Los espías chinos que leyeron correos del Departamento de Estado también hackearon a un congresista republicano

Los presuntos hackers chinos que falsificaron identidades de clientes de Microsoft para leer los correos electrónicos de empleados del Departamento de Estado también obtuvieron los correos electrónicos personales y políticos del representante Don Bacon, un republicano moderado de Nebraska en el Comité de Servicios Armados de la Cámara de Representantes.

Bacon tuiteó el lunes que el FBI le había notificado que sus correos electrónicos habían sido pirateados por espías chinos que se aprovecharon de un error de Microsoft durante un mes, entre mediados de mayo y mediados de junio, lo que coincide con el momento en que, según los investigadores, se produjeron las otras filtraciones.

Bacon dijo que “haría horas extras” para asegurarse de que Taiwán recibe todos los miles de millones de dólares en armamento estadounidense que ha pedido.

“Soy un gran defensor de Taiwán”, dijo Bacon a The Washington Post por mensaje de texto. “Sospecho que les gustaría tener información para avergonzarme o socavarme políticamente. Como le dije al FBI, no tengo nada de qué avergonzarme”.

Fuentes gubernamentales y privadas dijeron al Post hace un mes que entre las víctimas de la campaña de pirateo figuraban la Secretaria de Comercio, Gina Raimondo, empleados no identificados del Departamento de Estado, un defensor de los derechos humanos y grupos de reflexión.

También dijeron que un miembro del personal del Congreso había sido el objetivo.

Bacon declaró al Post que no fue informado del pirateo hasta el lunes, lo que sugiere que aún se están descubriendo nuevas víctimas. El FBI no respondió a las peticiones de comentarios. Tampoco Microsoft.

Los funcionarios han descrito el espionaje como espionaje tradicional del tipo esperado por todas las partes. Se trataba de observar asuntos de especial interés, como la respuesta estadounidense a la escalada de tensiones entre la isla autónoma de Taiwán y China, que la reclama.

Pero la brecha ha alarmado a los expertos por otra razón: no estaba claro cómo podría haberlo evitado el Gobierno, que confía exclusivamente en Microsoft para los servicios en la nube, de correo electrónico y de autenticación.

Microsoft ha dicho que los piratas informáticos obtuvieron potentes claves de firma que necesitaban para crear identidades verificadas de clientes que pudieran eludir la autenticación multifactor. Combinado con otros fallos de Microsoft, millones de personas podrían haber estado expuestas al ataque.

Las autoridades han afirmado que sólo se suplantó la identidad de un par de docenas de entidades antes de que el Departamento de Estado descubriera un comportamiento sospechoso en sus registros de actividad. Microsoft pudo entonces buscar en sus propios registros la clave maestra que habían obtenido los piratas informáticos y bloquear futuros accesos.

Varios congresistas han exigido a los organismos federales que expliquen cómo piensan combatir ataques similares en el futuro y a Microsoft que facilite más ampliamente los registros, a lo que ha accedido.

El senador Ron Wyden (D-Ore.) ha ido más lejos, pidiendo al Departamento de Justicia y a la Comisión Federal de Comercio que investiguen si las prácticas de seguridad de Microsoft eran tan deficientes que violaban las leyes o el decreto de consentimiento de la FTC, de 20 años de antigüedad, que exigía una mayor seguridad tras la violación de lo que entonces era su herramienta de inicio de sesión único para la autenticación, Passport.

Wyden también instó al Departamento de Seguridad Nacional a que su Junta de Revisión de la Ciberseguridad, de dos años de antigüedad, examine la brecha en la nube de Microsoft. La semana pasada, la junta dijo que se haría cargo de la tarea.

El Departamento de Seguridad Nacional remitió las preguntas al FBI.

© The Washington Post 2023