👩 Oferta Día de la Madre: ¡Office 2021 Pro por solo 27,25€ en godeal24! [ Saber más ]
En los últimos años, Microsoft se ha enfrentado a dificultades en sus esfuerzos por garantizar la seguridad y privacidad de sus servicios. Como resultado, la compañía ha sido objeto de críticas por parte de investigadores de seguridad, legisladores estadounidenses y agencias reguladoras.
Uno de los incidentes más destacados involucró al grupo de piratería con base en China conocido como Storm-0558, que logró infiltrarse en el servicio Azure de Microsoft y acceder a datos durante más de un mes a mediados de 2023, antes de ser descubierto y expulsado.
Tras meses de incertidumbre, Microsoft reveló que una serie de fallos de seguridad permitieron a Storm-0558 acceder a la cuenta de un ingeniero, lo que les permitió recopilar datos de 25 clientes de Azure, incluidas agencias federales de EE. UU.
En enero, Microsoft informó de otro incidente, esta vez perpetrado por el grupo de piratería respaldado por el estado ruso, Midnight Blizzard. Este grupo logró comprometer una cuenta de prueba no operativa antigua para acceder a los sistemas de Microsoft durante hasta dos meses.
Todas estas incidencias culminaron en un informe de la Junta de Revisión de Ciberseguridad de EE. UU., que criticó a Microsoft por su «cultura de seguridad inadecuada», sus «declaraciones públicas inexactas» y su respuesta a brechas de seguridad «evitables».
En un intento por cambiar esta situación, Microsoft anunció en noviembre de 2023 una iniciativa denominada «Iniciativa Futuro Seguro». Como parte de esta iniciativa, Microsoft ha presentado una serie de planes y cambios en sus prácticas de seguridad, incluyendo algunos cambios que ya han sido implementados.
Como parte de estos cambios, Microsoft también vinculará parcialmente la remuneración de su equipo de líderes senior al cumplimiento de «nuestros planes y hitos de seguridad», aunque no se ha especificado cuánto de la remuneración ejecutiva dependerá de alcanzar esos objetivos de seguridad.
La publicación de Microsoft describe tres principios de seguridad («seguro por diseño», «seguro por defecto» y «operaciones seguras») y seis «pilares de seguridad» destinados a abordar diferentes debilidades en los sistemas y prácticas de desarrollo de Microsoft.
La empresa planea asegurar el 100 por ciento de todas sus cuentas de usuario con «autenticación multifactor resistente al phishing y gestionada de forma segura», implementar el acceso de privilegio mínimo en todas las aplicaciones y cuentas de usuario, mejorar la monitorización y aislamiento de la red, y retener todos los registros de seguridad del sistema durante al menos dos años, entre otras promesas.
Microsoft también tiene previsto colocar nuevos Vicepresidentes de Seguridad de la Información Adjuntos en diferentes equipos de ingeniería para supervisar su progreso e informar al equipo ejecutivo y al consejo de administración.
En cuanto a las correcciones concretas que Microsoft ya ha implementado, la empresa «ha implementado la aplicación automática de autenticación multifactor de forma predeterminada en más de 1 millón de inquilinos de Microsoft Entra ID dentro de Microsoft», eliminó 730.000 aplicaciones antiguas y/o inseguras «hasta la fecha en producción y en inquilinos corporativos», amplió su registro de seguridad y adoptó el estándar de Enumeración de Debilidades Comunes (CWE) para sus divulgaciones de seguridad.
Además de las promesas públicas de seguridad, The Verge obtuvo y publicó un informe interno del CEO de Microsoft, Satya Nadella, que reitera el compromiso declarado públicamente de la empresa con la seguridad. Nadella también afirma que mejorar la seguridad debería tener prioridad sobre agregar nuevas características, algo que podría afectar al constante flujo de ajustes y cambios que Microsoft realiza en Windows 11 y otros software.