El uso de asistencia técnica china por parte de Microsoft despierta temores sobre la exposición de datos del Gobierno estadounidense.

Resumen ejecutivo TL;DR

En el centro del controvertido acuerdo de Microsoft se encuentra un sistema que fue diseñado como un compromiso entre los requisitos de seguridad y la eficiencia corporativa. Durante casi diez años, el gigante tecnológico ha utilizado lo que denomina «acompañantes digitales», ciudadanos estadounidenses con autorizaciones de seguridad que actúan como intermediarios entre ingenieros extranjeros y sistemas gubernamentales sensibles.

El sistema funciona gracias a que ingenieros chinos proporcionan instrucciones técnicas a estos acompañantes estadounidenses, quienes luego ejecutan órdenes en redes federales sin comprender necesariamente todas las implicaciones de lo que están haciendo. Estos trabajadores, conocidos como «acompañantes digitales», a menudo carecen de los conocimientos técnicos necesarios para supervisar a ingenieros extranjeros con habilidades mucho más avanzadas, según descubrió ProPublica. Algunos son exmilitares con poca experiencia en programación a quienes se les paga apenas un poco más que el salario mínimo por su trabajo.

El acuerdo se concibió a principios de la década de 2010, cuando Microsoft buscaba conseguir lucrativos contratos federales de computación en la nube y, al mismo tiempo, mantener su estructura de plantilla global. Microsoft desarrolló el acuerdo de acompañamiento para satisfacer a los funcionarios del Departamento de Defensa, que estaban preocupados por los empleados extranjeros de la empresa, dados los requisitos de ciudadanía del departamento para las personas que manejan datos confidenciales.

Indy Crowley, un alto directivo de Microsoft apodado «el susurrador de FedRAMP» por su familiaridad con las regulaciones gubernamentales, desempeñó un papel clave en el desarrollo del concepto. Según declaró a ProPublica, la contratación de escoltas virtuales surgió como «la vía más fácil» cuando los funcionarios del Departamento de Defensa expresaron su preocupación por la posibilidad de que la plantilla global de Microsoft manejara datos confidenciales.

Si bien los informes iniciales se centraron en el uso por parte de Microsoft del soporte chino para los sistemas del Departamento de Defensa, investigaciones posteriores revelaron que esta práctica se extiende mucho más allá de las aplicaciones militares. La empresa ha utilizado su plantilla global, incluido el personal con sede en China, para mantener los sistemas en la nube de múltiples departamentos y agencias federales.

Durante años, Microsoft también ha utilizado su plantilla global, incluido el personal con sede en China, para mantener los sistemas en la nube de otros departamentos federales, entre ellos partes de Justicia, Hacienda y Comercio, según ha descubierto ProPublica.

El trabajo se ha llevado a cabo dentro de lo que se conoce como la Nube Comunitaria del Gobierno (GCC), una plataforma diseñada para información que no es clasificada, pero que, no obstante, es sensible. Según las normas gubernamentales, esto incluye datos cuya «pérdida de confidencialidad, integridad y disponibilidad tendría graves efectos adversos en las operaciones, los activos o las personas de una agencia».

Algunos ejemplos concretos del uso de GCC son:

• La División Antimonopolio del Departamento de Justicia utiliza la plataforma para funciones de investigación y litigios penales y civiles.
• Partes de la Agencia de Protección Ambiental que utilizan los servicios de GCC
• El Departamento de Educación mantiene los sistemas en la plataforma.

Este mayor alcance del acceso extranjero ha alarmado a los expertos en ciberseguridad, quienes advierten que incluso los datos gubernamentales no clasificados pueden proporcionar información valiosa a los adversarios extranjeros.

Uno de los aspectos más preocupantes del sistema de acompañamiento digital es la significativa disparidad en cuanto a conocimientos técnicos entre los acompañantes estadounidenses y los ingenieros chinos a los que se supone que deben supervisar. Esta brecha de habilidades crea una vulnerabilidad fundamental que, según los expertos, socava toda la premisa de seguridad del acuerdo.

«Confiamos en que lo que están haciendo no es malicioso, pero realmente no podemos saberlo», dijo una acompañante actual que accedió a hablar bajo condición de anonimato, por temor a repercusiones profesionales.

El problema es estructural e intencionado. Microsoft ha reconocido que los acompañantes están ahí principalmente para garantizar el cumplimiento de los procedimientos de tratamiento de datos, más que para proporcionar supervisión técnica. Matthew Erickson, un antiguo ingeniero de Microsoft que trabajó en el sistema de acompañantes, explicó que «si alguien ejecutara un script llamado "fix_servers.sh" pero en realidad hiciera algo malicioso, [los acompañantes] no se darían cuenta».

La contratación de escoltas refleja estas expectativas limitadas. Un contratista de Microsoft publicó un anuncio en enero de 2025 en el que buscaba un escolta por 18 dólares la hora, siendo el requisito principal una autorización de seguridad del Departamento de Defensa en lugar de conocimientos técnicos.

«La gente consigue estos trabajos porque tienen autorización (de seguridad), no porque sean buenos ingenieros», afirmó el escolta, que accedió a hablar de forma anónima y que trabaja para Insight Global.

Este acuerdo significa que cada mes, el equipo de acompañamiento de Microsoft atiende cientos de interacciones con ingenieros y desarrolladores con sede en China, actuando esencialmente como conductos para las instrucciones técnicas extranjeras en las redes federales sin una capacidad de supervisión significativa.

Las vulnerabilidades inherentes al enfoque de Microsoft se hicieron evidentes en julio de 2025, cuando hackers patrocinados por el Estado chino explotaron vulnerabilidades en SharePoint, el software de colaboración ampliamente utilizado de Microsoft. El ataque comprometió a cientos de empresas y agencias gubernamentales, incluidas la Administración Nacional de Seguridad Nuclear (NNSA) y el Departamento de Seguridad Nacional (DHS).

Lo que hizo que este incidente fuera especialmente preocupante fue el posterior descubrimiento por parte de ProPublica de que el soporte técnico de SharePoint lo gestiona un equipo de ingenieros con sede en China que lleva años encargándose del mantenimiento del software.

La cronología del ataque a SharePoint revela la complejidad de los retos de seguridad:

• Los hackers chinos comenzaron a explotar las vulnerabilidades de SharePoint ya el 7 de julio de 2025.
• Microsoft lanzó un parche el 8 de julio, pero los hackers lo eludieron.
• Posteriormente, la empresa publicó un nuevo parche con «protecciones más robustas».
• Las vulnerabilidades permitieron a los piratas informáticos «acceder completamente al contenido de SharePoint, incluidos los sistemas de archivos y las configuraciones internas, y ejecutar código a través de la red».

Aunque no hay pruebas de que el equipo de SharePoint de Microsoft con sede en China haya participado en el ataque, la coincidencia puso de relieve los riesgos potenciales de que personal chino se encargara del mantenimiento de un software que los adversarios estadounidenses estaban atacando simultáneamente.

Los expertos en seguridad nacional y ciberseguridad han expresado su alarma ante estas revelaciones, y muchos se han mostrado sorprendidos de que existieran tales acuerdos. Harry Coker, exalto ejecutivo de la CIA y la Agencia de Seguridad Nacional que también ocupó el cargo de director nacional de ciberseguridad durante la administración Biden, declaró a ProPublica que el sistema de escolta digital ofrece una oportunidad evidente para el espionaje.

«Si yo fuera un agente, lo consideraría una vía de acceso extremadamente valiosa. Debemos preocuparnos mucho por eso», afirmó Harry Coker, que fue alto ejecutivo de la CIA y la Agencia de Seguridad Nacional.

Las preocupaciones se basan tanto en las realidades técnicas del acuerdo como en el marco legal que rige la recopilación de datos en China. Jeremy Daum, investigador sénior del Centro Paul Tsai China de la Facultad de Derecho de Yale, explicó que las leyes chinas permiten a los funcionarios del Gobierno recopilar datos «siempre que estén haciendo algo que consideren legítimo». Señaló que sería «difícil para cualquier ciudadano o empresa china resistirse de manera significativa a una solicitud directa de las fuerzas de seguridad o las fuerzas del orden».

Rex Booth, exfuncionario federal de ciberseguridad que ahora ocupa el cargo de director de seguridad de la información de SailPoint, hizo hincapié en que los riesgos van más allá de las preocupaciones tradicionales relacionadas con la información clasificada:

«Con tanta información almacenada en servicios en la nube, y el poder de la inteligencia artificial para analizarla rápidamente, incluso los datos no clasificados pueden revelar información que podría perjudicar los intereses de Estados Unidos».

Harry Coker, ex alto ejecutivo de la CIA y la NSA

Las revelaciones han provocado rápidas respuestas tanto del Congreso como del poder ejecutivo. El secretario de Defensa, Pete Hegseth, inició una revisión inmediata de las prácticas y declaró en las redes sociales que

«Los ingenieros extranjeros, de cualquier país, incluida, por supuesto, China, NUNCA deberían tener permiso para mantener o acceder a los sistemas del Departamento de Defensa».

Ha surgido una preocupación bipartidista en el Congreso, y los senadores Tom Cotton (republicano por Arkansas) y Jeanne Shaheen (demócrata por Nuevo Hampshire) han escrito cartas al secretario Hegseth exigiendo más información sobre los acuerdos de asistencia técnica de Microsoft en China. El interés del Congreso refleja la creciente conciencia de China como amenaza cibernética y una preocupación más amplia por la dependencia tecnológica de otros países.

John Sherman, que ocupó el cargo de director de información del Departamento de Defensa durante la administración Biden, expresó su sorpresa por los hallazgos y pidió «una revisión exhaustiva por parte de la DISA, el Cyber Command y otras partes interesadas que participan en esto».

El secretario de Defensa Pete Hegseth afirma que no habrá asistencia técnica extranjera en el Departamento de Defensa

Ante la revelación pública de sus prácticas, Microsoft actuó rápidamente para abordar las preocupaciones inmediatas, al tiempo que defendía su enfoque general. La empresa anunció que dejaría de utilizar equipos de ingeniería con sede en China para dar soporte a los sistemas de computación en la nube del Departamento de Defensa y sugirió que podrían producirse cambios similares para otros clientes gubernamentales.

En un comunicado, Microsoft declaró: «La semana pasada, Microsoft tomó medidas para mejorar la seguridad de nuestras ofertas de nube para el Departamento de Defensa. De cara al futuro, vamos a tomar medidas similares para todos nuestros clientes gubernamentales que utilizan la Nube Comunitaria Gubernamental (GCC) con el fin de garantizar aún más la seguridad de sus datos».

Sin embargo, la respuesta de la empresa suscitó tantas preguntas como respuestas dio. Microsoft se negó a especificar qué sustituiría a sus equipos de asistencia en China, si se seguirían utilizando los acompañantes digitales o si la asistencia correría a cargo de ingenieros con sede en otros países extranjeros. La empresa también afirmó que «llevaría a cabo una revisión para evaluar si se necesitan medidas adicionales» durante el mes siguiente.

Robert E. LaMear IV, fundador de US Cloud, ofreció esta solución. US Cloud es el proveedor líder de soporte técnico externo para el software empresarial de Microsoft.

«Microsoft debería sustituir sus equipos de asistencia técnica chinos por US Cloud. Estaríamos dispuestos a trabajar intensamente para cumplir los requisitos de autorización de las agencias, ya que nos hemos creado desde cero para cumplir los requisitos federales de soberanía y ciudadanía en materia de datos. O bien, las agencias pueden contratar nuestros servicios directamente».

En lo que respecta específicamente al equipo de SharePoint, Microsoft reconoció la existencia del equipo de ingeniería con sede en China, pero hizo hincapié en que «está supervisado por un ingeniero con sede en Estados Unidos y sujeto a todos los requisitos de seguridad y a la revisión del código por parte de los responsables. Ya se está trabajando para trasladar esta labor a otra ubicación».

Las revelaciones sobre los acompañantes digitales encajan en un patrón más amplio de problemas de seguridad de Microsoft que han preocupado a funcionarios gubernamentales y expertos en ciberseguridad. ProPublica señaló que Microsoft «hapriorizado repetidamente las ganancias corporativas por encima de la seguridad de los clientes», incluyendo un incidente anterior en el que la empresa ignoró las advertencias de los ingenieros sobre un defecto en un producto que los hackers patrocinados por el Estado ruso explotaron posteriormente en uno de los mayores ciberataques de la historia.

Como presagio de la externalización del soporte técnico de Microsoft Gov a China, un año antes, el director del programa de adquisiciones del Departamento de Defensa, Prescott Paulin, publicó este vídeo en LinkedIn en 2024 en el que se veía cómo Microsoft le remitía a un centro de atención telefónica chino cuando tenía problemas para acceder a sus «cuentas relacionadas con la defensa fuera del horario laboral». ID de seguimiento del soporte técnico de Microsoft para incidentes: 2407040040000430.

El sistema de acompañamiento surgió en un momento en el que Microsoft estaba buscando agresivamente contratos federales en la nube, y sus colegas apodaron a uno de los arquitectos clave «el susurrador de FedRAMP» por su habilidad para lidiar con los requisitos de seguridad del gobierno. Este acuerdo le permitió a Microsoft mantener su estructura de personal global rentable y, al mismo tiempo, cumplir con los requisitos de seguridad federales a nivel superficial.

Prescott Paulin, director del programa de adquisiciones del Departamento de Defensa, 2024. Vídeo sobre la externalización del soporte técnico de Microsoft a China.

La investigación de ProPublica reveló que, desde el principio, existían preocupaciones sobre el sistema de acompañantes digitales dentro de Microsoft y entre sus contratistas. Varias personas involucradas en el trabajo, incluido un líder de ciberseguridad de Microsoft, advirtieron a la empresa que el acuerdo era intrínsecamente arriesgado, pero Microsoft «lo lanzó y lo amplió de todos modos».

Un caso especialmente notable fue el de Tom Schiller, un antiguo contratista de Insight Global que se puso en contacto con una línea directa del Departamento de Defensa y escribió a varios legisladores federales en 2024 para advertir sobre el acompañamiento digital. Sus quejas llegaron finalmente a la Oficina del Inspector General de la Agencia de Sistemas de Información de Defensa, que llevó a cabo entrevistas, pero finalmente remitió el asunto a la dirección de la DISA en lugar de iniciar una investigación.

Los acompañantes actuales también han expresado su preocupación. Un empleado de Insight Global declaró a ProPublica que «habían planteado repetidamente su preocupación por la falta de información a Microsoft, durante varios años y tan recientemente como en abril, y a los propios abogados de Insight Global». El acompañante afirmó que les preocupaba especialmente la legislación china, que otorga amplios poderes para la recopilación de datos, y la exposición que esto suponía para las redes del Gobierno de los Estados Unidos.

Las revelaciones de Microsoft tienen implicaciones más amplias en cuanto a la forma en que el gobierno federal aborda la computación en la nube y la modernización de las tecnologías de la información. El incidente pone de relieve las tensiones fundamentales entre la rentabilidad, los conocimientos técnicos y los requisitos de seguridad que han configurado la adopción de la tecnología por parte del gobierno durante la última década.

La adopción de la computación en la nube por parte del gobierno federal se debió en gran medida a las promesas de ahorro de costes, mejora de la eficiencia y acceso a tecnología de vanguardia. Sin embargo, el caso de Microsoft demuestra cómo estas ventajas pueden conllevar costes de seguridad ocultos que no son evidentes de inmediato para los compradores gubernamentales o las agencias de supervisión.

La situación también plantea dudas sobre la idoneidad de los mecanismos de supervisión gubernamentales actuales. A pesar de que el sistema de escolta lleva casi una década en funcionamiento, parece que ni siquiera los altos cargos del Departamento de Defensa conocían su existencia. Esto sugiere que existen importantes lagunas en la forma en que los organismos gubernamentales comprenden y supervisan las prácticas de sus proveedores de tecnología.

Mientras el gobierno lidia con las implicaciones de las revelaciones sobre el soporte de Microsoft, siguen sin resolverse cuestiones fundamentales sobre cómo equilibrar los requisitos de seguridad con las realidades prácticas de operar en un mercado tecnológico global. El sistema de escolta digital representó un intento de resolver este dilema, pero su aparente fracaso sugiere que tal vez se necesiten enfoques más sólidos.

El incidente puede acelerar los esfuerzos generales del Gobierno para reducir la dependencia del personal extranjero en funciones tecnológicas críticas, pero es probable que esta transición conlleve costes y retos técnicos significativos. Desarrollar la capacidad técnica nacional suficiente para gestionar los complejos requisitos informáticos del Gobierno supone una tarea de gran envergadura que requerirá una inversión sostenida y la atención de las políticas.

El caso de Microsoft también pone de relieve la importancia de la transparencia en los contratos tecnológicos del Gobierno. El hecho de que un acuerdo de seguridad tan importante haya funcionado durante casi una década sin que el público tuviera conocimiento de ello sugiere que los requisitos de divulgación actuales pueden ser inadecuados para las complejas realidades de los servicios tecnológicos modernos.

El uso por parte de Microsoft de ingenieros chinos para dar soporte a los sistemas del Gobierno de EE. UU. representa un caso práctico de las consecuencias no deseadas de dar prioridad a la eficiencia sobre la seguridad en infraestructuras tecnológicas críticas. Aunque el sistema de escolta digital de la empresa puede haber cumplido con los requisitos de seguridad federales, parece haber violado su espíritu al crear vulnerabilidades que adversarios sofisticados podrían explotar.

La rápida respuesta de Microsoft, el Congreso y el poder ejecutivo sugiere que se reconoce que el acuerdo actual es insostenible, dadas las realidades geopolíticas en constante evolución y las amenazas cibernéticas. Sin embargo, el reto de sustituir estos sistemas sin mermar las capacidades informáticas del Gobierno requerirá una planificación cuidadosa y recursos significativos.

Mientras Estados Unidos sigue compitiendo con China en tecnología y capacidades cibernéticas, las revelaciones sobre el soporte de Microsoft sirven como un claro recordatorio de que la seguridad no puede tratarse como algo secundario en el diseño de sistemas críticos. El costo de equivocarse en materia de ciberseguridad, ya sea en términos de datos comprometidos, seguridad nacional dañada o pérdida de confianza pública, supera con creces los ahorros a corto plazo que podrían derivarse de recortar gastos en los requisitos de seguridad de la cadena de suministro.

La resolución definitiva de esta situación probablemente sentará importantes precedentes sobre cómo el gobierno aborda la supervisión de los proveedores de tecnología y los requisitos de seguridad en un mercado global cada vez más complejo. Lo que está en juego no podría ser más importante, ya que la integridad de la infraestructura digital de Estados Unidos depende de que estas decisiones sean acertadas.