Ayer, Microsoft alertó a los usuarios de que se habían comprometido las credenciales de un agente de soporte que trabajaba en su servicio de correo web, dado que un hacker desconocido accedía a un número desconocido de cuentas.
Si bien el atacante no pudo acceder a las contraseñas u otra información personal, según Microsoft, pudo ver las direcciones de correo electrónico, los nombres de las carpetas y las líneas de asunto del correo electrónico.
«Nuestros datos indican que la información relacionada con la cuenta (pero no el contenido de los correos electrónicos) pudo haber sido vista, pero Microsoft no tiene ninguna indicación de por qué se vio esa información ni de cómo pudo haber sido utilizada», dijo Microsoft en un correo electrónico a usuarios
Una amenaza interna en el corazón de Microsoft
Para los expertos en seguridad cibernética, el ataque resalta el riesgo que representan las amenazas internas: las personas dentro de la organización, como los antiguos empleados o contratistas, presentan un riesgo de seguridad.
«Este es otro caso de amenaza interna, que a menudo recibe un menor nivel de atención y prioridad», dijo Anjola Adeniyi, líder técnico de Securonix.
“Las organizaciones deben entender que, si bien la probabilidad puede ser menor que otras formas de riesgo cibernético, su impacto puede ser mucho mayor y, por lo tanto, debería darle un mayor enfoque. La amenaza interna no se trata solo de usuarios malintencionados, como vemos en este caso de un usuario comprometido «.
«Las cuentas sensibles, como las cuentas de administrador, las cuentas de soporte o incluso las cuentas de redes sociales son objetivos atractivos para los delincuentes, por lo que es importante monitorear estas cuentas para detectar no solo si están comprometidas externamente, sino también si una persona con información privilegiada decide ir sin escrúpulos. ”Agregó Javvad Malik, defensor de la seguridad en AT&T Cybersecurity.
«Como lo demuestra este incidente, cuando una cuenta legítima emprende una actividad maliciosa, a menos que se implementen controles específicos, como el monitoreo de comportamiento, puede tomar mucho tiempo detectar que algo anda mal, e incluso más tiempo para eliminar el daño que se ha producido. hecho.»
Preguntas sobre la escala de tiempo de hackeo de Microsoft
El hackeo de Microsoft tomó un tiempo considerable para que el gigante del software lo identificara, lo que ha generado críticas por parte de algunos expertos en ciberseguridad.
«Es bueno que el acceso a la información en correos electrónicos y contraseñas de cuentas aparentemente no se haya accedido, esto probablemente se deba a las propias restricciones de Microsoft en cuanto a la visibilidad de las cuentas de soporte en los datos personales y las contraseñas, sin embargo, la cantidad de tiempo que siguió la violación es decepcionante». dijo Dan Pitman, arquitecto principal de seguridad de Alert Logic.
«Este tipo de evento debería desencadenar una revisión de las restricciones de acceso al soporte, esperaría que necesitaran múltiples factores de autenticación para iniciar sesión como se recomienda a los usuarios finales».
«Lo que más me preocupa es que Microsoft, por un lado, dice: ‘Monitoreamos constantemente nuestras redes en busca de cualquier irregularidad en la red’, pero admite que ‘los atacantes pueden haber tenido acceso a los sistemas de Microsoft durante un período de tiempo considerable. algo menos de tres meses «, dijo Brian Higgins, especialista en seguridad de Comparitech.com.
«Como cliente, eso no me llena de confianza en sus capacidades de monitoreo de intrusiones y me hace preguntarme quién más está sentado en su red casualmente esperando para atacar».
¿Qué acción deben tomar los usuarios?
Es probable que los usuarios afectados en el hackeo de Microsoft sean una mezcla de individuos y empresas, sin embargo, para ambos hay poca acción realista para cambiar el cambio de contraseña estándar posterior a la violación.
«Los usuarios no pueden hacer mucho al respecto. No es posible no compartir sus datos en estos días, si desea utilizar estos servicios. Nunca puede estar seguro de que el servicio de su elección no será pirateado: no hay seguridad al 100%, no hay bala de plata. «Con ataques internos, una superficie de ataque cada vez mayor y más y más vulnerabilidades, la pregunta no es si ocurrirá una brecha, sino cuándo», dijo Felix Rosbach, gerente de productos de comforte AG.
«Por supuesto, podría configurar su propio servidor de correo, pero ¿está seguro de que puede hacer un mejor trabajo que Microsoft en términos de ciberseguridad? Si es así, es una solución.»