El Congreso busca respuestas del jefe de Microsoft tras una “cascada” de errores de seguridad

El comité de Seguridad Nacional de la Cámara de Representantes está interrogando al presidente de Microsoft, Brad Smith, el jueves sobre los planes de la gigante del software para mejorar su seguridad después de una serie de devastadores hackeos que llegaron a las cuentas de correo electrónico de funcionarios federales, cuestionando la aptitud de la empresa como un contratista gubernamental dominante.

El interrogatorio siguió a un informe mordaz sobre una de esas brechas, donde la Junta de Revisión de Seguridad Cibernética federal encontró que el evento fue posible debido a “una cascada de errores evitables” y una cultura de seguridad “que requiere una revisión completa”.

En ese hackeo, presuntos agentes del Ministerio de Seguridad del Estado de China crearon el año pasado claves digitales utilizando una herramienta que les permitió hacerse pasar por cualquier cliente existente de Microsoft. Usando la herramienta, se hicieron pasar por 22 organizaciones, incluyendo los Departamentos de Estado y Comercio de EE.UU., y revisaron el correo electrónico de la Secretaria de Comercio Gina Raimondo, entre otros.

El evento desencadenó la crítica más fuerte en décadas hacia el sólido proveedor federal y ha llevado a empresas rivales y algunas autoridades a presionar para una menor dependencia gubernamental de su tecnología. Dos senadores escribieron al Pentágono el mes pasado, preguntando por qué la agencia planea mejorar la seguridad de la tecnología no clasificada del Departamento de Defensa con licencias de Microsoft más costosas en lugar de con proveedores alternativos.

“La ciberseguridad debería ser una característica esencial del software, no una función premium que las empresas venden a clientes gubernamentales y corporativos con grandes presupuestos,” escribieron los senadores Eric Schmitt (R-Mo.) y Ron Wyden (D-Ore.). “A través de su poder adquisitivo, las estrategias y estándares del DOD tienen el poder de dar forma a estrategias corporativas que resulten en servicios de ciberseguridad más resilientes.”

Cualquier cambio serio en el gasto del poder ejecutivo llevaría años, pero los líderes del Departamento de Seguridad Nacional dicen que están en marcha planes para agregar garantías y requisitos de seguridad a más compras gubernamentales, una idea promovida en el informe de Microsoft de la Junta de Revisión de Seguridad Cibernética. El informe encontró que los requisitos actuales “no exigen de manera consistente prácticas sólidas” para autenticar a los usuarios.

El presidente del comité, Mark Green (R-Tenn.), dijo antes de la audiencia que “ahora es responsabilidad del Congreso examinar la respuesta de Microsoft a este informe. Debemos restaurar la confianza del pueblo estadounidense, que depende de los productos de Microsoft todos los días.”

En un testimonio escrito presentado el miércoles, Smith repitió declaraciones anteriores dando la bienvenida a los hallazgos de la Junta de Revisión y comprometiéndose a hacerlo mejor. Smith promocionó una iniciativa de seguridad en toda la compañía que ha traído a 1,600 ingenieros de seguridad en el año fiscal actual y añadirá otros 800 puestos el próximo año.

Smith dijo que la compañía había hecho de la seguridad su principal prioridad en toda la empresa y cumpliría con las recomendaciones de la Junta de Revisión tanto para la compañía como para la industria en general.

“Microsoft acepta la responsabilidad por cada uno de los problemas citados en el informe del CSRB,” testificó Smith.

El testimonio levantó cejas entre algunos profesionales de seguridad que señalaron el lanzamiento este mes por parte de Microsoft de una característica de Windows llamada Recall, que toma capturas de pantalla de la mayoría de las actividades en una computadora personal cada pocos segundos y las almacena para hacer más fácil la búsqueda de acciones pasadas.

Aunque Microsoft dijo que los usuarios solo podrían ver sus propios historiales y que de otro modo permanecerían encriptados y almacenados localmente, los expertos lo calificaron como un tesoro para los intrusos electrónicos. Alegaron que cualquiera con derechos administrativos sobre una máquina podría espiar a otros usuarios, y que un hacker podría exportar y leer archivos, incluidos registros de contraseñas financieras y mensajes encriptados, si lograba entrar.

Después de negarse a comentar sobre esos informes durante más de una semana, Microsoft dijo que no enviaría el software con Recall incluido automáticamente, como estaba planeado, y que requeriría más autenticación por parte del usuario para activarlo.

En su testimonio escrito, Smith citó ese cambio como un ejemplo de los esfuerzos revitalizados de la compañía en seguridad.

(c) 2024 , The Washington Post