El director ejecutivo de la empresa de TI Tenable, Amit Joran, reveló un incidente que ilustra que la actitud de Microsoft hacia la seguridad cibernética es “incluso peor de lo que piensa”: la empresa descuida los problemas de protección de datos y retrasa innecesariamente la corrección de sus propios errores.
El último incidente importante relacionado con la seguridad cibernética en Microsoft ocurrió el 12 de julio, cuando el grupo de hackers chino Storm-0558 pirateó la plataforma en la nube de Azure: el ataque afectó a unas 25 organizaciones y provocó el robo de correspondencia confidencial de funcionarios del gobierno de EE. UU. Según el experto, Microsoft demuestra sistemáticamente el descuido de los problemas de protección de datos: Tenable logró descubrir otra vulnerabilidad en la infraestructura de Azure, y el gigante del software tardó demasiado en eliminarla.
El error se descubrió en marzo: les dio a los posibles atacantes acceso a datos confidenciales, incluidos los recursos de uno de los bancos. Tenable notificó a Microsoft sobre la vulnerabilidad, pero este último tardó “más de 90 días en implementar una solución parcial”, que, sin embargo, solo se aplica a “nuevas aplicaciones cargadas por el servicio”. Las organizaciones en riesgo, incluido el mismo banco que “lanzó el servicio antes de que se lanzara el parche”, todavía están expuestas a la vulnerabilidad y probablemente desconozcan el riesgo.
Microsoft planea resolver finalmente el problema a finales de septiembre, que el experto describe como “una irresponsabilidad extrema, si no un desprecio flagrante”. Además, según Google Project Zero, el 42,5% de todas las vulnerabilidades de día cero descubiertas desde 2014 pertenecen a productos de Microsoft. Wiz informó recientemente que la violación de Azure puede tener consecuencias más graves de lo que se pensaba, pero Microsoft desestimó sus hallazgos.
Mientras tanto, el director senior de Microsoft, Jeff Jones, respondió a las críticas de Joran. “Valoramos la cooperación con la comunidad de [ciber]seguridad para revelar de manera responsable los problemas de los productos. Seguimos un proceso extenso que incluye una investigación exhaustiva, el desarrollo de actualizaciones para todas las versiones de los productos afectados y pruebas de compatibilidad con otros sistemas operativos y aplicaciones. En última instancia, el desarrollo de una actualización de seguridad: es un delicado equilibrio entre la puntualidad y la calidad con la máxima protección de los clientes y los obstáculos mínimos para ellos”, dijo The Verge citando la declaración del alto directivo.
Aquí te dejamos una lista de noticias que de seguro vas a querer leer: