{"id":747812,"date":"2023-07-27T22:36:17","date_gmt":"2023-07-27T22:36:17","guid":{"rendered":"https:\/\/magazineoffice.com\/senador-de-ee-uu-es-hora-de-investigar-a-microsoft-por-seguridad-cibernetica-negligente\/"},"modified":"2023-07-27T22:36:21","modified_gmt":"2023-07-27T22:36:21","slug":"senador-de-ee-uu-es-hora-de-investigar-a-microsoft-por-seguridad-cibernetica-negligente","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/senador-de-ee-uu-es-hora-de-investigar-a-microsoft-por-seguridad-cibernetica-negligente\/","title":{"rendered":"Senador de EE. UU.: es hora de investigar a Microsoft por \u00abseguridad cibern\u00e9tica negligente\u00bb"},"content":{"rendered":"


\n<\/p>\n

\n

Microsoft se enfrenta a la presi\u00f3n de un senador de EE. UU. por no evitar que los piratas inform\u00e1ticos patrocinados por el estado ingresen dos veces a los sistemas del gobierno de EE. UU.: durante el ataque a SolarWinds de 2020 y el ataque de correo electr\u00f3nico basado en Outlook m\u00e1s reciente que se revel\u00f3 este mes. <\/p>\n

El senador Ron Wyden (D-Oregon) exige una investigaci\u00f3n sobre Microsoft del Departamento de Justicia, la Comisi\u00f3n Federal de Comercio y la agencia de seguridad cibern\u00e9tica del pa\u00eds, CISA. <\/p>\n

\u201cEscribo para solicitar que sus agencias tomen medidas para responsabilizar a Microsoft por sus pr\u00e1cticas negligentes de ciberseguridad, que permitieron una exitosa campa\u00f1a de espionaje chino contra el gobierno de los Estados Unidos\u201d, escribi\u00f3.(Se abre en una nueva ventana)<\/span> el jueves. <\/p>\n

Wyden dice que los piratas inform\u00e1ticos detr\u00e1s del incidente de SolarWinds y la violaci\u00f3n de Outlook obtuvieron acceso en parte debido a las malas pr\u00e1cticas de seguridad de Microsoft. Pero en lugar de admitir la culpa, el gigante del software supuestamente culp\u00f3 a otros e inst\u00f3 a los clientes a seguir con los productos de Microsoft. <\/p>\n

\nP\u00edo(Se abre en una nueva ventana)<\/span><\/a>\n<\/p><\/blockquote>\n

Por ejemplo, Wyden cita c\u00f3mo los presuntos piratas inform\u00e1ticos chinos que irrumpieron en las cuentas de correo electr\u00f3nico del gobierno de EE. UU. este mes lo hicieron utilizando tokens de autenticaci\u00f3n falsificados para Exchange Online y Outlook.com. En su propia entrada de blog(Se abre en una nueva ventana)<\/span>Microsoft revel\u00f3 que los piratas inform\u00e1ticos adquirieron de alguna manera una \u00abclave de firma del consumidor de la cuenta de Microsoft (MSA)\u00bb, que tambi\u00e9n podr\u00eda explotarse para falsificar los tokens de autenticaci\u00f3n para las cuentas empresariales. <\/p>\n

\u201cIncluso con los detalles limitados que se han hecho p\u00fablicos hasta ahora, Microsoft tiene una responsabilidad significativa por este nuevo incidente\u201d, dice Wyden. \u201cPrimero, Microsoft no deber\u00eda haber tenido una sola clave maestra que, cuando inevitablemente se la roban, podr\u00eda usarse para falsificar el acceso a las comunicaciones privadas de diferentes clientes\u201d.<\/p>\n

El otro problema es que Microsoft olvid\u00f3 almacenar tales claves de firma en una b\u00f3veda de hardware, conocida como m\u00f3dulo de seguridad de hardware, una pr\u00e1ctica que Microsoft culp\u00f3 a los clientes por no hacer durante la violaci\u00f3n de SolarWinds, dice la carta de Wyden. <\/p>\n

Luego, el senador critic\u00f3 a la empresa por las claves de firma utilizadas en el hackeo de Outlook. De acuerdo a(Se abre en una nueva ventana)<\/span> para el proveedor de seguridad en la nube Wiz, una clave era v\u00e1lida desde al menos 2016 antes de que fuera reemplazada en las \u00faltimas semanas. \u201cLas pautas federales de seguridad cibern\u00e9tica, las mejores pr\u00e1cticas de la industria y las propias recomendaciones de Microsoft para los clientes dictan que las claves de cifrado se actualicen con m\u00e1s frecuencia, por la misma raz\u00f3n de que podr\u00edan verse comprometidas\u201d, dice Wyden.<\/p>\n

\n
\n

Recomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n

Adem\u00e1s, las auditor\u00edas internas y externas de Microsoft no detectaron la vulnerabilidad de firma de clave, lo que significa que es posible que los productos de la empresa contengan otros problemas. \u201cHacer responsable a Microsoft por su negligencia requerir\u00e1 un esfuerzo de todo el gobierno\u201d, agrega Wyden.<\/p>\n

Microsoft no respondi\u00f3 de inmediato a una solicitud de comentarios. Mientras tanto, Wyden le est\u00e1 pidiendo al Fiscal General de los Estados Unidos, Merrick Garland, que investigue si Microsoft no cumpli\u00f3 con los est\u00e1ndares de seguridad cibern\u00e9tica requeridos mientras recib\u00eda fondos federales. Wyden tambi\u00e9n quiere que CISA investigue los recientes ataques a Outlook y el papel de Microsoft en ellos. <\/p>\n

ACTUALIZAR:<\/strong> En respuesta a la carta de Wyden, Microsoft dijo: \u00abEste incidente demuestra los desaf\u00edos en evoluci\u00f3n de la ciberseguridad frente a los ataques sofisticados. Continuamos trabajando directamente con las agencias gubernamentales en este tema y mantenemos nuestro compromiso de continuar compartiendo informaci\u00f3n en el blog de Microsoft Threat Intelligence.(Se abre en una nueva ventana)<\/span>.\u00bb<\/p>\n

\n
\n

\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n

Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n

Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\n