Los legisladores del Comité de Seguridad Nacional de la Cámara de Representantes interrogaron el 13 de junio al presidente de Microsoft, Brad Smith, sobre las «deficiencias» de seguridad que permitieron a piratas informáticos vinculados con China acceder a los sistemas de la empresa de software el año pasado.
El incidente, que Microsoft atribuyó al grupo de piratas informáticos Storm-0558, con sede en China, puso en peligro los correos electrónicos de más de 500 personas, entre ellas la secretaria de Comercio.
Además de robar 60,000 correos electrónicos del Departamento de Estado de Estados Unidos, el grupo obtuvo una lista de todas las direcciones de correo electrónico del Departamento de Estado y los itinerarios de viaje de los funcionarios antes del viaje del secretario de Estado, Antony Blinken, a Beijing, en junio de 2023.
En marzo, la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB), formada por el secretario de Seguridad Nacional, Alejandro Mayorkas, publicó un informe mordaz culpando a la cultura corporativa de Microsoft por el hackeo, que según la junta fue posible gracias a una «cascada» de «errores evitables».
El Sr. Smith no refutó esa conclusión al testificar ante el panel de Seguridad Nacional.
«Nosotros aceptamos la responsabilidad de todas y cada una de las conclusiones del informe de la CSRB», dijo el CEO en su discurso de apertura.
El consejo atribuyó en parte el éxito del ataque a la decisión de Microsoft de retrasar la retirada de las claves de autenticación en 2021. Si la empresa hubiera seguido adelante con ese plan, las claves falsificadas de los hackers habrían sido inútiles.
La representante Marjorie Taylor Greene (R-Ga.) dijo que apreciaba la aceptación de responsabilidad de Microsoft por sus errores, señalando: «No escuchamos eso muy a menudo aquí».
Otros miembros de la comisión se mostraron menos impresionados.
El representante Lou Correa (D- Calif.) dijo que estaba «más que conmocionado» al leer sobre los errores de seguridad de Microsoft, ya que es un proveedor clave para las agencias de defensa e inteligencia de Estados Unidos.
«Ustedes tienen nuestra confianza, nuestro negocio, tanto en el sector público como en el privado, y enterarse de lo que está ocurriendo aquí es, como poco, muy inquietante», dijo el Sr. Correa.
«Nosotros solemos decir aquí que la cadena es tan fuerte como su eslabón más débil. ¿Van ustedes a va a reforzarla? ¿Van a hacer ustedes un mejor trabajo allí?», añadió el representante.
«Por supuesto», respondió el Sr. Smith.
En otro intercambio, el representante Carlos Giménez (R-Fla.) arremetió contra el ejecutivo por la decisión de Microsoft de hacer negocios en China.
Citando una ley china que obliga a todas las organizaciones que operan en China a cooperar con las agencias de inteligencia del país, Giménez preguntó si Microsoft cumple esa ley.
«No, no lo hacemos», respondió el Sr. Smith. Él explicó que Microsoft había dejado claro al régimen chino que no accedería a ciertas peticiones, y que «no tenía sentido detener» a empleados que solo seguían órdenes de la empresa.
El Sr. Giménez expresó sus dudas de que el régimen chino cumpliera los deseos de Microsoft. También se preguntó si merecía la pena para el gigante del software hacer negocios en China conociendo los riesgos de seguridad y vigilancia que implicaba.
«Yo pienso que hay dos valiosas razones para que nosotros estemos en China, y creo que ambas sirven a los intereses de Estados Unidos», dijo el Sr. Smith. «La primera, es proteger la información estadounidense, los secretos comerciales de las empresas estadounidenses que hacen negocios en China, y la segunda, es garantizar que siempre aprendemos de lo que ocurre en el resto del mundo».
La audiencia se produjo en medio del lanzamiento de Microsoft Recall, una nueva función de Windows que realiza capturas de pantalla continuas de la actividad de los usuarios para crear una línea temporal de información recuperable. La función, solo disponible en la nueva línea de PC Copilot+ de Microsoft, se pondrá en marcha en modo de vista previa el 18 de junio, pero los expertos en seguridad han expresado su preocupación por la privacidad y la seguridad de los datos.
No obstante, Microsoft asegura que está trabajando para mejorar y reforzar sus procesos de seguridad tras la filtración de 2023.
El pasado mes de noviembre, la empresa lanzó una nueva iniciativa de ciberseguridad para prepararse ante «la creciente escala y lo mucho que está en juego en los ciberataques». En mayo, Microsoft anunció que ampliaría esa iniciativa a la luz del informe de la CSRB.
«Microsoft desempeña un papel central en el ecosistema digital mundial, y esto conlleva la responsabilidad crítica de ganar y mantener la confianza. Debemos hacer más y haremos más», dijo la empresa en una declaración, prometiendo hacer de la seguridad su «máxima prioridad».
Con la colaboración de Andrew Thornebrooke, Naveen Athrappully e información de Reuters
Únase a nuestro canal de Telegram para recibir las últimas
noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
