CSRB investigará intrusión cibernética respaldada por China en sistemas de correo electrónico del gobierno de EE.UU

Investigación sobre el incidente de ciberseguridad en los sistemas de correo electrónico del gobierno de EE.UU.

El Consejo de Revisión de Seguridad Cibernética (CSRB, por sus siglas en inglés), encargado de investigar importantes incidentes de ciberseguridad, ha anunciado que comenzará a examinar la reciente intrusión en los sistemas de correo electrónico del gobierno de EE.UU. proporcionados por Microsoft. El manejo del incidente por parte de Microsoft ha generado críticas y escrutinio por parte de legisladores federales y de la comunidad de seguridad en general.

Amplia revisión de problemas relacionados con la infraestructura de identidad y autenticación basada en la nube

El CSRB ha señalado que su última investigación incluirá una "revisión más amplia de problemas relacionados con la infraestructura de identidad y autenticación basada en la nube". Esta decisión surge después de conocerse la brecha en la nube de Microsoft, en la cual hackers respaldados por el estado chino lograron acceder a cuentas de correo electrónico del gobierno, incluyendo la bandeja de entrada de la Secretaria de Comercio de EE.UU., Gina Raimondo, varios funcionarios del Departamento de Estado de EE.UU. y otras organizaciones que aún no han sido reveladas públicamente.

Robo de clave de firma sensible y acceso no autorizado a cuentas de correo electrónico

Según la información proporcionada hasta ahora, Microsoft ha confirmado que los hackers respaldados por China robaron una clave de firma sensible que permitió el acceso no autorizado a buzones de correo electrónico empresariales y gubernamentales alojados por la empresa tecnológica. Esta clave robada, junto con una vulnerabilidad que Microsoft ha parcheado desde entonces, permitió la falsificación de tokens de autenticación que los hackers utilizaron para acceder a las cuentas de correo electrónico objetivo como si fueran los propietarios legítimos.

Detección tardía del incidente y críticas a Microsoft

Las intrusiones comenzaron a mediados de mayo, pero no se detectaron hasta un mes después, cuando funcionarios del Departamento de Estado descubrieron la brecha y notificaron a Microsoft. Solo porque el Departamento de Estado utilizaba una cuenta de nivel superior que permitía el acceso a los registros que mantiene Microsoft, se revelaron los primeros indicios de los ataques. Otros departamentos con un nivel de cuenta inferior no tenían acceso a los registros que podrían haber detectado las intrusiones antes.

Tras las críticas recibidas, Microsoft cedió rápidamente y anunció que a partir de septiembre pondría los registros a disposición de los clientes sin costo adicional.

Llamado a la investigación del incidente por parte de legisladores

Ron Wyden, un legislador demócrata del Comité de Inteligencia del Senado, criticó duramente a Microsoft en una carta a las agencias gubernamentales, solicitando una investigación sobre si "prácticas laxas de ciberseguridad" permitieron a los hackers chinos espiar a altos funcionarios del gobierno federal.

Wyden también instó al CSRB a investigar el incidente.

Importancia de comprender las vulnerabilidades en las tecnologías de la nube

Al realizar un análisis posterior al incidente, el secretario de Seguridad Nacional, Alejandro Mayorkas, señaló la "importancia" de comprender las vulnerabilidades en las tecnologías de la nube en las que confían las organizaciones estadounidenses.

"Las recomendaciones concretas del CSRB ayudarán a todas las organizaciones a asegurar mejor sus datos y fortalecer su ciberresiliencia", afirmó Mayorkas.

Tercera investigación del CSRB desde su creación

Esta es la tercera investigación del CSRB desde su creación por orden ejecutiva en 2021 por el presidente Biden. El consejo, que incluye representantes del gobierno y expertos en ciberseguridad del sector privado, tiene como objetivo revisar importantes eventos de ciberseguridad e identificar recomendaciones para prevenir futuros incidentes.

La primera investigación del CSRB se centró en las consecuencias de la vulnerabilidad Log4j en 2020, y su segunda investigación, publicada esta semana, examinó los recientes ataques del grupo de hackers Lapsus$.