a Microsoft de incurrir en un patrón repetido de prácticas negligentes de seguridad cibernética, lo que permitió el espionaje chino contra el gobierno de Estados Unidos.
“Se deben tomar medidas contra Microsoft luego de un ataque informático vinculado a China, que resultó en el robo de miles de correos electrónicos gubernamentales de altos funcionarios estadunidenses”.
Resaltó.
En la carta se señala que incluso con los detalles limitados que se han hecho públicos hasta ahora, Microsoft tiene una responsabilidad significativa por este nuevo incidente.
Acusan falta de transparencia.
Al asunto se suman las declaraciones de Amit Yoran, CEO de Tenable, firma de soluciones de ciberseguridad:
“La falta de transparencia de Microsoft se aplica a las brechas, a las prácticas de seguridad irresponsables y a las vulnerabilidades, todo lo cual expone a sus clientes a riesgos que se les ocultan deliberadamente”.
Afirmó.
¿Por qué se involucra a Tenable?.
En marzo de este año, un miembro del equipo de Investigación de Tenable estaba explorando y analizando la plataforma Azure de Microsoft y los servicios relacionados.
Descubrió un problema que permitiría a un atacante no autenticado acceder a aplicaciones de varios inquilinos y a sus datos confidenciales, como secretos de autenticación.
Tenable notificó a Microsoft la gravedad del asunto, pues en su exploración descubrieron secreto de autenticación de un banco.
Yoran comentó que Microsoft no corrigió esta falla que podía conducir a la violación de redes y servicios de múltiples clientes.
“Tardaron más de 90 días en implementar una solución parcial, y sólo para las nuevas aplicaciones cargadas en el servicio.
“No tienen idea de lo que está en riesgo y, por lo mismo, no pueden tomar una decisión sobre los controles compensatorios y acciones de mitigación de riesgos”,
Explicó.
El CEO de Tenable añadió que:
“Microsoft afirma que solucionará el problema a finales de septiembre, cuatro meses después de que se lo notificáramos.
“Esto es una grave irresponsabilidad, por no decir negligencia. Conocemos el problema, Microsoft lo conoce y esperemos que los cibercriminales no lo conozcan”,
Destacó.
A la espera de las responsabilidades de esta situación.
Los hechos en línea de tiempo:30 de marzo de 2023.
Problema descubierto e informado a Microsoft a través de MSRC
3 de abril de 2023. Microsoft confirma el problema
6 de julio de 2023. Microsoft informa a Tenable que el problema está solucionado
10 de julio de 2023. Tenable informa a Microsoft que la corrección está incompleta
11 de julio de 2023. Microsoft solicita que se retrase la divulgación pública
21 de julio de 2023. Tenable informa a Microsoft que se publicará un aviso limitado sin detalles técnicos ni pruebas de concepto
21 de julio de 2023. Microsoft reconoce e informa a Tenable que la solución tardará hasta el 28 de septiembre de 2023.
.png)