Expertos federales en ciberseguridad aprueban servicios en la nube de Microsoft pese a sus dudas

 (propublica.org)
1 puntos por GN⁺ 2026-03-19 | 1 comentarios | Compartir por WhatsApp
  • El programa FedRAMP del gobierno de Estados Unidos aprobó el servicio Government Community Cloud High (GCC High) de Microsoft a pesar de preocupaciones de seguridad
  • Un informe interno de evaluación indicaba explícitamente que "no tenían confianza para evaluar el estado general de seguridad", y algunos revisores describieron el sistema como un “desastre”
  • Microsoft no logró completar durante años documentos clave de seguridad, como la arquitectura de cifrado y los diagramas de flujo de datos, pero la aprobación se concedió porque agencias gubernamentales ya usaban el servicio
  • En el proceso de aprobación influyeron de forma combinada conflictos de interés de evaluadores externos, presiones entre el Department of Justice y Microsoft, y recortes de personal en FedRAMP
  • El caso deja al descubierto que el sistema de verificación de seguridad en la nube del gobierno de EE. UU. se ha degradado en un trámite formal, lo que plantea un grave riesgo para la protección de secretos de Estado

Aprobación de FedRAMP y la controversia sobre Microsoft GCC High

  • FedRAMP es un programa que verifica la seguridad de servicios en la nube para agencias gubernamentales, y GCC High de Microsoft es un servicio que maneja datos gubernamentales sensibles
    • Según informes internos, Microsoft “carecía de documentación de seguridad adecuada” y los evaluadores no podían asegurar el nivel de seguridad del sistema
    • Aun así, a fines de 2024 FedRAMP aprobó GCC High en forma de “aprobación condicional”
  • La decisión se tomó porque el Department of Justice y la industria de defensa ya usaban el servicio, y rechazarlo podía afectar operaciones del gobierno
  • La carta de aprobación incluía una advertencia indicando que “existen riesgos desconocidos, por lo que cada agencia debe usarlo con cautela”

Falta de documentación de seguridad de Microsoft y retrasos prolongados

  • Desde 2020, FedRAMP exigía a Microsoft presentar un diagrama del flujo de cifrado de datos, pero la empresa no entregó material completo alegando “complejidad”
    • Microsoft solo presentó algunos documentos técnicos y no pudo explicar con claridad cuándo los datos se cifraban y descifraban
  • Otros proveedores de nube (Amazon, Google) sí entregaron materiales similares, pero Microsoft repitió durante meses respuestas incompletas
  • Un revisor de FedRAMP comparó el sistema de Microsoft con una estructura “como un plato de espagueti”, señalando que la opacidad en el flujo de datos elevaba el riesgo de seguridad

Evaluadores externos y problemas de conflicto de interés

  • Coalfire y Kratos, contratadas por Microsoft, comunicaron informalmente a FedRAMP que “no habían recibido suficiente información de Microsoft”
    • Como estas entidades cobran directamente de Microsoft, surgieron preocupaciones sobre una posible pérdida de independencia
  • FedRAMP notificó a Kratos un “plan de acciones correctivas”, pero la empresa defendió la legitimidad de su evaluación
  • Microsoft afirmó que “respondió de buena fe a todas las solicitudes” y negó la existencia de reportes informales por canales alternos (backchannel)

Presión de agencias gubernamentales y distorsión del proceso de aprobación

  • En 2023, FedRAMP suspendió la revisión por la respuesta insuficiente de Microsoft, pero la retomó tras gestiones y presión entre el Department of Justice y Microsoft
    • Un representante de Microsoft pidió al Department of Justice presionar por la aprobación de FedRAMP alegando que “la salida al mercado se estaba retrasando”
    • En una reunión, la CIO del Justice Department, Melinda Rogers, se alineó con Microsoft y criticó la forma en que FedRAMP realizaba la revisión
  • Más tarde, la White House publicó lineamientos señalando que FedRAMP debía realizar una “revisión estricta”, pero GCC High ya se había extendido a múltiples agencias

Reducción de personal y límites institucionales

  • Por recortes presupuestarios, FedRAMP se redujo a alrededor de 20 empleados y un presupuesto anual de 10 millones de dólares, convirtiéndose en la práctica en una instancia de aprobación formal para la industria
  • La GSA declaró que “la función del programa no es juzgar el nivel de seguridad sino proporcionar información”, eludiendo así la responsabilidad de una verificación sustantiva
  • Expertos criticaron que FedRAMP “perdió su papel de vigilante encargado de proteger los datos del público”

Repercusiones posteriores y controversia ética

  • Tras el reportaje de ProPublica, Microsoft anunció que suspendería la participación de ingenieros radicados en China en trabajos relacionados con defensa
  • El Department of Justice sigue actuando contra reportes falsos sobre seguridad en la nube mediante la acusación por fraude contra un ex empleado de Accenture relacionada con FedRAMP
  • En 2025, Lisa Monaco, ex subsecretaria de Justicia, quien lideró políticas de ciberseguridad relacionadas con FedRAMP, fue incorporada como presidenta de Global Affairs de Microsoft, lo que reavivó la controversia ética
  • Microsoft respondió que todas las contrataciones “cumplieron con las leyes y los estándares éticos”

Conclusión: el riesgo de una certificación de seguridad convertida en formalidad

  • ProPublica señala con este caso que la certificación FedRAMP no equivale a una garantía real de seguridad
  • Microsoft GCC High aún carga con “riesgos desconocidos (unknown unknowns)”, y las agencias gubernamentales deben asumir esos riesgos por su cuenta
  • Expertos consideran que el sistema de seguridad en la nube del gobierno de EE. UU. se ha degradado en un “show de seguridad, no seguridad real (Security Theater)”

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-03-19
Opiniones de Hacker News

  • GCC High se extendió por todo el gobierno y la industria de defensa porque las agencias federales podían desplegar productos mientras aún estaban en revisión
    Al final, los revisores de FedRAMP no tuvieron más opción que aprobarlo porque ya se estaba usando en todo Washington, aunque la revisión completa no había terminado
    O sea, el criterio dejó de ser “¿esta herramienta es segura?” y pasó a ser “¿esto es lo bastante riesgoso o políticamente viable como para rechazarlo?”

    • FedRAMP merece críticas. Es demasiado lento e ignora el feedback de la industria
      Como resultado, casi cualquier startup que quiera venderle productos al gobierno tiene que pagar el impuesto Palantir. Son entre 200 mil y 500 mil dólares al año, y obtener la certificación FedRAMP por cuenta propia cuesta al menos 2 a 3 millones de dólares y toma de 2 a 3 años
      Al final, la mayoría de las empresas no tienen otra opción que depender de Palantir (o 2F). Es una estructura monopólica impuesta por la regulación gubernamental
    • Por eso los grandes vendors quieren meter el pie en la puerta primero, cueste lo que cueste
      Una vez que se establecen, salirse se vuelve imposible, y eso se convierte en una fuente de ingresos prácticamente infinita
    • Para garantizar seguridad real, simplificar importa más que una configuración compleja
      Lo más seguro es tener unos cuantos servidores bajo llave en un sótano y correr solo software probado

  • Probé Entra ID recientemente, y solo para configurar MFA hay 12 opciones, 20 formas de desactivar usuarios, 4 métodos de autenticación, y las políticas de acceso condicional tienen 50 variables y plantillas
    La personalización es libre, pero después de configurar todo, tus colegas ni siquiera pueden iniciar sesión. A su manera, eso también es reforzar la seguridad

    • El flujo de login SSO de Microsoft es el que tiene más bugs. Hay demasiadas redirecciones y “remember me” jamás funciona
    • Microsoft tiene muchísimas funciones, pero casi nada funciona bien
    • Hay formas adicionales de configurarlo, pero están escondidas en lo profundo de documentación de SharePoint a la que no puedes acceder
    • Nosotros tuvimos la misma experiencia. Además, nos fuerzan a recibir cada semana correos con estadísticas de Entra ID, y no hay forma de cancelar la suscripción
    • El problema del Microsoft moderno es que persigue tres cosas al mismo tiempo
      • lanzamientos rápidos al estilo “Move fast and break things”
      • obsesión con la compatibilidad hacia atrás al estilo “We do not break user space”
      • nunca retirar productos durante décadas
        Gracias a esa combinación, los productos de Microsoft se convirtieron en un laberinto de APIs superpuestas y funciones a medio terminar

  • Microsoft ha sido débil en seguridad, y por eso la centralización en la nube es todavía más peligrosa
    Por ejemplo, en el incidente Storm-0558, una sola clave de firma robada bastó para falsificar tokens de autenticación de cualquier cuenta de Azure AD
    Si un acceso de ese nivel se explotara a escala estatal, sería un desastre económico

    • De hecho, también hubo vulnerabilidades donde ni siquiera hacía falta robar la clave de firma. Ver artículo relacionado
    • Pero incidentes así pueden pasar en cualquier empresa. Al final, es un problema de error humano

  • Los expertos tenían razón. Azure es la plataforma más desastrosa que he usado
    Los productos nuevos heredan a la fuerza componentes existentes de Azure, así que no hay consistencia, y como no hay comunicación entre equipos, no existe integración real
    Desde los formatos de logs hasta los conceptos de seguridad, todo es distinto, al punto de que uno duda si Microsoft siquiera sabe qué es un SIEM

    • Trabajé más de 10 años en Microsoft y adentro se siente el mismo problema
      Por ejemplo, el sistema interno Cosmos es un motor excelente de procesamiento de datos, pero se publicó tarde para el exterior y el soporte fue pésimo
      Synapse fracasó, Fabric es la nueva versión, pero incluso internamente casi no se usa
      El entorno de cuentas y seguridad es tan complejo que trabajar ahí duele
      Azure gana dinero solo por la escala de Microsoft. En la práctica, está creciendo mientras fracasa
      Enlace al paper sobre Cosmos
    • Esta estructura evolutiva de producto es el estándar de Microsoft desde 2018
      Como lanzan rápido y mejoran según el feedback de usuarios, al principio se siente experimental, pero después de unos años termina siendo usable
    • El desprecio hacia los usuarios es demasiado evidente. Como resultado de la era antimonopolio, ahora ni siquiera sienten que necesiten competir
    • Azure es un color que golpea a los clientes con la billetera del propio cliente. No te da acceso: te quita la propiedad y te cobra
    • Este fenómeno también se ve en empresas de “seguir al líder del mercado” como GitLab. Importa más la cantidad de funciones en la hoja de cálculo que qué tan terminadas estén

  • El CIO del Departamento de Justicia presionó para la aprobación de FedRAMP y al año siguiente entró a trabajar en Microsoft. Esto parece algo que debería invalidar la aprobación por completo

  • En el artículo, cuando dicen “pile of shit”, parece que no se refieren al servicio real sino al paquete de documentación de seguridad
    El contexto es que Microsoft no proporcionó información clara, así que era difícil siquiera hacer la evaluación

    • Según un informe interno, los evaluadores no pudieron confiar en el estado de seguridad del sistema por la mala documentación de seguridad de Microsoft
      Que ProPublica haya ampliado eso a un problema de toda la nube suena un poco a clickbait
    • Al final, sin documentación no se puede evaluar, pero igual hubo aprobación… básicamente dijeron “¡siguiente!” y pasaron de largo
    • Microsoft prácticamente despidió a quienes se encargaban de la documentación técnica, así que ahora solo queda documentación de API generada automáticamente
      Por ejemplo 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      Así, no se puede saber qué significan ni hasta dónde impactan las configuraciones relacionadas con seguridad

  • Da la impresión de que los requisitos fueron diseñados para que solo la nube de Microsoft pudiera cumplirlos
    Por eso el Pentágono usa Windows

  • Hay demasiados conflictos de interés relacionados con Microsoft. Personas involucradas en el proceso de aprobación después terminaron trabajando en Microsoft

    • A finales de los 90, Microsoft ya había aprendido por completo las reglas de este juego. Coincide con la época del caso antimonopolio
    • Claro, no siempre es algo malicioso. A veces contratistas del gobierno se cambian al proveedor porque conocen bien el producto
      Al final lo ven como cumplir la misma misión desde otro equipo, y como ingenieros creen que es mejor resolver los problemas directamente en el terreno

  • FedRAMP es difícil de cumplir y tampoco garantiza un nivel real de seguridad. Es un sistema frustrante por partida doble

    • Si nunca has trabajado en un entorno de compliance, no conoces este dolor

  • Cuando lees la parte que dice: “los revisores de GCC High encontraron problemas tanto en las áreas que podían evaluar como en las que no podían evaluar, pero al final FedRAMP y Microsoft llegaron a un acuerdo y se aprobó el día después de Navidad de 2024”,
    dan ganas de preguntarse de cuánto fue la donación