El 5 de abril de 2024, se informó que las agencias federales de Estados Unidos recibieron una directiva de emergencia de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) en respuesta al impacto de un hackeo de Microsoft llevado a cabo por el grupo de amenazas patrocinado por el estado ruso conocido como Midnight Blizzard, también conocido como APT29, Cozy Bear y The Dukes.
Este incidente ha generado preocupaciones sobre la ciberseguridad en las principales empresas tecnológicas.
Brecha de seguridad en Microsoft
El equipo de seguridad de Microsoft detectó un ataque por parte de un actor estatal en nuestros sistemas corporativos el 12 de enero de 2024 y activó de inmediato nuestro proceso de respuesta para investigar, interrumpir la actividad maliciosa, mitigar el ataque y evitar que el actor amenazante acceda aún más. Identificamos al actor amenazante como Midnight Blizzard, un actor patrocinado por el estado ruso también conocido como Nobelium. Como parte de nuestro compromiso continuo con la transparencia responsable, estamos compartiendo esta actualización.
A partir de finales de noviembre de 2023, el actor amenazante utilizó un ataque de "spray" de contraseñas para comprometer una cuenta de un entorno de prueba heredado que no estaba en producción y obtener una posición de apoyo, luego utilizó los permisos de la cuenta para acceder a un porcentaje muy pequeño de las cuentas de correo corporativas de Microsoft, incluyendo miembros de nuestro equipo de liderazgo senior y empleados de nuestros departamentos de ciberseguridad, legal y otras áreas, y exfiltró algunos correos electrónicos y documentos adjuntos. La investigación indica que inicialmente estaban apuntando a cuentas de correo electrónico en busca de información relacionada con Midnight Blizzard en sí. Estamos en proceso de notificar a los empleados cuyos correos electrónicos fueron accedidos.
Impacto en el Gobierno de los Estados Unidos
Si bien el ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft, no hay evidencia hasta la fecha de que el actor amenazante haya tenido acceso a entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial. Notificaremos a los clientes si se requiere alguna acción.
Este ataque destaca el riesgo continuo que representan todos los actores amenazantes respaldados por estados con recursos, como Midnight Blizzard. Como mencionamos a finales del año pasado cuando anunciamos la Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés), dada la realidad de los actores amenazantes financiados por estados, estamos cambiando el equilibrio que debemos mantener entre la seguridad y el riesgo empresarial; el cálculo tradicional simplemente ya no es suficiente. Para Microsoft, este incidente ha resaltado la necesidad urgente de actuar aún más rápido. Actuaremos de inmediato para aplicar nuestros estándares de seguridad actuales a los sistemas heredados propiedad de Microsoft y a los procesos comerciales internos, incluso cuando estos cambios puedan causar interrupciones en los procesos comerciales existentes.
Este es solo el primer paso de varios que vamos a tomar para adoptar esta filosofía. Continuamos con nuestra investigación y tomaremos acciones adicionales basadas en los resultados de esta investigación y seguiremos trabajando con las autoridades policiales y los reguladores apropiados. Estamos comprometidos en compartir más información y nuestros aprendizajes para que la comunidad pueda beneficiarse tanto de nuestra experiencia como de nuestras observaciones sobre el actor amenazante. Proporcionaremos detalles adicionales según corresponda.
Medidas de seguridad para proteger a las organizaciones
A raíz de este ataque y otros incidentes de seguridad similares, es crucial que las organizaciones tomen medidas proactivas para protegerse de los actores amenazantes respaldados por estados. Aquí hay algunas medidas que pueden ayudar a proteger las aplicaciones y sistemas de SaaS:
1. Fortalecimiento de la postura de seguridad
Es fundamental que las organizaciones refuercen su postura de seguridad para evitar brechas y ataques cibernéticos. Esto implica implementar medidas como:
Realizar revisiones obligatorias de las cuentas privilegiadas para garantizar el principio de menor privilegio.
Identificar y eliminar las cuentas inactivas que pueden representar un riesgo de seguridad.
Utilizar controles que bloqueen las integraciones no autorizadas.
2. Mitigación de amenazas
La detección y mitigación temprana de amenazas es esencial para proteger los sistemas y datos de una organización. Algunas acciones que se pueden tomar incluyen:
Detectar y eliminar aplicaciones de alto riesgo que puedan comprometer la seguridad.
Identificar y abordar rápidamente la posible compromisión de usuarios.
Implementar herramientas de detección y respuesta de amenazas de identidad.
3. Gestión de riesgos de integración
El aumento de las aplicaciones interconectadas plantea nuevos desafíos para las organizaciones. Es importante implementar controles que bloqueen las integraciones no autorizadas y mantengan la seguridad de los sistemas. Algunas medidas que se pueden tomar son:
Bloquear aplicaciones no autorizadas para acceder a los entornos.
Utilizar filtros para detectar y mitigar actividades sospechosas de integración.
El ciberataque de Midnight Blizzard contra Microsoft ha tenido un impacto significativo en el Gobierno de los Estados Unidos y ha resaltado la importancia de fortalecer la seguridad de las organizaciones frente a amenazas respaldadas por estados. Es fundamental que las organizaciones tomen medidas proactivas para fortalecer su postura de seguridad, mitigar amenazas y gestionar los riesgos de integración. Microsoft está trabajando en estrecha colaboración con las autoridades y los reguladores para abordar este incidente y compartir información relevante con la comunidad. La ciberseguridad es un desafío constante, y es crucial que las organizaciones estén preparadas y tomen medidas para protegerse contra futuros ataques.