Exempleado denuncia que Microsoft eligió las ganancias por encima de la seguridad y dejó al gobierno de EE. UU. vulnerable a un hackeo ruso
Se ignoró la advertencia de un ex empleado
- Punto principal: El ex empleado de Microsoft Andrew Harris afirma que la empresa ignoró una falla de seguridad crítica. Esa falla fue utilizada por hackers rusos para infiltrarse en varias agencias, incluida la Administración Nacional de Seguridad Nuclear (NNSA) de Estados Unidos.
- El hallazgo de Harris: Harris descubrió una falla grave en una aplicación usada en las aplicaciones en la nube de Microsoft que permite a los usuarios iniciar sesión en programas basados en la nube. Esta falla permitía que los hackers se hicieran pasar por empleados legítimos y robaran datos importantes.
- La reacción de la empresa: Harris informó esta falla a sus colegas, pero la empresa la ignoró por temor a perder negocios con el gobierno. Microsoft dijo que prepararía una alternativa a largo plazo, pero mientras tanto los servicios en la nube siguieron siendo vulnerables.
El caso del hackeo a SolarWinds
- Ocurrió el hackeo: Después de que Harris dejó la empresa, hackers rusos robaron datos sensibles de varias agencias federales a través del hackeo de SolarWinds. Este ataque quedó registrado como uno de los mayores ciberataques en la historia de Estados Unidos.
- Cómo se realizó: Los hackers utilizaron la falla que Harris había descubierto para robar datos de varias agencias federales, en lo que se describió como una operación de espionaje para recopilar inteligencia a largo plazo.
La respuesta de Microsoft
- Postura oficial: Microsoft sostiene que proteger a los clientes es su máxima prioridad y afirmó que revisa a fondo todos los problemas de seguridad. Sin embargo, Harris criticó a la empresa por priorizar las ganancias sobre los clientes.
- Cultura de seguridad: Microsoft ha sido criticada por carecer de una cultura de seguridad, y dentro de la empresa también se señaló como problema una cultura que prioriza las ganancias por encima de la seguridad.
Opinión de GN⁺
- Equilibrio entre seguridad y ganancias: Si una empresa prioriza las ganancias por encima de la seguridad, a largo plazo puede perder la confianza de sus clientes. Eso puede terminar afectando negativamente la reputación y los ingresos de la compañía.
- Relación con el gobierno: Ignorar problemas de seguridad para mantener contratos con el gobierno puede ser rentable en el corto plazo, pero a largo plazo puede convertirse en una gran amenaza para la seguridad nacional.
- Necesidad de mejorar la cultura de seguridad: Grandes empresas como Microsoft deben mejorar su cultura de seguridad y construir sistemas para resolver con rapidez los problemas de seguridad. Esto es clave para mantener la confianza de los clientes y garantizar el éxito a largo plazo.
- Productos competidores: También existen productos competidores como Okta, que ponen más énfasis en la seguridad. Las empresas deberían considerar distintas opciones para elegir la solución de seguridad más adecuada.
- Aspectos a considerar al adoptar tecnología: Al incorporar nuevas tecnologías, es necesario revisar a fondo los temas de seguridad e identificar con anticipación posibles vulnerabilidades para preparar medidas de respuesta. Esto es importante para prevenir ciberataques como los hackeos.
1 comentarios
Opiniones de Hacker News
Modelo Zero Trust: es importante tratar la red interna de una organización como si fuera externa y no otorgar confianza total. Google implementó esto con BeyondCorp para prevenir intrusiones internas.
Desalineación entre seguridad y ganancias: la desalineación entre seguridad y ganancias es difícil de resolver sin un cambio cultural. Por ahora, no está claro qué podría detonarlo.
La realidad de la ciberseguridad: la industria de la ciberseguridad tiende a enfocarse en el cumplimiento normativo más que en la seguridad real. Los estándares de cumplimiento son insuficientes o no se hacen cumplir correctamente.
Relación entre gobierno y empresas: las empresas que venden productos al gobierno pueden ganar mucho dinero y, para lograrlo, a veces ocultan los aspectos negativos. Esto provoca una erosión de la ética básica y la honestidad.
Incentivos de seguridad: faltan incentivos para la seguridad. El personal de ventas recibe recompensas según su desempeño, pero el personal de seguridad es despedido si no muestra resultados. Esto perjudica la cultura de seguridad.
Prioridad a la seguridad: que la dirección diga "prioricen la seguridad" no es tan importante. Si no se recompensa una cultura de seguridad, los empleados terminan optimizando otras prioridades.
Enfoque de Microsoft hacia la seguridad: el CEO de Microsoft, Satya Nadella, dice que la seguridad es prioritaria, pero en la práctica la empresa se enfoca en la publicidad y en registrar la actividad de los usuarios.
Uso de tarjetas inteligentes en el gobierno: el gobierno de EE. UU. usa autenticación con tarjetas inteligentes para reforzar la seguridad. Sin embargo, si se desactiva Seamless SSO, a los usuarios les resulta difícil acceder a la nube.
Prioridad a las ganancias: la mayoría de las empresas priorizan las ganancias por encima de la seguridad. No es un problema exclusivo de Microsoft.
Ataque Golden SAML: Golden SAML no es una vulnerabilidad, sino un tipo de ataque. Si la infraestructura de SSO se ve comprometida, todo queda en riesgo.
Explicación por analogía: se usa la analogía de una empresa constructora de puentes que ignora defectos estructurales y termina con un colapso, para explicar que algo similar ocurre en la industria de TI.
Necesidad de regulación legal: se necesitan regulaciones legales para la seguridad de redes. Crece la percepción de que la tecnología no puede regularse a sí misma. Si el gobierno de EE. UU. deja de confiar en la nube de Microsoft, no hay muchas alternativas.