Soporte técnico de seguridad de Microsoft
Soporte técnico de Microsoft para el sector público
Un informe del Gobierno de EE. UU. recomienda una revisión de la seguridad de la nube de Microsoft.
La CSRB critica a Microsoft y pide una reforma de la seguridad en la nube
Un informe reciente del Gobierno estadounidense ha sacado a la luz importantes preocupaciones en materia de seguridad relacionadas con la gestión de la seguridad en la nube por parte de Microsoft, tras una grave violación de la seguridad por parte de hackers chinos respaldados por el Estado.
El informe, publicado por la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB), destaca una serie de fallos operativos y decisiones estratégicas de Microsoft que permitieron a estos piratas informáticos infiltrarse en las cuentas de correo electrónico de altos funcionarios estadounidenses. El informe no solo ha criticado a Microsoft, sino que también ha pedido reformas más amplias en todo el panorama de la seguridad en la nube.
La violación y sus implicaciones
Los ejecutivos están preocupados por la violación de la ciberseguridad.
La brecha de seguridad, denunciada por primera vez en julio de 2023, involucró a un grupo de hackers conocido como Storm-0588, que se cree que tiene vínculos con el Gobierno chino. Este grupo logró comprometer la cuenta corporativa de un ingeniero de Microsoft, lo que posteriormente les permitió acceder a sistemas confidenciales del Gobierno de los Estados Unidos.
El informe describe este incidente como «evitable» y señala una serie de errores en los protocolos de seguridad de Microsoft.
Los piratas informáticos accedieron a los correos electrónicos de 22 organizaciones y más de 500 personas, entre las que se encontraban figuras de alto perfil, como el embajador de Estados Unidos en China. Además, se descargaron alrededor de 60 000 correos electrónicos del Departamento de Estado de Estados Unidos.
Esta violación subraya el papel fundamental que desempeña Microsoft en el ecosistema tecnológico mundial y el nivel de confianza que los clientes depositan en la empresa para proteger sus datos y operaciones.
Conclusiones de la Junta de Revisión de Seguridad Cibernética de EE. UU.
El informe del CSRB fue inequívoco en sus críticas a las prácticas de seguridad en la nube de Microsoft. Destacó varias áreas en las que Microsoft se quedó corto:
- Controles de seguridad de identidad inadecuados: El informe señalaba que Microsoft carecía de los controles de seguridad de identidad que son habituales entre otros proveedores de servicios en la nube.
- Prácticas criptográficas obsoletas: los hackers aprovecharon una clave criptográfica de 2016 para obtener acceso no autorizado, lo que apunta a prácticas obsoletas de rotación de claves.
- Fallo en los controles organizativos y la gobernanza: El informe criticaba el hecho de que Microsoft no diera prioridad a la seguridad, lo que sugería la necesidad de un cambio cultural dentro de la organización.
El CSRB recomendó que los directivos de Microsoft desarrollaran e implementaran un plan para llevar a cabo reformas fundamentales centradas en la seguridad en todos sus productos y servicios.
También sugirió que los proveedores de servicios en la nube deberían dejar de cobrar a los clientes por los registros de seguridad, que son esenciales para detectar y prevenir intrusiones.
Principales conclusiones del informe del CSRB
| Hallazgo | Descripción |
|---|---|
| Seguridad de identidad débil | Microsoft carecía de controles comunes de seguridad de identidad. |
| Criptografía obsoleta | Los hackers utilizaron una clave criptográfica antigua de 2016. |
| Mala gestión de la seguridad | Microsoft necesita centrarse más en la seguridad. |
Respuesta e iniciativas de Microsoft
En respuesta a las conclusiones de la CSRB, Microsoft ha puesto en marcha la «Iniciativa Futuro Seguro», cuyo objetivo es subsanar sus deficiencias en materia de seguridad. La empresa se ha comprometido a aplicar las recomendaciones de la junta y ya ha puesto a disposición algunos registros de seguridad como parte de su paquete estándar de servicios en la nube.
El vicepresidente y presidente de Microsoft, Brad Smith, testificó ante el Comité de Seguridad Nacional de la Cámara de Representantes y destacó el compromiso de la empresa con la mejora de su postura en materia de ciberseguridad.
Un informe del Gobierno de EE. UU. recomienda una revisión de la seguridad de la nube de Microsoft.
Microsoft se ha comprometido a implementar las 16 recomendaciones del CSRB que se aplican a la empresa, entre las que se incluyen medidas específicas para proteger identidades y secretos, mejorar la seguridad de la red y mejorar las capacidades de detección y respuesta ante amenazas. La iniciativa hace hincapié en tres principios básicos de seguridad: seguridad desde el diseño, seguridad por defecto y operaciones seguras.
Estos principios guían el desarrollo y la implementación de los productos y servicios de Microsoft, garantizando que la seguridad se incorpore desde el principio y se mejore continuamente para hacer frente a las amenazas en constante evolución.
Respuesta de Microsoft a las recomendaciones del CSRB
| Iniciativa | Detalles |
|---|---|
| Plan para un futuro seguro | Su objetivo es solucionar problemas de seguridad, incluyendo mejores registros y protección de la identidad. |
| 16 acciones clave | Mejorar la seguridad de la red y la detección de amenazas. |
| Principios básicos de seguridad | «Seguridad desde el diseño», «seguridad por defecto» y «operaciones seguras». |
Equilibrar la ciberseguridad y los beneficios.
Además de estas medidas técnicas, Microsoft también se está centrando en cambios culturales y organizativos para reforzar su enfoque centrado en la seguridad. Esto incluye vincular los objetivos de seguridad a la remuneración de los directivos, lo que garantiza la rendición de cuentas y alinea los objetivos de la empresa con sus compromisos en materia de seguridad.
Microsoft también ha invitado a la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) a su sede central para ofrecer una sesión informativa técnica detallada sobre la implementación de las recomendaciones del CSRB, lo que demuestra su transparencia y su voluntad de colaborar con las agencias gubernamentales para mejorar las medidas de seguridad.
Desafíos y críticas
A pesar de los esfuerzos de Microsoft, la empresa se enfrenta a importantes retos para restablecer la confianza y garantizar una seguridad sólida:
Beneficio frente a seguridad
Una investigación de ProPublica reveló que Microsoft había priorizado anteriormente los beneficios económicos por encima de la seguridad, ignorando supuestamente las advertencias sobre fallos críticos para conseguir contratos gubernamentales. Esto ha generado escepticismo sobre el compromiso de la empresa con la seguridad.
Vulnerabilidades continuas
El informe del CSRB y las investigaciones posteriores han puesto de relieve las vulnerabilidades existentes en los servicios en la nube de Microsoft, lo que requiere mejoras continuas y una vigilancia constante.
Implicaciones para todo el sector
El informe de la CSRB tiene implicaciones más amplias para el sector de la computación en la nube, ya que exige una reevaluación de las prácticas de seguridad de todos los proveedores de servicios en la nube, no solo de Microsoft. El informe recomienda que la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) lidere los esfuerzos para definir y adoptar normas mínimas para el registro de auditorías en los servicios en la nube.
Esto garantizaría que los clientes tuvieran acceso a los registros de seguridad esenciales sin incurrir en costes adicionales, lo que les permitiría detectar y responder a los incidentes de seguridad de forma más eficaz.
Esta recomendación subraya la necesidad de transparencia y responsabilidad en el sector de la computación en la nube. Al establecer prácticas de seguridad estandarizadas, los proveedores de servicios en la nube pueden mejorar la confianza de los clientes y reducir el riesgo de infracciones.
El informe también destaca la importancia de la colaboración entre organismos gubernamentales y empresas privadas para desarrollar y aplicar estas normas, garantizando un enfoque unificado de la ciberseguridad en todo el sector.
El camino a seguir
Para Microsoft, el camino a seguir implica no solo abordar las preocupaciones inmediatas en materia de seguridad, sino también fomentar una cultura de seguridad que impregne todos los aspectos de sus operaciones. Esto incluye:
- Mejorar la cultura de seguridad: Microsoft debe dar prioridad a la seguridad en todos los niveles, desde el diseño de productos hasta las prácticas operativas.
- Implementación de las mejores prácticas: La empresa debe adoptar los mejores estándares de seguridad, como la autenticación multifactorial y los modelos de acceso con privilegios mínimos, en todos sus servicios.
Aumento de la transparencia y la responsabilidad: al vincular los objetivos de seguridad a la remuneración de los directivos, Microsoft pretende garantizar la responsabilidad y la transparencia en sus iniciativas de seguridad.
La mejor opción
Es evidente que el panorama de la computación en la nube está evolucionando rápidamente. En este contexto, US Cloud se perfila como una alternativa destacada frente a otros proveedores. Adaptamos las soluciones para satisfacer las necesidades específicas de su empresa, al tiempo que garantizamos el cumplimiento de los requisitos normativos más estrictos.
Con precios transparentes, sin cargos ocultos y equipos de asistencia dedicados las 24 horas del día, US Cloud mantiene un compromiso inquebrantable con la satisfacción del cliente. Para las organizaciones que buscan un proveedor de servicios en la nube que comprenda realmente sus retos únicos y dé prioridad a sus necesidades de seguridad, US Cloud no solo representa una alternativa, sino una opción superior en el mercado de los servicios en la nube.
Mientras navega por el complejo mundo de la computación en la nube y la ciberseguridad, asociarse con US Cloud le ofrece la tranquilidad y las soluciones personalizadas necesarias para prosperar en el panorama digital actual.
