A finales de junio, uno de los clientes del experto en ciberseguridad Steven Adair recibió una alerta de Microsoft: uno de los empleados del cliente que trabajaba en temas de derechos humanos había visto comprometida su cuenta de correo electrónico. El cliente quería saber si Adair podía llegar al fondo del asunto.

Adair, que solía trabajar en ciberdefensa en la agencia espacial estadounidense NASA antes de crear su propia empresa, Volexity, inició inmediatamente una investigación... y se topó con un muro de ladrillo.

"Examinamos minuciosamente todos los detalles relacionados con el comportamiento de este usuario", declaró Adair a Reuters el jueves. "No pudimos descubrir nada".

Los piratas informáticos que irrumpieron en los correos electrónicos de su cliente eran el mismo conjunto de sofisticados ciberespías a los que Microsoft culpó esta semana de robar correos electrónicos de altos funcionarios estadounidenses, incluidos empleados del Departamento de Estado y la secretaria de Comercio, Gina Raimondo. Microsoft dijo que los hackeos no funcionaron secuestrando ordenadores o robando contraseñas, sino aprovechando un problema de seguridad aún no revelado del omnipresente servicio de correo electrónico en línea de la empresa.

Dado que el cliente de Adair -a quien no quiso identificar- no pagaba a Microsoft por su suite de seguridad premium, no se disponía de datos forenses detallados y Adair no tenía forma de averiguar qué había ocurrido.

"En ese momento nos convertimos básicamente en espectadores", dijo.

Adair está presionando ahora para que Microsoft proporcione los datos adicionales a sus clientes de forma gratuita, una campaña que ha cobrado fuerza a raíz de la brecha en medio de la inquietud por las prácticas de seguridad del gigante del software en los círculos gubernamentales.

El senador estadounidense Ron Wyden dijo que Microsoft debería ofrecer a todos sus clientes capacidades forenses completas, afirmando que "cobrar a la gente por las funciones premium necesarias para no ser hackeado es como vender un coche y luego cobrar un extra por los cinturones de seguridad y los airbags".

Microsoft no devolvió inmediatamente los mensajes en busca de comentarios sobre la experiencia de Adair, el comentario de Wyden u otras críticas a su seguridad.

En una entrada de blog que describió por primera vez el hackeo a última hora del martes, Microsoft dijo que "la responsabilidad empieza por nosotros" y que estaba "autoevaluándose continuamente, aprendiendo de los incidentes" y reforzando sus defensas.

UNA TORMENTA EN LA NUBE

Durante años, particulares, organizaciones y gobiernos han estado trasladando sus correos electrónicos, hojas de cálculo y otros datos de sus propios servidores a los de Microsoft, aprovechando el ahorro de costes y la integración con el conjunto de herramientas ofimáticas de la empresa de Redmond, Washington. Al mismo tiempo, Microsoft ha promovido el uso de sus propios productos de seguridad, lo que ha llevado a algunos clientes a abandonar lo que consideraban programas antivirus redundantes.

El proceso de migrar los datos y servicios de una organización a una gran empresa tecnológica se llama a veces "pasar a la nube". Puede aumentar la seguridad, sobre todo para las pequeñas organizaciones que carecen de recursos para gestionar sus propios departamentos informáticos o de seguridad.

Pero los competidores presionados por la oferta de seguridad de Microsoft están haciendo sonar la alarma sobre cómo amplias franjas de la industria y el gobierno estaban poniendo efectivamente todos sus huevos en una sola cesta.

"Las organizaciones necesitan invertir en seguridad", dijo Adam Meyers, de la empresa de ciberseguridad CrowdStrike, en un correo electrónico distribuido a los periodistas el miércoles. "Tener un proveedor monolítico que sea responsable de toda su tecnología, productos, servicios y seguridad puede acabar en desastre".

También está aumentando la frustración con la estructura de licencias de Microsoft, que cobra a los clientes un extra por la posibilidad de ver registros forenses detallados como a los que no pudo acceder Adair, de Volexity. La cuestión ha sido un punto de discordia entre la empresa y el gobierno estadounidense desde que se reveló el pirateo de la empresa de software empresarial SolarWinds en 2020.

Adair dijo que entendía que Microsoft quisiera ganar dinero con su producto de seguridad premium. Pero dijo que tener más ojos abiertos a las ciberamenazas sería un beneficio para la empresa y sus clientes. Señaló que los piratas informáticos -a los que Microsoft apoda Storm-0558- sólo fueron descubiertos porque alguien del Departamento de Estado con acceso al registro de gama alta de Microsoft advirtió una anomalía en sus datos forenses.

"Que Microsoft dé más poder a los clientes y a las empresas de seguridad para que puedan trabajar juntos es probablemente la mejor manera", dijo Adair.