Microsoft enfrenta crecientes críticas a raíz del ataque del mes pasado a Azure. En una publicación en LinkedInAmit Yoran, director ejecutivo de la empresa de seguridad cibernética Tenable, dice que el historial de seguridad cibernética de Microsoft es «incluso peor de lo que piensa», y tiene un ejemplo para respaldarlo.
El 12 de julio, Microsoft reveló una brecha importante apuntando a su plataforma Azure, que rastreó hasta un grupo de piratería chino conocido como Storm-0558. El ataque afectó a alrededor de 25 organizaciones diferentes y resultó en el robo de correos electrónicos confidenciales de funcionarios del gobierno de EE. UU. La semana pasada, el Senador Ron Wyden (D-OR) envió una carta al Departamento de Justicia de EE. UU., pidiéndole que responsabilice a Microsoft por «prácticas negligentes de ciberseguridad».
Yoran tiene más que agregar a los argumentos del senador, escribiendo en su publicación que Microsoft ha demostrado un «patrón repetido de prácticas negligentes de ciberseguridad», lo que permite a los piratas informáticos chinos espiar al gobierno de EE. UU. También reveló el descubrimiento de Tenable de un falla adicional de ciberseguridad en Microsoft Azure y dice que la empresa tardó demasiado en solucionarlo.
Tenable descubrió inicialmente la falla en marzo y descubrió que podía dar a los malos acceso a los datos confidenciales de una empresa, incluido un banco. Yoran afirma que Microsoft tardó «más de 90 días en implementar una solución parcial» después de que Tenable notificó a la empresa y agregó que la solución solo se aplica a «nuevas aplicaciones cargadas en el servicio». Según Yoran, el banco y todas las demás organizaciones «que habían lanzado el servicio antes de la solución» aún se ven afectados por la falla, y es probable que desconozcan ese riesgo.
Yoran dice que Microsoft planea solucionar el problema a fines de septiembre, pero llama a la respuesta tardía «extremadamente irresponsable, si no descaradamente negligente». También señala los datos del Proyecto Cero de Google, que indican que los productos de Microsoft han representado el 42,5 por ciento de todas las vulnerabilidades de día cero descubiertas desde 2014.
“Lo que escuchas de Microsoft es ‘simplemente confía en nosotros’, pero lo que obtienes es muy poca transparencia y una cultura de ofuscación tóxica”, escribe Yoran. “¿Cómo puede un CISO, una junta directiva o un equipo ejecutivo creer que Microsoft hará lo correcto dados los patrones de hechos y los comportamientos actuales?”
El director senior de Microsoft, Jeff Jones, respondió a las críticas de Yoran en un comunicado enviado por correo electrónico a el borde:
Agradecemos la colaboración con la comunidad de seguridad para divulgar de manera responsable los problemas del producto. Seguimos un proceso extenso que implica una investigación exhaustiva, desarrollo de actualizaciones para todas las versiones de los productos afectados y pruebas de compatibilidad entre otros sistemas operativos y aplicaciones. En última instancia, desarrollar una actualización de seguridad es un delicado equilibrio entre la puntualidad y la calidad, al tiempo que garantiza la máxima protección del cliente con una mínima interrupción del mismo.