El senador demócrata de los Estados Unidos, Ron Wyden, solicitó el miércoles a la Comisión Federal de Comercio “investigar y responsabilizar a Microsoft” por su papel en una serie de incidentes de ciberseguridad de alto perfil en los últimos años, Decir que el enfoque de seguridad de la compañía “continúa amenazando con la seguridad nacional de los Estados Unidos”.
Wyden escribió en una carta del 10 de septiembre al presidente de la FTC, Andrew Ferguson, que la “negligencia bruta de ciberseguridad” del gigante tecnológico ha resultado en ataques de ransomware contra la infraestructura crítica, incluidas las organizaciones de atención médica de los Estados Unidos, al menos en parte debido a las configuraciones predeterminadas en el sistema operativo Windows.
“En este punto, Microsoft se ha convertido en un incendio artificial que vende servicios de lucha contra incendios a sus víctimas”, escribió Wyden, y las agencias gubernamentales y otras compañías “no tienen otra opción”, sino para utilizar los productos de la compañía debido a su “casi monopolio sobre TI empresarial”.
Un portavoz de la FTC reconoció que la agencia había recibido la carta, pero se negó a hacer más comentarios. Amreen dijo que un excelente ejemplo fue el ataque de ransomware de mayo de 2024 contra el operador del hospital Ascensión, que según la compañía expuso datos de medicamentos y seguros privados de casi 5.6 millones de personas.
Wyden escribió que el operador del hospital le dijo a su personal que un contratista que usaba una computadora portátil de Ascension hizo clic en un enlace malicioso servido por el motor de búsqueda Bing de Microsoft, que luego permitió a los piratas informáticos acceder a la red de la compañía y, en última instancia, el servidor de directorio de Microsoft Active Directory de la organización, que se usa para administrar las cuentas de los usuarios.
El soporte de Microsoft para la tecnología de cifrado obsoleto y la configuración de configuración predeterminada configurada por Microsoft permitieron el enfoque de ataque en el caso de Ascensión, según Wyden, y Microsoft no ha hecho lo suficiente para educar a las empresas sobre cómo mitigar la amenaza.
Un portavoz de Microsoft dijo el miércoles que RC4, el estándar de cifrado a la que se hace referencia Wyden, es viejo y constituye “menos de .1% de nuestro tráfico”, y que la compañía desalienta a los clientes a usarlo.
“Sin embargo, deshabilitar su uso por completo rompería muchos sistemas de clientes”, dijo el portavoz, y la compañía está reduciendo gradualmente hasta qué punto los clientes pueden usarlo mientras intentan proporcionar advertencias y orientación sobre la forma más segura de usarlo.
RC4 se deshabilitará de forma predeterminada en ciertos productos de Windows a partir del primer trimestre de 2026, y la compañía incluirá “mitigaciones adicionales” para las implementaciones existentes, dijo el portavoz. Wyden ha presionado previamente para la investigación y la revisión del gobierno de los Estados Unidos del papel de Microsoft en los ataques cibernéticos, incluso después de las revelaciones en julio de 2023 que los piratas informáticos vinculados a los chinos robaron a miles de correos electrónicos de los funcionarios estadounidenses.
