Senador estadounidense solicita investigar a Microsoft por "negligencia cibernética grave" tras ataques de ransomware a hospitales.
Wyden insta a la FTC a investigar a la organización.
El senador Ron Wyden ha solicitado una investigación sobre Microsoft, tras los ataques de ransomware que han afectado, en particular, a Ascension Healthcare. El legislador acusa a la compañía de "negligencia grave en ciberseguridad". En una carta dirigida al presidente de la FTC, Andrew Ferguson, Wyden expresa su preocupación por los riesgos que implica el software inseguro que Microsoft ha proporcionado tanto al gobierno de EE. UU. como a entidades críticas como la sanidad del país.
Durante el año, Ascension Healthcare reportó una violación de datos, que se presume está vinculada al ransomware de C10p. Según informes, la intrusión comenzó cuando un contratista hizo clic en un enlace malicioso después de realizar una búsqueda en el motor de búsqueda Bing de Microsoft. Esto resultó en que el portátil del contratista se infectara con malware, permitiendo a los hackers acceder a las áreas más sensibles de la red de Ascension debido a configuraciones predeterminadas inseguras del software de Microsoft.
El senador advierte que la falta de acción oportuna ante la cultura de negligencia en ciberseguridad de Microsoft, combinada con su casi monopolio en el mercado de sistemas operativos empresariales, representa una amenaza seria a la seguridad nacional y hace que futuros ataques sean inevitables. Los ataques utilizaron una técnica llamada ‘Kerberoasting’, que explota tecnologías de cifrado inseguras, como el estándar ‘RC4’ de la década de 1980, que aún está soportado por el software de Microsoft. Wyden sugiere que la empresa debería advertir a sus clientes sobre estos peligros.
Hasta ahora, Microsoft no ha emitido un parche o actualización para abordar esta vulnerabilidad y no ha contactado a los clientes para alertarlos. Un portavoz de la compañía comentó que, aunque desaconsejan el uso de RC4, su desactivación completa podría afectar muchos sistemas de clientes. Microsoft está trabajando en reducir gradualmente su uso mientras proporciona advertencias y recomendaciones sobre su utilización segura.
