El Gobierno de EE.UU. pide a Microsoft que mejore su seguridad antes de añadir nuevas funciones.

El hackeo de Microsoft en China demuestra por qué la seguridad debe primar siempre sobre las prestaciones y por qué no debe existir una clave general que pueda utilizarse como "puerta trasera".

Microsoft got hacked by China, and a new report draws a devastating conclusion.

China logró piratear los servidores de correo electrónico de Microsoft en 2023. Microsoft no detectó el ataque, sino que tuvo que ser informada de él por funcionarios del gobierno estadounidense. Este escándalo de seguridad hizo que Estados Unidos investigara las normas de seguridad de Microsoft. El informe ahora publicado pinta un panorama devastador: Recomienda que Microsoft se abstenga de introducir nuevas funciones hasta que haya solucionado sus problemas de seguridad y establecido una cultura de seguridad corporativa adecuada.


Lo que ocurrió

En julio de 2023 se reveló un grave problema de seguridad en los servidores de correo electrónico de Microsoft. Según los informes, Microsoft perdió una clave de acceso general a todo su sistema de correo electrónico, lo que provocó el hackeo del gobierno estadounidense. Supuestamente, atacantes malintencionados relacionados con el gobierno chino pudieron desviar unos 60.000 correos electrónicos del Departamento de Estado de Estados Unidos, del embajador estadounidense en China y de otros funcionarios del gobierno estadounidense.

La propia Microsoft no detectó la filtración de datos, de la que China abusó desde mediados de mayo de 2023. En cambio, los funcionarios del Departamento de Estado pudieron detectarla ellos mismos en junio de 2023, notificándoselo a Microsoft. Es más, el Departamento de Estado estadounidense solo pudo investigar la violación porque utilizaba un plan más caro de Microsoft, que permitía acceder a los registros, una función que hasta entonces no estaba disponible en los planes menos caros. Tras el incidente, Microsoft dio acceso a estos registros también a los niveles más baratos de su producto. En nuestra opinión, una función de seguridad no debe quedar encerrada tras un muro de pago.

Microsoft, la empresa más valiosa del mundo, no fue capaz de detectar la filtración por sí sola. Tras recibir la notificación de las autoridades estadounidenses, los expertos en seguridad de Microsoft investigaron más a fondo la filtración de datos y descubrieron que las cuentas de correo electrónico de Microsoft Exchange Online de 22 organizaciones y 503 particulares se habían visto afectadas por el ataque. Sus hallazgos revelaron que los atacantes chinos del llamado grupo Storm-0558 pudieron acceder a un código de seguridad especial que les permitía acceder a cualquier cuenta de correo electrónico de Microsoft. Los servicios de inteligencia estadounidenses revelaron que el ataque fue llevado a cabo por uno de los servicios de espionaje más poderosos de Pekín, el Ministerio de Seguridad del Estado (MSS), que opera grandes operaciones de pirateo del Estado-nación.

Como es comprensible, el revuelo fue enorme, y el Departamento de Seguridad Nacional anunció que pondría en marcha una Junta de Revisión de la Ciberseguridad (CSRB) para revisar las prácticas de seguridad en la nube de Microsoft. La principal tarea de la junta independiente era:

“La CSRB evaluará la reciente intrusión en Microsoft Exchange Online, de la que se informó inicialmente en julio de 2023, y llevará a cabo una revisión más amplia de los problemas relacionados con la infraestructura de identidad y autenticación basada en la nube que afectan a los CSP aplicables y a sus clientes”… “La Junta desarrollará recomendaciones procesables que harán avanzar las prácticas de ciberseguridad tanto para los clientes de computación en nube como para los propios CSP”.

El informe saca una conclusión devastadora para Microsoft

Ahora, la Junta de Revisión de Ciberseguridad independiente encargada por el presidente estadounidense Biden ha publicado sus conclusiones y son malas, muy malas.

El informe llega a la conclusión de que “la intrusión de Storm-0558, un grupo de piratas informáticos considerado afiliado a la República Popular China, era evitable” y que la violación de datos “nunca debería haberse producido”.

El informe suscita gran preocupación, ya que Microsoft sigue sin saber exactamente cómo pudieron los chinos acceder a los buzones de Microsoft Exchange Online y acusa a Microsoft de prácticas de ciberseguridad muy deficientes, ausencia intencionada de transparencia y prácticas corporativas de seguridad poco estrictas.

Según el informe, Microsoft había cometido una “cascada de errores evitables” que eran consecuencia directa de una cultura de seguridad deficiente. Por ejemplo, la clave utilizada para acceder a las cuentas de correo electrónico debería haberse desactivado ya en 2021 y, para empezar, nunca debería haber permitido acceder a las cuentas de correo electrónico del Ministerio de Asuntos Exteriores.

Un portavoz de Microsoft declaró al Washington Post que

”los recientes acontecimientos han demostrado la necesidad de adoptar una nueva cultura de ingeniería de seguridad en nuestras propias redes. Aunque ninguna organización es inmune a los ciberataques de adversarios con buenos recursos, hemos movilizado a nuestros equipos de ingeniería para identificar y mitigar la infraestructura heredada, mejorar los procesos y hacer cumplir los parámetros de seguridad.”

Sin embargo, el informe afirma que esto no es suficiente: La “cultura de seguridad de Microsoft era inadecuada y requiere una revisión”.

Cascada de errores de Microsoft

Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. Microsoft es la empresa más valiosa del mundo, a pesar de tener una cultura de seguridad deficiente.

El informe destaca que múltiples errores por parte de Microsoft llevaron a que los buzones de Exchange fueran vulnerables en primer lugar.

  1. La antigua clave de firma utilizada por los hackers chinos para entrar en el sistema debería haberse desactivado ya en 2016.
  2. Microsoft debería haber pasado de la rotación manual a la automatizada, lo que habría desactivado automáticamente la antigua clave, pero no lo hizo.
  3. La clave funcionaba como una puerta trasera a las redes de consumidores y empresas, lo que supone una violación de los protocolos de seguridad.
  4. Un ingeniero de una empresa adquirida por Microsoft en 2020 estaba trabajando en un portátil comprometido y en 2021 accedió a la red corporativa desde esa máquina. No es seguro que este portátil fuera la causa principal, pero Microsoft publicó una actualización en marzo de 2024 que afirmaba que una “cuenta de ingeniería comprometida” era la “hipótesis principal” de la causa de la brecha.
  5. En lugar de dejar que este ataque pasara desapercibido, Microsoft debería haber realizado una evaluación de seguridad adecuada de la red de la empresa tras su adquisición, cosa que no hizo.

En definitiva, esta cadena de errores demuestra que la seguridad no es la prioridad de Microsoft, que es lo que critica duramente el informe.

Llega incluso a decir que Microsoft debería escuchar a su fundador, Bill Gates, que ya en 2002 hizo hincapié en la importancia de la seguridad en un correo electrónico de la empresa:

“En el pasado, hemos hecho nuestro software y nuestros servicios más atractivos para los usuarios añadiendo nuevas características y funcionalidades. … Así que ahora, cuando tenemos que elegir entre añadir características y resolver problemas de seguridad, tenemos que elegir la seguridad.”

Riesgo para la seguridad nacional

La filtración de datos provocada por una cultura de seguridad laxa en Microsoft es aún más grave si se tiene en cuenta que Microsoft es el principal proveedor de muchos gobiernos, no sólo de Estados Unidos, sino también de Alemania y otros muchos países europeos.

El riesgo no se limita únicamente a Microsoft. Los grandes proveedores de la nube, como Google, Apple, Amazon y Microsoft, son objetivos lucrativos para los adversarios de las naciones occidentales y deben centrarse en la seguridad. El informe de la Junta de Revisión de la Ciberseguridad termina afirmando: “toda la industria debe unirse para mejorar drásticamente la infraestructura de identidad y acceso. … La seguridad global depende de ello”.

Si atacantes malintencionados son capaces de entrar en las cuentas de correo electrónico de funcionarios, autoridades públicas, posiblemente incluso servicios de inteligencia, países como China y Rusia pueden hacerse con información muy sensible, poniendo en peligro nuestra seguridad nacional.

Y parece que los adversarios han aprendido cuáles son los puntos débiles de Microsoft.

En 2021, atacantes maliciosos de China -de nuevo apoyados por el gobierno chino- fueron capaces de comprometer los servidores de correo electrónico Microsoft Exchange, lo que afectó al menos a 30.000 cuentas organizativas de entidades empresariales y gubernamentales.

También en 2021, la empresa especializada en seguridad Wiz reveló una vulnerabilidad en la infraestructura de Microsoft Azure que permitía a los atacantes acceder, modificar y borrar datos de miles de clientes de Azure. Por aquel entonces se describió como “la peor vulnerabilidad en la nube que puedas imaginar” (aunque el hackeo chino de 2023 sí la superó), ya que Wiz podía acceder literalmente a cualquier base de datos de clientes de Microsoft Azure.

Pero China no es el único adversario:

En enero de 2024, atacantes rusos patrocinados por el Servicio de Inteligencia Exterior (SVR) de Rusia atacaron el servicio de correo electrónico corporativo de Microsoft. Microsoft identificó a los atacantes como Midnight Blizzard; fueron capaces de entrar en los buzones de correo de altos ejecutivos y empleados de seguridad.

En 2020, hackers rusos -de nuevo financiados por el gobierno ruso- fueron capaces de atacar el software de red de SolarWind, a través del cual los atacantes rusos desviaron correos electrónicos de al menos nueve agencias federales estadounidenses, así como de 100 empresas. Tras este ataque, Microsoft reclamó “la necesidad de una respuesta de ciberseguridad fuerte y global”.

Desgraciadamente, el panorama que dibuja ahora el informe de la CSRB muestra que Microsoft no ha seguido su propio llamamiento a una mejor estrategia de seguridad.

3 lecciones del informe de la CSRB

Dado que las vulnerabilidades del servicio de correo electrónico de Microsoft en los últimos cinco años han sido dramáticas, es importante centrarse ahora en solucionar el problema subyacente: una cultura de seguridad laxa. En Tuta estamos construyendo un servicio de correo electrónico y calendario cifrado de extremo a extremo con un claro enfoque en la privacidad y la seguridad. Desde nuestra experiencia podemos decir que las mejores prácticas de seguridad deben incluir lo siguiente:

1. Siempre hay que dar prioridad a la seguridad sobre las prestaciones.

Se trata de una decisión empresarial difícil porque la seguridad en sí misma no vende un producto; para ello se necesitan características. Pero es de suma importancia solucionar las vulnerabilidades de inmediato y cifrar tantos datos como sea posible, como en Tuta Mail. También es estupendo ver que el Gobierno alemán quiere consagrar por ley el derecho a la encriptación. En Alemania ya se está dando más importancia a la seguridad, por ejemplo en Schleswig-Holstein. El estado federal más septentrional de Alemania está en proceso de migración de Windows a Linux, un gran paso en términos de seguridad y soberanía digital.

En Tuta estamos totalmente de acuerdo con la conclusión del informe: Hay que priorizar la seguridad sobre las prestaciones.

2. No deben existir claves generales que puedan utilizarse como “puertas traseras”.

El último hackeo de Microsoft Exchange sólo fue posible porque los atacantes chinos robaron una clave general que les permitía acceder a los buzones de Exchange. Se trataba de una puerta trasera muy lucrativa para China, que nunca debería haber existido. En Tuta seguimos la estricta práctica de seguridad de que las claves de descifrado privadas sólo son accesibles para el usuario, y nunca para nosotros como proveedor de servicios. No existe una clave general para descifrar los datos del usuario, y no debe existir por razones de seguridad. La ausencia de una clave general de la que se pueda abusar como puerta trasera garantiza que una violación de datos como la que ocurrió con Microsoft en 2023 sea imposible con Tuta Mail.

Nuestro fundador Matthias Pfau explica por qué esto es importante y por qué las claves privadas nunca deben almacenarse en un servidor central.

3. Las funciones de seguridad deben ser gratuitas.

El hackeo de Microsoft Exchange sólo fue descubierto por el Departamento de Estado de EE.UU. porque tiene acceso a una función de registro, que no estaba incluida en los niveles de precios más bajos. En Tuta, todas las funciones de seguridad están siempre disponibles para todos los usuarios, incluso en los planes gratuitos. Esto incluye nuestro nuevo cifrado post-cuántico, así como la autenticación de dos factores para asegurar las credenciales de inicio de sesión y el manejo de la sesión.

Es bueno que Microsoft haya dado acceso a la función de registro también a los niveles de precios más bajos, pero debería haberlo hecho desde el principio.

En conclusión, todo se reduce a lo que el fundador de Microsoft, Bill Gates, dijo en 2002: Es importante dar prioridad a la seguridad sobre las prestaciones, no sólo para Microsoft, sino para cualquier proveedor de servicios en la nube.

El futuro mostrará si este hackeo por parte de China hace que Microsoft establezca finalmente una verdadera cultura de seguridad.

Hasta entonces, no dude en registrar un buzón seguro y cifrado con Tuta Mail.