Soberanía de los datos y soporte técnico seguro de Microsoft: una visión realista.

Si confía en Microsoft Unified Support, probablemente se esté haciendo una pregunta sencilla: ¿podemos obtener ayuda rápida y experta sin poner en riesgo nuestros datos? Informes recientes indican que la respuesta a esa pregunta ya no es tan obvia, especialmente para el sector público y las cargas de trabajo reguladas.

Los ejecutivos no solo temen el tiempo de inactividad, sino que también pueden surgir peligros en los casos en que se presta asistencia: quién accede a los tickets, los registros y las sesiones en directo, y bajo la legislación de qué país. ProPublica descubrió que Microsoft utilizaba ingenieros con sede en China en múltiples agencias estadounidenses (con «acompañantes digitales») y, aunque Microsoft tomó medidas para poner fin a esta práctica en los sistemas del Departamento de Defensa, siguen existiendo dudas en relación con otros entornos.

US Cloud realiza un seguimiento de estos avances para los directores de informática y los directores de seguridad informática, y resume por qué la jurisdicción y los artefactos de soporte (tickets, volcados, grabaciones de sesiones) deben formar parte de su modelo de riesgo, y no solo los datos de producción. Esta publicación está dirigida a organizaciones que buscan un soporte seguro de Microsoft sin ambigüedades sobre la ubicación del personal, los subprocesadores o el acceso transfronterizo.

Cualquiera que haya pegado alguna vez un registro en un ticket Sev-A a las 2 de la madrugada sabe que el soporte técnico es un punto vulnerable en el que pueden filtrarse secretos o información privilegiada. Le mostraremos cómo mantener los servicios de asistencia técnica útiles y soberanos: qué preguntar a su proveedor y qué medidas de seguridad debe adoptar hoy mismo.

• Una investigación periodística realizada en 2025 reveló que Microsoft utilizó ingenieros con sede en China para ayudar a mantener sistemas sensibles del Gobierno de EE. UU., supervisados de forma remota por «acompañantes digitales» con salarios más bajos.
• Tras la publicación del informe, Microsoft afirmó que había dejado de utilizar ingenieros con sede en China para prestar asistencia al Departamento de Defensa (DoD), pero siguen existiendo dudas sobre otras cargas de trabajo federales y comerciales.
• El riesgo es la exposición jurisdiccional, es decir, las leyes de qué país podrían obligar a acceder a sus artefactos y sesiones de soporte, independientemente de la nacionalidad de la organización a la que se preste soporte.
• La Ley Nacional de Inteligencia de China (artículo 7) y las medidas relacionadas aumentan el riesgo de acceso forzoso cuando la asistencia se presta desde China, lo que convierte la soberanía de los datos y la ubicación del personal de asistencia en una cuestión importante en materia de cumplimiento normativo.
• El soporte técnico genera de forma natural artefactos sensibles que pueden incluir secretos o datos regulados. Muchos programas tratan los datos de producción con cuidado, pero pasan por alto estos flujos de datos de soporte técnico.
• Actúa ahora: exige detalles sobre la seguridad a tus proveedores. Los expertos del sector ya han comenzado a analizar estas alternativas.

Cuando abres un ticket Sev A, compartes registros o escalas una revisión, por necesidad, a menudo creas o expones:

• Contenido de tickets y chats que puede incluir configuraciones, direcciones IP o credenciales pegadas bajo presión de tiempo.
• Cargas de diagnósticos (registros, volcados de memoria, trazas) que pueden contener claves, tokens o información de identificación personal (PII).
• Sesiones remotas (compartir pantalla/administrador JIT) que otorgan acceso elevado para la resolución de problemas.
• Telemetría e informes de fallos que reflejan el estado del sistema y, en ocasiones, fragmentos de datos.

Si estos artefactos o sesiones privilegiadas son gestionados por personal ubicado físicamente en una jurisdicción diferente, es posible que se activen sus obligaciones en virtud de contratos y leyes (estatutos del sector público, normas sectoriales o políticas internas).

Durante el último año, ProPublica ha estado investigando el origen del personal de soporte técnico de Microsoft. A continuación, presentamos una cronología con lo que sabemos sobre quién resuelve los tickets de Unified en estos casos:

• 15 de julio de 2025: ProPublica informó que Microsoft estaba utilizando ingenieros en China para ayudar a mantener los sistemas del Pentágono, supervisados por «acompañantes digitales» que a menudo carecían de los conocimientos técnicos necesarios para supervisar de manera eficaz.
• 18 de julio de 2025: Tras el informe, Microsoft afirmó que había dejado de utilizar ingenieros con sede en China para los sistemas en la nube del Departamento de Defensa (DoD).
• 18-20 de julio de 2025: Varios medios de comunicación señalaron el cambio y la actividad de revisión federal.
• 1 de agosto de 2025: ProPublica relacionó esta práctica con SharePoint, señalando la participación de ingenieros con sede en China en un período de gran preocupación por la seguridad.
• 25 de julio de 2025: ProPublica también informó sobre el apoyo prestado por China a otros clientes federales (por ejemplo, el Departamento de Justicia y el Tesoro), subrayando que el anuncio del Departamento de Defensa no abarcaba necesariamente a todas las agencias.
• Reacción del sector: El análisis de US Cloud resumió la respuesta federal y destacó el interés en alternativas de terceros con sede en EE. UU. para cargas de trabajo sensibles. US Cloud
• Señales del mercado: Los comentarios de los líderes en LinkedIn han amplificado las preocupaciones y han llamado la atención sobre el punto de vista de SharePoint para los ejecutivos.

En resumen: el cambio específico de Microsoft para el Departamento de Defensa es notable, pero los clientes del sector público y comercial ajenos al Departamento de Defensa no deben dar por sentado que gozan de la misma protección sin garantías por escrito.

La raíz de este problema no radica solo en las personas y el lugar desde donde prestan asistencia. También tiene que ver con las leyes a las que están sujetos los expertos en asistencia. Si la asistencia se presta desde dentro de China, el personal y las empresas están sujetos a las leyes chinas de seguridad nacional e inteligencia. El artículo 7 de la Ley de Inteligencia Nacional establece que las organizaciones y los ciudadanos deben «apoyar, ayudar y cooperar» con el trabajo de inteligencia. Los expertos jurídicos y los analistas políticos señalan que esto puede obligar a prestar asistencia, incluido el acceso a datos y sistemas.

Para un CISO, eso significa que el soporte transfronterizo puede ampliar su superficie de ataque y coacción. La soberanía de los datos es la práctica de garantizar que sus datos (y los artefactos relacionados con ellos) permanezcan bajo la jurisdicción y los controles que usted elija, incluida la capa de soporte.

• Sector público: ProPublica documentó el apoyo con sede en China que afectaba al Departamento de Defensa (ahora modificado), al Departamento de Justicia y al Tesoro, lo que implica una exposición más allá de las cargas de trabajo de defensa.
• Sectores regulados: los servicios financieros, la sanidad y las infraestructuras críticas solicitan asistencia con frecuencia y suelen transmitir diagnósticos que pueden incluir material regulado o secreto (por ejemplo, información médica protegida, registros de autenticación, secretos en volcados). Incluso cuando los datos de producción están segregados, los artefactos de asistencia pueden reintroducir el riesgo.

El soporte técnico seguro y el soporte técnico inseguro de Microsoft pueden parecer iguales dependiendo de quién preste ese servicio. Las siguientes situaciones no suponen ningún riesgo si se trata de un soporte técnico de confianza, pero pueden plantear graves riesgos de seguridad cuando se interactúa con situaciones de soporte técnico inseguro.

• Pérdida de tickets: los ingenieros solicitan «registros completos» o capturas de pantalla; los secretos se cuelan en los artefactos que se almacenan fuera de su región principal.
• Volcados y trazas de fallos: las capturas de memoria pueden incluir claves API o información de identificación personal; ¿dónde se procesan y quién lo hace?
• Sesiones de administración remota: el acceso de «emergencia» aumenta los privilegios; el contenido de las sesiones puede ser observado, grabado u obligado por la legislación local.
• Revisiones de hotfix/fuentes: en escaladas profundas, los proveedores pueden solicitar código o configuraciones, lo que aumenta la exposición de la propiedad intelectual y los secretos.

Se trata de situaciones habituales en entornos complejos de Microsoft; en muchos casos son necesarias para resolver problemas informáticos complicados. Sin embargo, la diferencia radica en dónde se encuentran las personas que se encargan de ellas.

Hay una forma de evitar el inseguro soporte técnico de Microsoft. Lo primero que debe hacer es plantear sus inquietudes sobre seguridad a su proveedor. A continuación, se incluyen algunos temas que debe tratar con su persona de contacto en el proveedor. Si no pueden responder a sus preguntas, es posible que deba elevar sus inquietudes o empezar a considerar soluciones de soporte técnico alternativas.

Si cree que su soporte técnico de Microsoft puede no ser tan seguro como pensaba, existen estrategias que puede utilizar para ayudar a su equipo a volver a garantizar la seguridad de su soporte técnico de Microsoft.

El cambio de Microsoft exclusivo para el Departamento de Defensa es un comienzo, pero las agencias y empresas ajenas al Departamento de Defensa deberían solicitar por escrito la paridad o condiciones más estrictas, especialmente cuando esté en juego el secreto legal o la información de identificación personal (PII) o la información médica protegida (PHI). Los informes indican que el personal con sede en China también ha prestado apoyo históricamente a otros clientes federales; plantee las preguntas incómodas y recoja las respuestas en sus contratos.

El cumplimiento normativo en el soporte informático es mucho más que los acuerdos de nivel de servicio (SLA) y los tiempos de respuesta. También tiene que ver con dónde se encuentran sus ayudantes, qué leyes les obligan y dónde se almacenan sus artefactos. Alinee el soporte con la soberanía de los datos desde el diseño, insista en la claridad jurisdiccional y refuerce la ruta de soporte con controles técnicos y contractuales. Los datos que surgirán en 2025 mostrarán lo que está en juego y el camino a seguir.

Reserve hoy mismo una llamada con US Cloud para empezar a investigar alternativas seguras al soporte técnico de Microsoft si su CSAM unificado o sus representantes no pueden proporcionarle respuestas satisfactorias.