El senador estadounidense Ron Wyden ha pedido a la Comisión Federal de Comercio (FTC) que investigue a Microsoft por lo que él llama “negligencia bruta de seguridad cibernética”, acusando al gigante tecnológico de enviar a sabiendas su sistema operativo Windows con una forma de cifrado peligrosamente desactualizada que ha permitido devastando los ataques de ransomware de los Estados Unidos sobre la infraestructura crítica de los Estados Unidos, incluidas las principales sistemas de salud.
En una carta dirigida al presidente de la FTC, Andrew N. Ferguson, el 10 de septiembre de 2025, el senador Wyden argumentó que las configuraciones predeterminadas inseguras de Microsoft han creado un terreno fértil para los ciberdelincuentes, amenazando directamente a la seguridad nacional de los Estados Unidos.
La carta destaca una técnica de piratería conocida como “kerberoasting”, que explota el soporte continuo de Microsoft para RC4, una tecnología de cifrado obsoleta desarrollada en la década de 1980.
Si bien están disponibles los estándares de cifrado modernos y seguros como el estándar de cifrado avanzado (AES), Microsoft no los ha convertido en el requisito predeterminado en su software Active Directory ampliamente utilizado.
El ataque de ransomware de ascensión
La carta detalla un ataque de ransomware 2024 contra Ascension, uno de los sistemas de salud sin fines de lucro más grandes en los Estados Unidos, como un excelente ejemplo de las supuestas fallas de Microsoft.
El incidente comenzó cuando un contratista hizo clic en un enlace malicioso de un resultado de búsqueda de Microsoft Bing, que descargó inadvertidamente malware.
Desde este punto de entrada único, los piratas informáticos se movieron a través de la red de Ascension y usaron la técnica de kerberoasting para explotar el cifrado RC4 débil en el servidor Microsoft Active Directory de la organización.
Esto les permitió obtener privilegios administrativos, desplegar ransomware en miles de computadoras y robar los datos confidenciales de 5,6 millones de pacientes.
El ataque interrumpió severamente la capacidad de Ascensión para proporcionar atención al paciente.
Oficina del senador Wyden fijado Había instado a altos funcionarios de Microsoft en julio de 2024 a emitir advertencias claras sobre la amenaza planteada por Kerberoasting.
En respuesta, Microsoft publicó una publicación de blog altamente técnica en octubre de 2024, recomendando pasos de mitigación y prometiendo una futura actualización de software para deshabilitar el cifrado RC4 vulnerable.
Sin embargo, Wyden criticó la divulgación de la compañía como inadecuada, y señaló que fue publicado en una parte oscura de su sitio web sin publicidad significativa.
Además, once meses después, la actualización de seguridad prometida aún no se ha lanzado, dejando a innumerables organizaciones vulnerables.
El senador señaló la hipocresía de la inacción de Microsoft, ya que las agencias de seguridad cibernética de los Estados Unidos, incluidas CISA, el FBI y la NSA, han emitido una guía pública específicamente advirtiendo contra querberoasting y asesorando la discripción de RC4.
Una guía completa de CISA y la NSA, escrita por las agencias de seguridad nacional australiana en septiembre de 2024, identificó a Kerberoasting como la principal amenaza contra el software Active Directory de Microsoft.
Wyden también hizo referencia a un informe de la Junta de Revisión de Seguridad Cibernética que encontró que la cultura de seguridad de Microsoft “inadecuada y requiere una revisión”, un hallazgo que siguió a un importante hack de las agencias gubernamentales de los Estados Unidos por China en julio de 2023.
El senador concluyó acusando a Microsoft de beneficiarse de sus propios productos inseguros vendiendo servicios de ciberseguridad adicionales, comparando a la compañía con “un incendio que vende servicios de lucha contra incendios a sus víctimas”.
Instó a la FTC a tomar medidas inmediatas para responsabilizar a Microsoft por sus prácticas monopolísticas y negligentes.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
