La seguridad de Microsoft, bajo escrutinio tras un ciberataque chino.

La reciente intrusión cibernética china ha desencadenado un importante debate sobre la responsabilidad de los proveedores de servicios en la nube a la hora de garantizar la seguridad de sus clientes. El servicio en la nube de primer nivel de Microsoft, que aparentemente ofrece una mayor seguridad, se ha convertido en el centro de atención, y los funcionarios de la administración Biden y el senador Ron Wyden han criticado a la empresa por no poner a disposición de todos los usuarios información crucial sobre los registros.

El software de registro desempeña un papel fundamental en la detección e investigación de ciberataques, ya que realiza un seguimiento de toda la actividad del servidor. Sin embargo, este incidente reveló que los datos de registro críticos necesarios para identificar el ataque solo estaban disponibles para los clientes del servicio premium en la nube de Microsoft, según los funcionarios de la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) del Departamento de Seguridad Nacional que colaboran con el equipo de respuesta a incidentes de Microsoft DART.

El ataque revelado afectó a casi dos docenas de organizaciones en todo el mundo, entre las que se encontraban los Departamentos de Estado y Comercio. El ataque no fue una violación de seguridad cualquiera, sino que implicó un grado inusual de sofisticación técnica, se dirigió a víctimas específicas y puso de relieve lo que está en juego en materia de ciberseguridad en nuestra era digital.

El Departamento de Estado identificó por primera vez la intrusión y la notificó a Microsoft el mes anterior. Sin embargo, la herramienta utilizada para descubrir la brecha no está incluida en todos los paquetes de Microsoft 365. Esta herramienta forma parte del paquete de licencias de Microsoft 365 de más alto nivel, conocido como E5, cuyo precio es aproximadamente un 60 % más alto que el del paquete E3, y que ofrece una gama más amplia de funciones. Para las entidades gubernamentales, estos paquetes se identifican como G5 y G3, respectivamente.

A raíz del episodio de piratería informática, los funcionarios de la administración Biden expresaron el miércoles que Microsoft debe hacer que esa información vital sea ampliamente accesible. Un alto funcionario de la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) destacó durante una rueda de prensa en la que se discutió el incidente que «todas las organizaciones que utilicen un servicio tecnológico como Microsoft 365 deberían tener acceso a los registros y otros datos de seguridad desde el primer momento para detectar de forma razonable las actividades cibernéticas maliciosas».

Todas las organizaciones que utilicen un servicio tecnológico como Microsoft 365 deberían tener acceso a registros y otros datos de seguridad listos para usar, con el fin de detectar de forma razonable actividades cibernéticas maliciosas.

-Funcionario superior de la CISA

Paralelamente, se está llevando a cabo una investigación para determinar si Microsoft cumplió con las estipulaciones federales de ciberseguridad para proveedores de servicios en la nube. El senador Ron Wyden, una figura activa en el Comité de Inteligencia del Senado en materia de ciberseguridad y política tecnológica, criticó la práctica de cobrar un suplemento por funciones de seguridad esenciales. Lo comparó con vender un coche y luego cobrar tasas adicionales por los cinturones de seguridad y los airbags.

En respuesta a la creciente presión, Microsoft anunció que estaba explorando posibles soluciones. Un portavoz de Microsoft declaró el jueves: «Estamos evaluando los comentarios y estamos abiertos a otros modelos. Estamos colaborando activamente con la CISA y otras agencias en este asunto».

El descubrimiento de esta campaña de piratería informática a gran escala se debió a los especialistas en seguridad del Departamento de Estado, quienes, equipados con herramientas de registro, detectaron una actividad inusual en su red en junio. Tras ser informada de la situación, Microsoft logró identificar a las víctimas, incluso a aquellas que no estaban suscritas al servicio premium.

El quid de la cuestión reside en los archivos de registro, que son registros digitales que rastrean la actividad en la nube de Microsoft. Estos registros contienen información muy valiosa, como el navegador y el sistema operativo utilizados para acceder al sistema, lo cual es crucial para rastrear la actividad delictiva tras un hackeo.

La complejidad surge con la llegada de la computación en la nube, donde las responsabilidades se dividen entre los operadores de la nube, como Microsoft, y sus clientes. Los proveedores argumentan que conservar grandes volúmenes de datos de este tipo puede resultar costoso, mientras que los clientes a menudo desconocen la necesidad de estos registros hasta que se produce un ataque informático, momento en el que puede ser demasiado tarde para recuperarlos.

Volexity, una empresa de ciberseguridad, sacó a la luz un caso concreto en el que los registros limitados de la licencia Microsoft 365 E3, más económica, de un cliente no pudieron revelar pruebas del ataque. Este problema pone de relieve la importancia de contar con capacidades de registro completas y plantea la cuestión de si todas las personas deberían tener acceso a las funciones de seguridad premium.

A medida que la computación en la nube se vuelve más frecuente, tanto los proveedores de servicios en la nube como los clientes tienen la responsabilidad de garantizar que se implementen las medidas adecuadas para detectar y mitigar los ciberataques. Este incidente sirve como un claro recordatorio de las brechas que pueden existir en la infraestructura de ciberseguridad y de la importancia de adoptar un enfoque integral para la seguridad digital.