Cómo fue hackeado Microsoft
En el preocupante hackeo sufrido por Microsoft, un grupo de ciberdelincuentes rusos conocido como Midnight Blizzard (también conocido como Nobelium) logró acceder a los sistemas internos del gigante tecnológico y robar datos altamente sensibles. Esto fue descubierto por Microsoft en enero 12 de 2024, pero al parecer, los hackers maliciosos habrían robado mensajes de correo y otros documentos importantes desde noviembre de 2023, a través de lo que en ciberseguridad conocemos como un ataque de ingeniería social del tipo «password spray attack» [1].
Según el propio Microsoft, los crackers obtuvieron acceso a través de comprometer una cuenta de usuario de pruebas en un sistema no-productivo. Esto les permitió moverse lateralmente dentro de la red de Microsoft y acceder a los recursos de la compañía.
La información robada incluye código fuente, instrucciones de compilación, correos electrónicos y otros datos críticos relacionados con algunos de los productos principales de Microsoft, como Windows y Office.
Ariel Parnes, Cofundador de Mitiga, comentó sobre la gravedad del incidente, indicando que el acceso a código fuente le da a los atacantes acceso a las «llaves del reino digital» de Microsoft.
Según una revisión reciente sobre el incidente, Microsoft aún está investigando el alcance total de la violación y evalúa el impacto en sus operaciones y productos. Se espera que la compañía emita parches de seguridad y realice cambios en su infraestructura para mitigar los daños.
Por otro lado, el hecho de que esta brecha de haya dado debido a una vulnerabilidad de configuración prevenible, nos hace preguntarnos cómo un gigante como Microsoft pudo no notar una falla fácilmente detectable con el módulo de cumplimiento de un software de ciberhigiene, o por supuesto, a través de seguir lo que dictan las mejores prácticas de seguridad de la industria y que toda empresa debería incorporar como parte de sus políticas y procedimientos de seguridad de la información.
Costos de sufrir una brecha de ciberseguridad
Definitivamente, este hackeo masivo subraya la continua amenaza que enfrentan todas las empresas, no sólo las grandes empresas tecnológicas, y debe llevarnos a reflexionar sobre la necesidad de mejorar constantemente las prácticas de seguridad y la higiene cibernética, para no ser las próximas víctimas de una brecha de ciberseguridad que podría ser sumamente costosa en términos económicos y de reputación corporativa.
Recordemos que el costo promedio global de una brecha de ciberseguridad en 2023 fue de 4.45 millones de dólares, según un estudio de IBM, mientras que en Latinoamérica el costo de una brecha ronda en 1.35 millones de dólares según Kaspersky.
El estudio de Kaspersky indicó además, que Brasil tuvo el costo promedio más alto en la región, con $1.62 millones, seguido por México con $1.51 millones y Colombia con $1.07 millones por incidente.
Por supuesto, estos son valores promedio y el costo real de una brecha puede variar significativamente de acuerdo al tamaño de la empresa afectada, la naturaleza de los datos comprometidos, los requisitos normativos y otros factores.
3 Lecciones Clave que aprender
Entonces, ¿qué podemos aprender del hackeo sufrido por Microsoft?
1. Ninguna empresa está exenta de riesgos cibernéticos
El hecho de que una empresa tecnológica líder como Microsoft haya sido comprometida, demuestra que ninguna organización está completamente a salvo de los ciberataques, independientemente de su tamaño o recursos. Por ende, las empresas deben mantenerse constantemente alerta y proactivas en cuanto a la seguridad cibernética.
2. Invertir en Ciberhigiene es primordial
Creo que a estas alturas nos queda claro que invertir en medidas preventivas para proteger la información y reducir el riesgo cibernético es esencial para todas las empresas; pero también es importante hacerlo pronto – antes de ser blanco de los ciberatacantes – puesto que el costo de reparar una brecha de seguridad y de reconstruir la imagen corporativa ante los clientes es siempre mucho más costoso que implementar medidas de ciberhigiene a tiempo.
3. El acceso con privilegios mínimos es esencial (Zero-Trust)
Una vez dentro de la red de Microsoft, los atacantes pudieron moverse lateralmente y acceder a datos altamente sensibles. Esto destaca la necesidad de aplicar el principio de privilegios mínimos (zero-trust), limitando el acceso sólo a los recursos estrictamente necesarios para que los empleados realicen sus funciones laborales. Reducir la superficie de ataque puede minimizar el impacto de una violación.
Como conclusión, este incidente es un recordatorio para todas las organizaciones de que hay que permanecer vigilantes, fortalecer las prácticas de seguridad y adoptar un enfoque de defensa en profundidad contra las crecientes amenazas cibernéticas.
Si deseas ayuda para proteger la información e imagen corporativa de tu empresa, reduciendo el costo operativo por brechas de ciberseguridad, o quieres averigüar si tu empresa está realmente segura, no dudes en contactarnos y haremos una Evaluación de Seguridad GRATUITA para 5 de tus servidores por espacio de 10 días y te entregaremos un Reporte Ejecutivo con los hallazgos y recomendaciones de remediación. Esta es una oferta por tiempo limitado, obtén más información y separa tu cupo aquí.
Notas y Referencias:
[1] Un ataque de claves del tipo «password spray» es una técnica de hacking que consiste en intentar acceder a múltiples cuentas usando contraseñas comunes o débiles. En lugar de probar muchas contraseñas en una sola cuenta (lo que podría activar medidas de seguridad como el bloqueo de la cuenta), el atacante «pulveriza» la misma contraseña o un conjunto pequeño de contraseñas comunes contra muchas cuentas diferentes, buscando aquellas que coincidan. Esto se hace esperando evitar la detección al mantener bajo el número de intentos fallidos en cada cuenta individual.
[2] Techopedia (2024): Russian Hackers Breach Microsoft – Expert Analysis
https://www.techopedia.com/news/russian-hackers-breach-microsoft-expert-analysis
[3] Medium (2024): Microsoft Hack: A Breach of Trust and a Call to Action – https://medium.com/@pauldipesh29/microsoft-hack-a-breach-of-trust-and-a-call-to-action-99e7665f1643
[4] IBM – Cost of a Data Breach Report 2022: https://www.ibm.com/security/data-breach
[5] Kaspersky – Costo de una brecha de datos en América Latina 2021: https://latamblog.kaspersky.com/costo-de-una-brecha-de-datos-en-america-latina-2021/
CEO – Consulting Systems
CEH, CyberOps Associate, Computer Forensics US Master