Un nuevo informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. ha descubierto que Microsoftpodría haber evitadoLos piratas informáticos chinos violaron los correos electrónicos del gobierno de EE. UU. a través de su software Microsoft Exchange Online el año pasado.el incidente, descrito como una “cascada de fallas de seguridad” en Microsoft, permitió a piratas informáticos patrocinados por el estado chino acceder a las bandejas de entrada de correo electrónico en línea de 22 organizaciones, lo que afectó a más de 500 personas, incluidos empleados del gobierno estadounidense que trabajaban en seguridad nacional.

El Departamento de Seguridad Nacional de Estados Unidos (DHS) ha publicado uninforme mordazque encontró que el ataque era "prevenible" y que una serie de decisiones dentro de Microsoft contribuyeron a "una cultura corporativa que despriorizó las inversiones en seguridad empresarial y la gestión rigurosa de riesgos".

Los piratas informáticos utilizaron una clave de consumidor de una cuenta de Microsoft (MSA) adquirida para falsificar tokens para acceder a Outlook en la web (OWA) y Outlook.com.El informe deja claro que Microsoft todavía no está seguroexactamentecómo se robó la clave, pero la teoría principal es que la clave fue parte de un volcado de emergencia.Microsoft publicó esa teoría en septiembre y recientementeactualizó su publicación de blogadmitir que "no hemos encontrado un volcado de memoria que contenga el material clave afectado".

Sin acceso a ese volcado de memoria, Microsoft no puede estar seguro de cómo se robó exactamente la clave."Nuestra hipótesis principal sigue siendo que los errores operativos provocaron que el material clave abandonara el entorno seguro de firma de tokens al que posteriormente se accedió en un entorno de depuración a través de una cuenta de ingeniería comprometida", dice Microsoft en su publicación de blog actualizada.

Microsoft reconoció ante la Junta de Revisión de Seguridad Cibernética en noviembre que su publicación de blog de septiembre era inexacta, pero sólo fue corregida meses después, el 12 de marzo, después de que la Junta le preguntara repetidamente sobre los planes de Microsoft de emitir una corrección.Si bien Microsoft cooperó plenamente con la investigación de la junta, la conclusión es que la cultura de seguridad de Microsoft necesita una revisión.

"La Junta considera que esta intrusión se podía prevenir y nunca debería haber ocurrido", dice la Junta de Revisión de Seguridad Cibernética."La Junta también concluye que la cultura de seguridad de Microsoft era inadecuada y requiere una revisión, particularmente a la luz de la centralidad de la empresa en el ecosistema tecnológico y el nivel de confianza que los clientes depositan en la empresa para proteger sus datos yoperaciones”.

Los hallazgos de la junta llegan la misma semana en que Microsoftlanzó su Copilot para la Seguridad, un chatbot impulsado por IA diseñado para profesionales de la ciberseguridad.Microsoft está cobrando a las empresas 4 dólares por hora de uso como parte de un modelo de consumo para acceder a esta última herramienta de inteligencia artificial, justo cuando la empresa lucha contra un ataque continuo de piratas informáticos patrocinados por el estado ruso.

Nobelium, el mismo grupo detrás del Ataque de vientos solares, logróespiar a algunosBandejas de entrada de correo electrónico de ejecutivos de Microsoft durante meses.Esa intrusión inicial también llevó al robo de parte del código fuente de Microsoft, y Microsoft admitió recientemente que el grupoaccedió al código fuente de la empresarepositorios y sistemas internos.

Microsoft ahora está intentandorevisar la seguridad de su software tras la filtración de correos electrónicos del gobierno de EE. UU. el año pasado yataques de ciberseguridad similaresen los últimos años.La nueva Iniciativa Futuro Seguro (SFI) de Microsoft está diseñada para revisar la forma en que diseña, construye, prueba y opera su software y servicios.Es el mayor cambio en los esfuerzos de seguridad de Microsoft desde que la compañía introdujo su Ciclo de Vida de Desarrollo de Seguridad (SDL) en 2004, después del devastador gusano Blaster que afectó a las máquinas con Windows XP sin conexión en 2003.