Después del hackeo de Exchange, el gobierno de EE. UU. toma medidas enérgicas contra la seguridad de Microsoft

El Departamento de Seguridad Nacional de EE. UU. (DHS) publicó una evaluación crítica de los protocolos de seguridad de Microsoft luego de la violación de Exchange Online del verano de 2023. Sus hallazgos apuntan a que las fallas de seguridad dentro del editor han creado condiciones favorables para que el grupo de hackers respaldado por el estado chino acceda a correos electrónicos y datos gubernamentales confidenciales. Un estudio independiente del Cyber ​​Safety Review Board (CSRB), publicado por el DHS, concluyó que la intrusión era "prevenible" y destacó lo que considera una tendencia preocupante de Microsoft a invertir poco en empresas de seguridad. El informe también destaca las lagunas en las comunicaciones públicas de la empresa de Redmond, y señala que la empresa solo revisó una publicación de blog de septiembre de 2023 que detalla la causa raíz de la infracción en marzo de 2024, tras solicitudes persistentes de la junta directiva. El editor se comunicó por primera vez sobre el tema el 14 de julio.

Los ciberataques dirigidos al correo electrónico del gobierno de EE. UU. aprovecharon un token de acceso generado por Microsoft para obtener acceso no autorizado. Como parte de esta operación, los ciberespías utilizaron una clave de cuenta de usuario de Microsoft comprometida para crear tokens falsos. Luego se utilizaron para infiltrarse en OWA (acceso web de Outlook) y Outlook.com, permitiendo el acceso no autorizado a cuentas de correo electrónico confidenciales. "Este grupo de hackers afiliado a la República Popular China tiene la capacidad y la intención de comprometer los sistemas de identidad para acceder a datos confidenciales, incluidos correos electrónicos de personas de interés para el gobierno chino", afirmó el vicepresidente interino de la CSRB, Dimitri Alperovitch. en un comunicado de prensa. "Los proveedores de servicios en la nube deben implementar urgentemente estas recomendaciones para proteger a sus clientes contra esta y otras amenazas persistentes y perniciosas de los actores estatales".

Se espera un plan de reforma fundamental en el punto de inflexión

Microsoft dijo en un comunicado que revisaría las recomendaciones de la comisión y había comenzado a abordar estas cuestiones como parte de su iniciativa. Futuro seguro. "Aunque ninguna empresa está a salvo de un ciberataque por parte de adversarios con buenos recursos, hemos movilizado a nuestros equipos de ingeniería para identificar y mitigar la infraestructura existente, mejorar los procesos y aplicar estándares de seguridad", afirmó un portavoz de la firma de Redmond.

La CSRB recomienda en su informe que el proveedor comparta públicamente un plan detallado con plazos para reformas de seguridad fundamentales. También sugiere que todos los proveedores de servicios en la nube, no sólo Microsoft, dejen de cobrar a sus clientes por los registros de seguridad. Las posiciones del organismo cubren muchas áreas, comenzando con la implementación de mecanismos de control modernos y prácticas centrales en sistemas de acreditación e identidad digital. El documento destaca además la importancia de establecer un estándar mínimo para el registro de auditorías por defecto en los servicios en la nube. "Los proveedores de servicios en la nube deben mantener suficiente información forense para detectar la filtración de estos datos, incluso registrando todo el acceso a estos sistemas y todas las claves privadas almacenadas allí", afirma el informe. Recomienda que los períodos de retención de registros cubran toda la vida útil de una clave y se extiendan durante al menos dos años después de su vencimiento; puede ser necesaria una retención más prolongada de 10 años para registros de alto valor.

Se espera transparencia en todos los niveles.

Para fortalecer aún más la seguridad, la CSRB aconseja a los proveedores de la nube que adopten estándares de identidad digital emergentes. Se alienta a los organismos de normalización pertinentes a perfeccionar, actualizar e integrar estos estándares en sus marcos, garantizando que aborden adecuadamente los riesgos comúnmente explotados en el panorama de amenazas moderno. La transparencia es otro elemento clave de las recomendaciones de la CSRB. El informe insta a los proveedores de nube a adoptar prácticas de divulgación de incidentes y vulnerabilidades a sus clientes, partes interesadas y el gobierno de EE. UU. Además, se consideró esencial el desarrollo de mecanismos más eficaces de denuncia y apoyo a las víctimas.

Una propuesta destaca la necesidad de actualizar el Programa Federal de Gestión de Autorizaciones de Riesgos (FedRAMP) y sus marcos asociados. La CSRB recomienda que el gobierno de los Estados Unidos establezca un proceso para realizar revisiones especiales discrecionales de las ofertas de servicios en la nube autorizadas por el programa, particularmente después de situaciones de alto impacto. Además, se alienta al Instituto Nacional de Estándares y Tecnología (NIST) a incorporar comentarios sobre las amenazas e incidentes de seguridad observados por parte de los proveedores de servicios en la nube en sus pautas y estándares. El secretario de Seguridad Nacional, Alejandro Mayorkas, destacó la importancia crítica de la colaboración en ciberseguridad en el informe y dijo: "La seguridad de esta tecnología nunca ha sido más importante".