🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
Google ha publicado un informe que critica directamente a Microsoft por una serie de fallos de seguridad, sugiriendo que las empresas y organizaciones del sector público necesitan una alternativa más segura.
El gigante tecnológico parece estar aprovechando un año complicado para Microsoft en términos de seguridad, después de una serie de incidentes que han afectado sus soluciones empresariales.
El informe de Google señala una «cultura de seguridad inadecuada» en Microsoft, identificada en una investigación realizada por el US Cyber Security Review Board (CSRB). Google se presenta como la opción empresarial con una cultura que prioriza la seguridad.
El informe del CSRB se centró en la intrusión en Microsoft Exchange Online en el verano de 2023, en la cual actores de amenazas vinculados a China, conocidos como Storm-0558, accedieron a las cuentas de correo electrónico de altos funcionarios del gobierno de EE.UU. Este ataque se realizó utilizando una clave de firma robada que permitió a Storm-0558 acceder a prácticamente cualquier cuenta de Exchange Online en el mundo.
Los legisladores estadounidenses describieron una «cascada de fallos de seguridad» que llevaron al incidente, señalando una falla en los controles de Microsoft, así como en su cultura corporativa respecto a la seguridad.
Google también mencionó otro incidente cibernético pocos meses después, en el cual un grupo de amenazas vinculado a Rusia, conocido como Midnight Blizzard, comprometió una serie de cuentas de correo corporativo de Microsoft, incluidas las de líderes senior y equipos de seguridad y legales.
La respuesta insuficiente de Microsoft
Microsoft admitió que el ataque estaba en curso cinco meses después de la brecha inicial, sin proporcionar un cronograma claro para resolver el incidente. El informe del CSRB criticó la incapacidad de Microsoft para detallar cómo el grupo de amenazas obtuvo la clave maestra de 2016, cuestionando si la empresa podría prevenir futuros incidentes si aún no sabía cómo ocurrió el primero.
Además, Microsoft fue criticada por no corregir de manera oportuna sus declaraciones públicas incorrectas sobre el incidente, anunciando una corrección solo después de repetidos cuestionamientos del CSRB.
Contrastando su respuesta con la de Microsoft, Google recordó su transparencia durante el ataque cibernético Operation Aurora en 2009, donde fue la única empresa en confirmar que había sido víctima y en divulgar públicamente que algunas cuentas de Gmail habían sido comprometidas.
Google argumenta que ha aprendido de estos eventos, adoptando una mayor transparencia en los incidentes de seguridad y aplicando principios fundamentales sobre la arquitectura de seguridad. Con su nuevo informe, Google busca posicionar su suite de productividad empresarial, Workspace, como una alternativa más segura.