Foto de estadounidense Ron Wyden dirigió recientemente una carta al presidente de la FTC, en la que calificó a Microsoft como una amenaza para la seguridad nacional debido a lo que describe como una "negligencia grave en materia de ciberseguridad".
En la carta, Wyden pidió una investigación sobre el papel de Microsoft en múltiplesdentde ciberseguridad de alto perfil, afirmando que las prácticas de la compañía han puesto en peligro la infraestructura crítica y la seguridad nacional de Estados Unidos.
Wyden acusa a Microsoft
En la carta del 10 de septiembre dirigida al presidente de la FTC, Andrew Ferguson, Wyden alegó que la "grave negligencia en materia de ciberseguridad" del gigante tecnológico ha provocado ataques de ransomware contra infraestructuras críticas, incluidas organizaciones sanitarias estadounidenses, al menos en parte debido a configuraciones predeterminadas en el sistema operativo Windows.
Wyden comparó a Microsoft con un “pirómano que vende servicios de extinción de incendios a sus víctimas” y, según él, las agencias gubernamentales y otras empresas “no tienen otra opción” que usar los productos de la empresa porque tiene “casi un monopolio sobre la TI empresarial”
Wyden citó el ataque de ransomware de mayo de 2024 al operador hospitalario Ascension como un excelente ejemplo.
Ese caso, según la compañía, expuso datos médicos y de seguros privados de casi 5,6 millones de personas. Escribió que el operador del hospital había informado a su personal que untrac, desde una computadora portátil Ascension, había hecho clic en un enlace malicioso proporcionado por el motor de búsqueda Bing de Microsoft.
Wyden afirma que el apoyo de Microsoft a una tecnología de cifrado obsoleta y a la configuración predeterminada condujo al exploit Ascension. También afirmó que la empresa aún no ha capacitado adecuadamente a las empresas sobre cómo mitigar la amenaza.
Un portavoz de Microsoft confirmó el miércoles que RC4, el estándar de cifrado al que hace referencia Wyden, es de hecho antiguo, pero representa “menos del 0,1%” del tráfico de la empresa y disuade a los clientes de usarlo.
"Sin embargo, deshabilitar su uso por completo dañaría muchos sistemas de los clientes", dijo el portavoz, y la compañía está reduciendo gradualmente el alcance del uso que los clientes pueden darles, al tiempo que intenta proporcionarles advertencias y orientación también.
RC4 se desactivará de forma predeterminada en ciertos productos de Windows a partir del primer trimestre de 2026, y la compañía ha dicho que incluirá "mitigaciones adicionales" para las implementaciones existentes.
Wyden exigió una revisión de las prácticas de ciberseguridad del sistema judicial
La medida de Wyden contra Microsoft se produce poco después de que instara al presidente del Tribunal Supremo, John Roberts, a iniciar una revisión exhaustiva de las prácticas de ciberseguridad del sistema judicial federal.
Su solicitud se produjo después de un importante ataque al sistema de gestióntronde casos, lo que supone la segunda vulneración importante en cinco años.
La última violación se registró en junio de este año y ha empujado a los tribunales a anunciar finalmente la implementación de la autenticación multifactor, una medida de seguridad básica que ha sido estándar en las agencias del poder ejecutivo desde 2015.
En lo que respecta a Wyden, la negligencia en la ciberseguridad judicial plantea graves riesgos para la seguridad nacional, ya que información sensible relacionada con investigaciones en curso y testigos federales podría ser explotada por adversarios extranjeros.
Los expedientes judiciales sellados que se encuentran en el sistema de gestión de casos a menudo incluyen información extremadamente sensible sobre fuentes y métodos de seguridad nacional, los nombres de testigos federales clave o detalles de investigaciones en curso.
Dicha información en manos de adversarios extranjeros o cárteles criminales podría ser muy perjudicial para la seguridad estadounidense. No ayuda que el New York Times haya informado que "documentos relacionados con actividades delictivas con vínculos en el extranjero" fueron el objetivo del hackeo más reciente.
