La formación y capacitación en ciberseguridad entre la plantilla es muy necesaria, incluso cuando tu empresa es una de las mayores compañías TIC del mundo. Las medidas de protección que para muchos pueden resultar muy evidentes, no lo son para todos.
Esta noticia vuelve a incidir en una máxima: el mayor agujero de seguridad de una empresa se encuentra siempre en su personal. El factor humano puede ser decisivo.
Microsoft ha aprendido la lección por las malas. Aunque resulte inconcebible, varios empleados de la compañía habrían compartido alegremente sus datos de acceso a servidores de la compañía en el repositorio de código y software GitHub.
El hallazgo lo ha hecho una firma de ciberseguridad denominada spiderSilk. De casualidad, se topó en esta plataforma con las credenciales de siete trabajadores de la casa que ellos mismos habían publicado. Además, tres de estas claves seguían activas cuando la filtración fue descubierta.
"Seguimos viendo que el código fuente accidental y las filtraciones de credenciales son parte de la superficie de ataque de una empresa y cada vez es más difícil identificarlos de manera oportuna y precisa. Esto supone un problema muy desafiante para la mayoría de las empresas en estos días”, ha comentado a Vice Mossab Hussein, director de seguridad de spiderSilk.
La información compartida correspondía a cuentas de Azure, el servicio en la nube de Microsoft que compite directamente con Amazon Web Services. Se incluían también referencias al repositorio de código de Azure DevOps. Todas las credenciales expuestas estaban asociadas con identificadores oficiales de la empresa de las ventanas.
La compañía de Satya Nadella ha reconocido la filtración, aunque no han dado muchos detalles sobre la misma.
Desde Microsoft han asegurado estar investigando lo ocurrido y afirmado que no tienen constancia de que se haya producido ningún acceso no autorizado o usado los datos de manera inapropiada.
Otro disgusto para los CISO de Microsoft
Microsoft no ha tenido un año fácil en cuanto a ciberseguridad se refiere. En marzo el grupo de actores de amenazas Lapsus$ obtuvo acceso a sus sistemas, llegando a filtrar 40 GB de información sensible, que incluía los códigos fuente del motor de búsqueda Bing y el asistente de IA Cortana.
Durante el ejercicio se han detectado varias vulnerabilidades en productos de la compañía, sobre todo en Office 365. En mayo se encontró una de día cero capaz de eludir la detección de Windows Defender.
Además, para colmo de los colmos en julio Microsoft superó a Facebook como la marca más suplantada para ataques de phising, siendo imitada en más de 11.000 URL de código malicioso.