Un informe mordaz emitido el martes por una junta de revisión nombrada por el gobierno de Biden reveló una serie de errores de Microsoft que permitieron a los operadores cibernéticos chinos respaldados por el estado violar las cuentas de correo electrónico de altos funcionarios estadounidenses, incluida la secretaria de Comercio, Gina Raimondo. La Junta de Revisión de Seguridad Cibernética, creada en 2021, criticó las prácticas de seguridad corporativa, la cultura y la transparencia de Microsoft en el manejo de la violación específica, que afectó a múltiples agencias estadounidenses que tratan con China.

El panel describió la cultura de seguridad de Microsoft como inadecuada y necesitada de una revisión completa, considerando el papel crítico de la compañía en el ecosistema tecnológico global. Afirmó que la intrusión, descubierta en junio por el Departamento de Estado y que se remonta a mayo, era evitable y nunca debería haber ocurrido debido a una cascada de errores evitables. Sorprendentemente, Microsoft todavía no sabe cómo los piratas informáticos obtuvieron acceso.

El informe detalla cómo los piratas informáticos chinos respaldados por el estado violaron el correo electrónico de Microsoft Exchange Online de 22 organizaciones y más de 500 personas en todo el mundo, incluido el embajador de EE. UU. en China y varias entidades gubernamentales extranjeras. El panel acusó a Microsoft de hacer declaraciones públicas inexactas sobre el incidente y expresó su preocupación por un hackeo separado atribuido a piratas informáticos rusos respaldados por el estado.

En respuesta al informe, Microsoft reconoció la necesidad de mejorar las medidas de seguridad y se comprometió a fortalecer sus sistemas contra las amenazas cibernéticas. La compañía afirmó que los eventos recientes han puesto de relieve la necesidad de adoptar una nueva cultura de seguridad de ingeniería dentro de sus redes y ha movilizado a sus equipos de ingeniería para mejorar los procesos y hacer cumplir los puntos de referencia de seguridad.

Las recomendaciones de la junta incluyeron instar a Microsoft a detener la adición de características a su entorno de computación en la nube hasta que se realicen mejoras de seguridad sustanciales. También pidió al CEO y a la junta directiva de Microsoft que implementen un rápido cambio cultural, compartan públicamente un plan para reformas centradas en la seguridad y apliquen prácticas rigurosas de gestión de riesgos en toda la empresa y sus productos.

En general, el informe destacó la necesidad urgente de que Microsoft aborde sus deficiencias de seguridad y priorice la protección de los servicios esenciales que respaldan la seguridad nacional, la economía y la salud y seguridad públicas.