Bloomberg — Hace tres meses, Microsoft Corp. (MSFT) publicó un informe de progreso sobre lo que describió como el mayor proyecto de ingeniería de ciberseguridad de la historia.
Afectado por su participación en varios ataques cibernéticos importantes, el gigante del software se comprometió a finales de 2023 a modernizar su ciberseguridad mediante un proyecto denominado Iniciativa para un Futuro Seguro. El informe de abril señaló avances significativos, como el fomento de una mentalidad de seguridad prioritaria en los empleados y avances en el cumplimiento de los objetivos de ingeniería.
“Nuestro progreso no será lineal”, añadía el informe.
Ver más: Microsoft acusa a hackers chinos de estar detrás de los ataques a SharePoint
La compañía no tardó mucho en demostrar su punto de vista. El martes, Microsoft acusó a tres grupos de piratas informáticos chinos, dos de ellos vinculados al gobierno de Beijing, de explotar los fallos del software de gestión de documentos SharePoint como parte de una campaña mundial que ha tenido como objetivo a empresas y organismos gubernamentales, incluido el Departamento de Educación de Estados Unidos.
Los atacantes han explotado los fallos desde el 7 de julio, según los investigadores de ciberseguridad.
El alcance total de los daños aún no está claro. Los fallos se aplican a los clientes de SharePoint que gestionan el software en sus propias redes, y no en la nube. Eso limita las víctimas potenciales, aunque el número podría seguir siendo significativo dado el alcance de Microsoft.
Roger Cressey, exfuncionario de ciberseguridad de los presidentes Bill Clinton y George W. Bush, dijo que los errores en organizaciones tan dominantes como Microsoft tienen mucho en juego y que los cambios son difíciles de hacer dado su tamaño.
“Cuando tienes un proveedor tan omnipresente en nuestro ecosistema digital, el radio de explosión de sus errores es enorme”, dijo Cressey, socio de Mountain Wave Ventures, entre cuyos clientes se encuentran algunos competidores de Microsoft. “Es otro recordatorio de que el fracaso de Microsoft a la hora de hacer de la seguridad una prioridad está afectando a nuestra seguridad nacional y económica”.
Ver más: ¿Qué esperar del balance de Microsoft? Esto anticipan dos gigantes de Wall Street
Microsoft desplegó rápidamente parches para los fallos, aunque dijo en una entrada de blog el martes que tenía “mucha confianza” en que los piratas informáticos seguirían utilizando los fallos para atacar sistemas SharePoint sin parchear.
La intrusión supone otro problema de relaciones públicas para una empresa que intenta reforzar sus ciberdefensas y su reputación. Microsoft es el mayor proveedor de software del mundo, lo que lo convierte en blanco de ciberespías y delincuentes. También es el mayor vendedor de productos de ciberseguridad.
“Como parte de la Iniciativa Futuro Seguro, estamos centrados en acelerar y reforzar nuestra respuesta a los incidentes de seguridad”, declaró Frank Shaw, portavoz de Microsoft. “En este caso, hemos actuado con rapidez, proporcionando orientación detallada al cliente y publicando tres nuevas actualizaciones de seguridad en un plazo de 72 horas para ayudar a proteger contra los ataques del adversario”.
Hay pocas pruebas de que los grandes ciberataques anteriores relacionados con Microsoft hayan perjudicado a la cuenta de resultados de la empresa. Anurag Rana, analista senior de Bloomberg Intelligence, dijo que incluso podría ayudar a Microsoft al convencer a los clientes de trasladar SharePoint a la nube del gigante tecnológico, que describió como más segura y barata a largo plazo.
Lo que no está tan claro es qué impacto tendrá la última brecha en los esfuerzos de Microsoft por reparar sus credenciales de ciberseguridad y apaciguar a sus críticos a largo plazo.
Uno de ellos, el senador estadounidense Ron Wyden, demócrata por Oregón, dijo que las agencias gubernamentales se han vuelto dependientes de “una empresa que no solo no se preocupa por la seguridad, sino que está ganando miles de millones de dólares vendiendo servicios de ciberseguridad premium para solucionar los fallos de sus productos”.
Ver más: Microsoft aún no logra posicionar a Copilot pese a su apuesta multimillonaria por la IA
“Cada hackeo causado por la negligencia de Microsoft se traduce en un aumento del gasto gubernamental en servicios de ciberseguridad de Microsoft”, dijo Wyden en un comunicado, cuando se le pidió que respondiera a las vulnerabilidades de SharePoint. “El gobierno nunca escapará a este ciclo a menos que deje de recompensar a Microsoft”.
En su informe de abril, Microsoft describió la Iniciativa Futuro Seguro como una empresa ambiciosa que llevaría años. Por ejemplo, de los 28 objetivos de ingeniería, cinco están a punto de completarse, 11 han realizado progresos significativos y Microsoft sigue trabajando en los demás.
“El panorama de las amenazas seguirá evolucionando, dando lugar a nuevas vulnerabilidades e incidentes de seguridad”, según el informe. “La tecnología avanzará, creando nuevas formas de mejorar la seguridad y nuevos problemas que abordar. Cada uno de ellos es una oportunidad para trabajar con nuestros clientes y con la industria para reforzar nuestras defensas colectivas”.
Con la colaboración de Jake Bleiberg.
Lea más en Bloomberg.com
