La disyuntiva de Microsoft
Reducir el riesgo de las herramientas esenciales
Los ordenadores personales e Internet no serían lo que son hoy sin Microsoft. Durante casi cincuenta años, Microsoft ha impulsado la informática, al mismo tiempo que ha ayudado a las personas y a las empresas que utilizan sus productos. Ya sean estudiantes o jugadores, pequeñas empresas o corporaciones multinacionales, organizaciones sin ánimo de lucro o agencias gubernamentales, los clientes de Microsoft han depositado su confianza en los productos y servicios de la empresa para lograr la productividad, la comunicación, la colaboración, el entretenimiento y la transformación empresarial.
Gracias a su contribución a todos estos cambios, Microsoft se ha convertido en la segunda empresa más valiosa del mundo. Pero lamentablemente este éxito ha llevado a que Microsoft y sus productos sean un objetivo muy codiciado de los ciberataques.
Como indicamos recientemente en el informe anual sobre tendencias de phishing, los atacantes se pueden hacer pasar por cientos de organizaciones distintas, pero suplantan principalmente la identidad de las entidades en quienes confiamos y de las que dependemos para alcanzar nuestros objetivos. Microsoft es la marca más suplantada del mundo debido a sus productos y a la confianza que todos hemos depositado en ella.
Aunque Microsoft es uno de los principales objetivos, también protege contra los ataques, proporcionando no solo aplicaciones de software y sistemas operativos sino también herramientas de ciberseguridad. De hecho, el 30 % de los ingresos de Microsoft 365 son atribuibles a la ciberseguridad.
El problema radica en que las herramientas de Microsoft no son especialmente efectivas para resolver las amenazas por sí solas.
Por lo tanto, ¿cómo encaja Microsoft en nuestro concepto de la ciberseguridad? Muchos profesionales de la seguridad con los que hablo me plantean preguntas complejas, del tipo: "¿Es Microsoft el caballo de Troya que permite a los ciberdelincuentes invadir y atacar nuestras redes? ¿O bien es Troya, un entorno aparentemente bien protegido al que sin embargo consiguen atacar con éxito?" "¿Quién puede pedir responsabilidades a Microsoft por los fallos de seguridad cuando está tan estrechamente entrelazado en los presupuestos?"
Es indudable que los entornos de Microsoft sufren ataques con frecuencia, y que las consecuencias pueden ser graves. En julio de este año, hackers chinos pudieron acceder a los sistemas de correo electrónico basados en Microsoft de algunas agencias gubernamentales de EE. UU., quizás incluso de la oficina del embajador de EE. UU. en China. Este hecho minó enormemente la confianza depositada en Microsoft. Y no era la primera vez que ocurría un incidente de este tipo.
En agosto, Microsoft lanzó actualizaciones de software para resolver más de 70 fallos de seguridad del sistema operativo Windows y de productos relacionados, incluidas varias vulnerabilidades zero-day que los atacantes habían aprovechado hasta entonces. Cualquier persona que haya escrito código sabe que el software es vulnerable porque lo desarrollan humanos. Sin embargo, este gran volumen de actualizaciones del "martes de parches" plantea una pregunta: ¿Deberíamos hacer algo más para proteger Windows y otros productos de Microsoft, dada su adopción generalizada y la vulnerabilidad inherente que supone?
También puede que te preguntes: ¿Las vulnerabilidades de los productos de Microsoft se pueden resolver eficazmente utilizando otros productos de Microsoft? Si los ciberdelincuentes atacan con éxito productos de Microsoft, ¿por qué deberíamos confiar en que los parches y las actualizaciones de la misma empresa evitarán futuros fallos?
Replantear tu estrategia de seguridad de Microsoft
En la mayoría de las organizaciones, dependemos demasiado del software de Microsoft en nuestro trabajo diario para abandonar su uso. No se trata de dejar de utilizar Microsoft Word, Excel, PowerPoint, Exchange o SharePoint, por ejemplo, simplemente porque consideremos que los productos de seguridad de Microsoft son insuficientes.
Aun así, la mayoría de nosotros necesitamos mejorar la protección de nuestros entornos y herramientas basados en Microsoft contra los ataques, porque seguirán llegando.
La primera medida para reforzar la protección es dejar de depender principalmente (o exclusivamente) de los productos de Microsoft para la seguridad. Microsoft ha publicado un modelo de responsabilidad compartida que ilustra las áreas de responsabilidad entre Microsoft y sus clientes según el tipo de implementación de tu pila. Como profesionales de la seguridad, sabemos que un enfoque por capas es fundamental para eliminar las brechas de la protección. Pero los desafíos de la seguridad de Microsoft sugieren que el enfoque por capas debe implicar no solo varias herramientas sino también varios proveedores. La clave, por supuesto, es encontrar la combinación adecuada de proveedores sin una mayor complejidad de gestión.
Al analizar los distintos proveedores, debemos buscar empresas a las que podamos pedir responsabilidades. Es decir, debemos tener la capacidad de influenciar en el plan de desarrollo de un producto, o de encontrar una alternativa donde el coste del cambio no sea demasiado alto ni la incorporación suponga una duplicación. Microsoft es una gran empresa que ofrece diversos productos básicos. Cuando una herramienta o un parche de seguridad no puede detener un ataque, es difícil pedir responsabilidades a Microsoft. No podemos amenazarles con desinstalar sus aplicaciones o con dejar de utilizar Excel hasta que resuelvan el problema. Sin embargo, podemos traspasar la responsabilidad y rendición de cuentas a otro proveedor.
Los proveedores adecuados probablemente serán especialistas en ciberseguridad, empresas que se dedican a resolver problemas de seguridad y con las que será mucho más fácil lograr un nivel superior de interacción y pedir responsabilidades. Podemos trabajar con sus ingenieros para buscar soluciones a las amenazas en constante cambio, exigir la atención de los responsables de la empresa cuando sea necesario y reemplazar los productos si todo lo demás falla, sin perder tampoco las herramientas básicas de productividad.
Mientras millones de personas y empresas dependan de las aplicaciones y los sistemas operativos de Microsoft, estos productos continuarán siendo uno de los principales objetivos de los ciberataques. Para protegerse mejor contra los ataques, las organizaciones deben dejar de depender de Microsoft y asociarse con empresas dedicadas a la seguridad a fin de resolver la disyuntiva de Microsoft: ¿Podemos beneficiarnos de los productos básicos de la empresa sin las vulnerabilidades que conllevan?
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Microsoft y Microsoft 365 son marcas registradas del grupo de empresas de Microsoft.
Autor
Oren J. Falkowitz — @orenfalkowitz
Responsable de seguridad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Por qué las herramientas de Microsoft son el objetivo principal de los ciberataques
Por qué depender únicamente de las herramientas de Microsoft por capas no es suficiente
Cómo reforzar la protección asociándote con proveedores de seguridad a los que puedas pedir responsabilidades