Estos incidentes ocurrieron como expertos en seguridad eran criticando cada vez más Microsoft para no hacerlo rápidamente y arreglar adecuadamente defectos en sus productos. Como, con diferencia, el mayor proveedor de tecnología para el gobierno de EE. UU., las vulnerabilidades de Microsoft representan la parte del león de ambos Recientemente descubierto y más ampliamente usado fallas de software. Muchos expertos dicen que Microsoft se niega a realizar las mejoras necesarias en ciberseguridad para mantenerse al día con los desafíos cambiantes.
Microsoft no ha “adaptado su nivel de inversión en seguridad y su mentalidad para adaptarse a la amenaza”, dice un destacado experto en política cibernética. «Es una gran cagada por parte de alguien que tiene los recursos y la capacidad de ingeniería interna que tiene Microsoft».
La CSRB del Departamento de Seguridad Nacional respaldó esta opinión en su nuevo informe sobre la intrusión china de 2023, diciendo que Microsoft exhibió “una cultura corporativa que despriorizó tanto las inversiones en seguridad empresarial como la gestión rigurosa de riesgos”. El informe también critica a Microsoft por publicar información inexacta sobre el Posibles Causas de la última intrusión china.
Las recientes filtraciones revelan la incapacidad de Microsoft para implementar defensas de seguridad básicas, según varios expertos.
Adam Meyers, vicepresidente senior de inteligencia de la firma de seguridad CrowdStrike, señala la capacidad de los rusos para pasar de un entorno de prueba a un entorno de producción. «Eso nunca debería suceder», dice. Otro experto cibernético que trabaja en un competidor de Microsoft destacó la capacidad de China para espiar las comunicaciones de múltiples agencias a través de una sola intrusión, haciéndose eco del informe CSRB, que criticaba el sistema de autenticación de Microsoft por permitir un acceso amplio con una única clave de inicio de sesión.
«No se oye hablar de este tipo de infracciones provenientes de otros proveedores de servicios en la nube», afirma Meyers.
Según el informe de la CSRB, Microsoft «no ha dado suficiente prioridad a la reestructuración de su infraestructura heredada para abordar el panorama de amenazas actual».
En respuesta a preguntas escritas, Microsoft le dice a WIRED que está mejorando agresivamente su seguridad para abordar incidentes recientes.
«Estamos comprometidos a adaptarnos al cambiante panorama de amenazas y asociarnos con la industria y el gobierno para defendernos contra estas crecientes y sofisticadas amenazas globales», dice Steve Faehl, director de tecnología del negocio de seguridad federal de Microsoft.
Como parte de su Iniciativa de futuro seguro Lanzado en noviembre, dice Faehl, Microsoft mejoró su capacidad para detectar y bloquear automáticamente abusos en las cuentas de los empleados, comenzó a escanear en busca de más tipos de información confidencial en el tráfico de la red, redujo el acceso otorgado por claves de autenticación individuales y creó nuevos requisitos de autorización para los empleados. buscando crear cuentas de empresa.
Microsoft también ha redistribuido a “miles de ingenieros” para mejorar sus productos y ha comenzado a convocar a altos ejecutivos para actualizaciones de estado al menos dos veces por semana, dice Faehl.
La nueva iniciativa representa la “hoja de ruta y los compromisos de Microsoft para responder a gran parte de lo que el informe CSRB consideró prioridades”, dice Faehl. Aun así, Microsoft no acepta que su cultura de seguridad esté rota, como sostiene el informe de la CSRB. «No estamos de acuerdo con esta caracterización», dice Faehl, «aunque sí estamos de acuerdo en que no hemos sido perfectos y tenemos trabajo por hacer».
Una ‘adicción’ a los ingresos por seguridad
Microsoft se ha ganado una enemistad especial por parte de la comunidad de la ciberseguridad por cobrando extra a sus clientes para obtener mejores protecciones de seguridad, como monitoreo de amenazas, antivirus y administración de acceso de usuarios. En enero de 2023, la empresa promocionada que su división de seguridad había superado los 20 mil millones de dólares en ingresos anuales.
«Microsoft ha pasado a considerar la ciberseguridad como algo que debe generarles ingresos», dice Juan Andrés Guerrero-Saade, vicepresidente asociado de investigación de la firma de seguridad SentinelOne. Su colega Alex Stamos escribió recientemente que la “adicción” de Microsoft a estos ingresos «Ha distorsionado seriamente sus decisiones de diseño de productos».