Una reciente violación a la seguridad cibernética de los correos electrónicos del gobierno de EE. UU. podría haber llegado más lejos de lo que se pensaba en un principio, según un nuevo informe de la firma de seguridad cibernética Wiz.inc.
A principios de este mes, Microsoft y los expertos en ciberseguridad del gobierno de EE. UU. detectaron una vulneración en los sistemas de correo electrónico vinculados a 25 organizaciones, entre ellas varias agencias gubernamentales de EE. UU. Microsoft atribuyó la vulneración de seguridad, que probablemente ocurrió en mayo, a un grupo de hackers vinculado al gobierno chino llamado Storm-0558. Según Microsoft, Storm-0558 obtuvo una clave de cifrado privada, conocida como clave MSA, y la utilizó para falsificar tokens de acceso a los servicios Outlook Web Access (OWA) y Outlook.com.
El gobierno de EE. UU. ha proporcionado pocos detalles sobre el alcance exacto de este incidente de hackeo. Las noticias han indicado que las cuentas de correo electrónico de la secretaria de Comercio de EE. UU., Gina Raimondo, se vieron afectadas, al igual que las cuentas pertenecientes al embajador de EE. UU. en China, Nicholas Burns, y al subsecretario de Estado para Asuntos de Asia Oriental y el Pacífico, Daniel Kritenbrink.
En una rueda de prensa celebrada el 12 de julio, funcionarios de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) afirmaron que no se había robado información confidencial durante el hackeo.
Microsoft evaluó que el ataque solo afectó sus servicios Outlook.com y Exchange Online.
El viernes, Wiz publicó su propia evaluación, en la que concluía que la forma en que había ocurrido el hackeo podría indicar una violación mayor de lo que Microsoft o los funcionarios del gobierno de EE.UU. han dejado entrever hasta ahora.
«Nuestros investigadores concluyeron que la clave MSA comprometida podría haber permitido al actor de amenazas falsificar tokens de acceso para múltiples tipos de aplicaciones de Azure Active Directory, incluidas todas las aplicaciones que admiten la autenticación de cuentas personales, como SharePoint, Teams, OneDrive, las aplicaciones de los clientes que admiten la funcionalidad de ‘iniciar sesión con Microsoft’ y las aplicaciones multiusuario en ciertas condiciones», escribió el investigador de Wiz, Shir Tamari.
Si bien Microsoft dice que mitigó la amenaza que representa la clave MSA hackeada y publicó nuevos indicadores de compromisos, Wiz evaluó que «puede ser difícil para los clientes detectar el uso de tokens falsificados contra sus aplicaciones debido a la falta de registros en campos cruciales relacionados con el proceso de verificación de tokens».
Al describir las preocupaciones de seguridad que planteó Wiz, el investigador de seguridad cibernética Jake Williams escribió en Twitter: “Este es un escenario de pesadilla para aquellos que evalúan el impacto. Un número significativo de aplicaciones de terceros utilizan Microsoft como proveedor de autenticación. Ahora sabemos que pueden verse afectadas. Pocas aplicaciones de terceros proporcionan un registro suficiente para detectar el uso indebido».
NTD News se puso en contacto con Microsoft para pedirle comentarios sobre el informe de Wiz, pero la empresa tecnológica no respondió cuando se publicó este artículo. En una declaración del 14 de julio, Microsoft dijo que sospechaba que los hackers habían apuntado a los tokens de Azure Active Directory, y que la firma había investigado esta posibilidad y determinado que ningún sistema Azure AD se vio afectado en el reciente hackeo.
Microsoft aumenta las medidas de seguridad
Esta vulneración de ciberseguridad ha puesto bajo escrutinio a Microsoft y sus contratos con varias oficinas corporativas y gubernamentales.
El senador Ron Wyden (D-Ore.) dijo que Microsoft debería ofrecer todas sus capacidades forenses completas a todos sus clientes, diciendo que «cobrar a las personas por funciones premium necesarias para no ser hackeado es como vender un coche y luego cobrar extra por los cinturones de seguridad y bolsas de aire»
Ante esta presión, Microsoft anunció el 19 de julio que comenzaría a proporcionar a sus clientes estándar de Microsoft Purview Audit «una visibilidad más profunda de los datos de seguridad, incluidos registros detallados de acceso al correo electrónico y más de otros 30 tipos de datos de registro que anteriormente solo estaban disponibles en el nivel de suscripción de Microsoft Purview Audit (Premium)».
«En respuesta a la creciente frecuencia y evolución de las ciberamenazas de estados-nación, Microsoft está tomando medidas adicionales para proteger a nuestros clientes y aumentar la línea de base segura por defecto de nuestras plataformas en la nube», anunció la compañía. «Estos pasos son el resultado de una estrecha coordinación con los clientes comerciales y gubernamentales, y con la Cybersecurity and Infrastructure Security Agency (CISA) sobre los tipos de datos de registro de seguridad que Microsoft proporciona a los clientes de la nube para su conocimiento y análisis”.
La directora de CISA, Jen Easterly, elogió el anuncio de Microsoft y dijo: «Si bien reconocemos que esto llevará tiempo implementarlo, es realmente un paso en la dirección correcta hacia la adopción de los principios de seguridad por diseño por parte de más empresas».
Reuters contribuyó a este artículo.
De NTD News.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
