El hackeo a Microsoft muestra los más de la nube y los menos de lo cíber
La carga de las brechas de seguridad del software debe caer también en los proveedores
Ni siquiera una capitalización bursátil de 1,7 billones de dólares compra la inmunidad frente a la piratería informática. Decenas de miles de sistemas de correo electrónico de organizaciones se han visto comprometidos por fallos en el software de Microsoft, según revelaron la semana pasada la empresa y funcionarios del Gobierno estadounidense. Es el segundo problema masivo de ciberseguridad a nivel mundial en pocos meses.
Las pequeñas y medianas empresas, los gobiernos locales, los departamentos de policía y los aeropuertos se encuentran entre aquellos cuyo correo electrónico puede haber sido vulnerado. Los hackers están vinculados al Gobierno chino, según Microsoft. Las correcciones de software tardan en llegar, por lo que el número final de víctimas podría ser mucho mayor.
Las grandes empresas se libraron en gran medida porque suelen utilizar servicios de correo electrónico totalmente basados en la nube. Son las cuentas de Outlook alojadas en servidores locales las que se vieron afectadas. Los servicios en la nube deben estar siempre protegidos por las últimas herramientas de ciberseguridad. Esta es una recomendación para la nube, que puede convertir un bochorno tecnológico en un beneficio comercial para Microsoft.
Las llamadas configuraciones on-premise [in situ] son un eslabón débil. Un grave hackeo atribuido a un grupo ruso y revelado en diciembre, en el que estuvo implicado un software de red proporcionado por SolarWinds, con sede en Texas, comenzó en sistemas privados, según el testimonio del mes pasado en el Senado de Brad Smith, un alto ejecutivo de Microsoft. El ataque no se detectó hasta que los hackers se trasladaron a la nube.
Las organizaciones más pequeñas y menos ricas no tienen necesariamente lo último en hardware, software, herramientas de ciberseguridad y personal. La “ciberhigiene” de base falta incluso en organismos federales sensibles, dijo Smith. Invertir en tecnología y procesos mejores y más actualizados podría reducir el riesgo. También podría hacerlo trasladar los servicios vulnerables a la nube, aunque incluso eso no es infalible.
Otro requisito, como señaló Smith, es compartir rápidamente la información en cuanto se identifique un ataque. Este sigue siendo un proceso imperfecto, especialmente entre los sectores público y privado de Estados Unidos. Washington podría hacer más para incentivar y hacer cumplir la colaboración. Hablando del DC, sigue siendo difícil dar una respuesta eficaz a los ciberataques respaldados por Gobiernos extranjeros, ya sea mediante sanciones u otros medios.
Parte de la carga debería recaer también en los proveedores de software. La valoración de SolarWinds, de 5.000 millones de dólares, sigue siendo más de un 30% inferior a la que tenía antes de que se revelaran las vulnerabilidades de su software. Microsoft no va a sufrir ese golpe. Pero es posible que los legisladores no den un pase al jefe Satya Nadella. Y si los clientes y los inversores votan con sus carteras, es un mensaje difícil de ignorar.
Los autores son columnistas de Reuters Breakingviews. Las opiniones son suyas. La traducción, de Carlos Gómez Abajo, es responsabilidad de CincoDías