Por Tom Warren, editor sénior que cubre todo lo relacionado con Microsoft, PC y tecnología. Fundó WinRumors, un sitio dedicado a las noticias de Microsoft, antes de unirse a The Verge en 2012.
Los equipos de ingeniería y seguridad de Microsoft están lidiando con ataques de Nobelium o Midnight Blizzard, hackers rusos responsables del incidente de SolarWinds. Estos atacantes han espiado a altos ejecutivos de Microsoft y robado código fuente.
La empresa ha estado reforzando sus defensas en respuesta a los ataques continuos, mientras los hackers analizan la información robada en busca de más vulnerabilidades. La situación se complica por el hecho de que los atacantes han tenido acceso a comunicaciones internas.
Además, Microsoft ha sufrido una serie de brechas de seguridad, incluyendo ataques de hackers chinos a servidores de Exchange y correos electrónicos del gobierno de EE. UU. mediante exploits. La Junta de Revisión de Seguridad Cibernética de EE. UU. calificó el ataque al gobierno como “prevenible” y criticó a Microsoft por no priorizar la seguridad empresarial y la gestión de riesgos.
En respuesta, Microsoft ha lanzado la Iniciativa de Futuro Seguro (SFI), una revisión profunda de sus procesos de diseño, construcción, prueba y operación de software y servicios. Esta iniciativa es el cambio más significativo desde la introducción del ciclo de vida de desarrollo de seguridad (SDL) en 2004, que fue una respuesta al gusano Blaster que afectó a Windows XP en 2003.
La Iniciativa de Futuro Seguro de Microsoft ha estado en gran parte fuera del ojo público, pero internamente, hay una preocupación creciente por la pérdida de confianza del cliente debido a problemas de seguridad. En una reciente conferencia de liderazgo, el CEO Satya Nadella y el presidente Brad Smith enfatizaron la importancia de la seguridad. La Junta de Revisión de Seguridad Cibernética sugirió que Microsoft debería centrarse menos en el desarrollo de nuevas funciones y más en mejoras de seguridad.
La IA y la seguridad son las principales prioridades en Microsoft, ya que la adopción de la IA y la transición a la nube por parte de los clientes aumenta la necesidad de medidas de seguridad robustas. Microsoft ha desarrollado un negocio de seguridad de 20.000 millones de dólares, pero ha sido criticado por vender seguridad como un servicio premium.
Mary Jo Foley, reportera de Microsoft, y A.J. Grotto, ex director de política cibernética de la Casa Blanca, han expresado su preocupación por cómo Microsoft maneja la seguridad. Microsoft ha respondido aumentando la disponibilidad de registros de 90 a 180 días, pero las características de seguridad avanzadas aún requieren suscripciones costosas.
Los recientes robos de código fuente por hackers rusos y la dependencia del gobierno de EE.UU. en el software de Microsoft han aumentado las preocupaciones de seguridad. El senador Ron Wyden ha pedido una investigación federal sobre las prácticas de ciberseguridad de Microsoft.
La respuesta de Microsoft a las críticas y cómo manejará la seguridad en el futuro es crucial. Steve Faehl, director de tecnología del negocio de seguridad federal de Microsoft, reconoce que hay trabajo por hacer, pero discrepa con la idea de que la cultura de seguridad de la empresa esté rota. Grotto cree que solo un cambio en la actitud de los clientes llevará a Microsoft a modificar sus prácticas de seguridad.
En resumen, Microsoft enfrenta una encrucijada crítica en su enfoque hacia la seguridad cibernética. Debe equilibrar la innovación con la protección rigurosa para mantener la confianza de sus clientes, cuidar su reputación empresarial y garantizar la integridad de sus operaciones.
Fuente: Microsoft necesita recuperar la confianza – The Verge