La Junta de Revisión de Seguridad Cibernética (CSRB), dirigida por el Departamento de Seguridad Nacional de EE. UU., llevó a cabo una investigación de siete meses sobre el incidente que involucró al actor de ciberespionaje afiliado a China Storm-0558.
La operación, descubierta por primera vez por el Departamento de Estado de Estados Unidos en junio de 2023, incluyó el pirateo de correos electrónicos oficiales y personales de la ministra de Comercio, Gina Raimondo, y del embajador de Estados Unidos. Estados Unidos en PorcelanaNicolás Burns.
Críticas a la cultura corporativa de Microsoft
Microsoft proporciona servicios de TI alojados en la nube (computación remota), como Azure u Office360, incluido el almacenamiento de datos confidenciales para muchas empresas y gobiernos.
El informe, publicado el lunes, critica la cultura corporativa de Microsoft por estar «en desacuerdo con el lugar central de la empresa en el ecosistema tecnológico y el nivel de confianza que los clientes depositan en la empresa».
«La nube es una de las infraestructuras más críticas que tenemos», dijo el presidente de la CSRB, Robert Silvers. «Es imperativo que los proveedores de servicios en la nube den prioridad a la seguridad y la incorporen desde el diseño», añadió.
El estudio destacó una serie de decisiones operativas y estratégicas tomadas por Microsoft que allanaron el camino para el hackeo, incluida la falta de identificación de la computadora portátil comprometida de un nuevo empleado luego de una adquisición de negocios en 2021.
“La Comisión considera que esta intrusión podría haberse evitado”
También descubrió que Microsoft no cumplió con los estándares de seguridad de las empresas de nube competidoras, incluidas Google, Amazon y Oracle.
«La Comisión considera que esta intrusión podría haberse evitado y nunca debería haber ocurrido», afirma el informe, que destaca «la cascada de errores evitables de Microsoft que permitieron que esta intrusión tuviera éxito».
El informe también recomienda que Microsoft desarrolle y haga público un plan con plazos determinados para implementar reformas de seguridad de amplio alcance.
El vicepresidente de la CSRB, Dmitri Alperovitch, calificó a Storm-0558 y otros actores similares como una “amenaza persistente y perniciosa” que tiene “la capacidad y la intención de comprometer los sistemas de identidad para acceder a datos confidenciales, incluidos correos electrónicos de personas de interés para el gobierno chino”.
El gobierno agradeció a Microsoft, que no respondió de inmediato a una solicitud de comentarios, por cooperar plenamente con su revisión.