El senador Wyden impulsa la investigación de la FTC sobre Microsoft por vulnerabilidades de ransomware

Por Sandos en Seguridad informática

Traducir a:

El senador estadounidense Ron Wyden ha solicitado formalmente a la Comisión Federal de Comercio (FTC) que investigue a Microsoft por lo que describe como "negligencia grave en ciberseguridad" tras un ataque de ransomware contra el proveedor de servicios de salud Ascension. La preocupación del senador se centra en cómo las configuraciones de software predeterminadas de Microsoft supuestamente expusieron redes de infraestructura crítica a ataques.

Tabla de contenido

El detonante: la brecha de Ascension y las vulnerabilidades técnicas

Resumen del incidente: El año pasado, Ascension, un importante sistema de salud, sufrió un ataque de ransomware perpetrado por el grupo Black Basta , que afectó a casi 5,6 millones de personas . La filtración implicó el robo de datos y la interrupción de los historiales médicos electrónicos.
Vector inicial: Un contratista de Ascension hizo clic en un enlace malicioso descubierto a través del motor de búsqueda Bing de Microsoft. Este clic desencadenó reacciones en cadena que permitieron a los atacantes explotar valores predeterminados inseguros del software de Microsoft.
Debilidad predeterminada del software: Según la carta del senador, el software de Microsoft incluye configuraciones predeterminadas peligrosamente inseguras. Un problema clave es la compatibilidad con el cifrado RC4 dentro del protocolo de autenticación Kerberos. RC4 es un cifrado heredado considerado inseguro por la investigación criptográfica. Aunque obsoleto en muchos sistemas modernos, en el caso de Microsoft permaneció habilitado por defecto. Esto permitió a los atacantes usar una técnica conocida como Kerberoasting para extraer credenciales de cuentas de servicio de Active Directory.

Detalles técnicos: Kerberoasting, cifrados predeterminados y vulnerabilidades explotables

Explicación del Kerberoasting: En un entorno de Active Directory, las cuentas de servicio con nombres principales de servicio (SPN) solicitan tickets de Kerberos. Si estos tickets están cifrados con algoritmos débiles como RC4, un atacante puede obtenerlos y luego realizar ataques fuera de línea (por ejemplo, fuerza bruta o criptoanálisis) para recuperar las credenciales o secretos de texto plano de la cuenta de servicio. En este caso, la oficina de Wyden afirma que la brecha de seguridad utilizó estos tickets protegidos con RC4.

RC4 Importancia: RC4 (Cifrado Rivest 4), un cifrador de flujo desarrollado a finales de la década de 1980, es conocido desde hace décadas por sus vulnerabilidades: sesgos en su flujo de claves y vulnerabilidad a la recuperación de texto plano. Los organismos de normalización (p. ej., IETF) han prohibido su uso en canales seguros, especialmente TLS, desde mediados de la década de 2010 debido a estas fallas. Microsoft seguía incluyendo compatibilidad con RC4 en Kerberos por defecto, lo que, según Wyden, "expone innecesariamente" a los clientes cuando se utilizan contraseñas débiles.

Seguridad de las contraseñas y cuentas de servicio: El senador también destaca que Microsoft no aplica políticas de contraseñas seguras (p. ej., mínimo de 14 caracteres, contraseñas generadas aleatoriamente) para las cuentas de servicio, ni exige el uso de cifrados más robustos (AES-128 o AES-256) para el cifrado de tickets de servicio Kerberos cuando se utilizan SPN. Estas políticas débiles, combinadas con un cifrado predeterminado deficiente, aumentan el riesgo de vulneración de credenciales.

Mitigaciones recomendadas por Microsoft: En respuesta a la carta de Wyden, Microsoft publicó una guía y anunció su plan para eliminar gradualmente el uso de RC4. También describió medidas como el uso de Cuentas de Servicio Administradas de Grupo (gMSA) o Cuentas de Servicio Administradas Delegadas (dMSA), la auditoría de cuentas con SPN, la actualización de los algoritmos de cifrado de tickets y la configuración de contraseñas seguras generadas aleatoriamente para cuentas con privilegios. Microsoft también reveló que los nuevos dominios de Active Directory que utilicen Windows Server 2025 tendrán RC4 deshabilitado de forma predeterminada a partir del primer trimestre de 2026.

Alegaciones regulatorias y políticas

La crítica del senador Wyden va más allá de una infracción singular. En su carta de cuatro páginas al presidente de la FTC, Andrew Ferguson, acusa a Microsoft de tener un problema sistémico: una "cultura de ciberseguridad negligente", agravada por su casi monopolio sobre los sistemas operativos empresariales. Wyden utiliza un lenguaje metafórico agudo, refiriéndose a Microsoft como "un pirómano que vende servicios de extinción de incendios a sus víctimas".
La carta afirma que las configuraciones predeterminadas de Microsoft (es decir, la habilitación de cifrado heredado e inseguro por defecto y políticas de contraseñas laxas) han debilitado con el tiempo las protecciones básicas en muchas organizaciones, en particular en el sector sanitario y las infraestructuras críticas. Se sugiere que la negligencia en las configuraciones predeterminadas no es solo un problema de TI, sino también un problema de seguridad nacional.

Respuesta de Microsoft

Se reconoce que RC4 es obsoleto y que Microsoft desaconseja su uso "en el desarrollo de nuestro software y en la documentación que ofrecemos a nuestros clientes". La compañía afirma que menos del 0,1 % de su tráfico aún utiliza RC4. Sin embargo, Microsoft también expresa su preocupación por la posibilidad de que la desactivación total e inmediata de RC4 pueda causar problemas de compatibilidad con los entornos existentes.

Microsoft se ha comprometido a eliminar gradualmente la compatibilidad con RC4, a la vez que continúa ofreciendo advertencias y orientación contundentes a sus clientes. Además, Microsoft señala que los nuevos dominios de AD en Windows Server 2025 deshabilitarán el cifrado RC4 de forma predeterminada.

Evaluación de riesgos de seguridad

Superficie de ataque y consecuencias en cascada: Cuando los proveedores de software permiten un cifrado débil por defecto o políticas de contraseñas débiles, ofrecen una presa fácil a los atacantes. Incluso los administradores de sistemas con conciencia de seguridad pueden heredar configuraciones que permiten RC4 o credenciales débiles, especialmente en entornos donde la continuidad y la compatibilidad con sistemas heredados son muy valoradas.
Explotación de vulnerabilidades: Los ataques de Kerberoasting no son especulativos; son conocidos, están documentados y se han utilizado con éxito en múltiples incidentes de vulneración. Una vez comprometidas las credenciales de las cuentas de servicio, los atacantes pueden actuar lateralmente, escalar privilegios y acceder a activos confidenciales. En entornos sanitarios, esto puede incluir datos personales de salud, dispositivos médicos de IoT e infraestructura crítica.
Implicaciones regulatorias y de confianza: Dado que Microsoft está profundamente integrado en muchas infraestructuras críticas y entornos empresariales, los fallos en la configuración de seguridad predeterminada trasladan automáticamente la responsabilidad de la defensa a organizaciones que podrían carecer de la experiencia, los recursos o la visibilidad para detectar dichas debilidades. El daño a la reputación y el riesgo de responsabilidad civil son considerables.

Implicaciones regulatorias

La acusación del senador Wyden plantea importantes preguntas sobre la responsabilidad del producto , las configuraciones de seguridad predeterminadas y la responsabilidad del proveedor . ¿Hasta qué punto deberían los proveedores de software rendir cuentas por las configuraciones de seguridad predeterminadas?
Herramientas regulatorias como la autoridad de la FTC para investigar "actos o prácticas desleales o engañosas" podrían aplicarse a la negligencia en la seguridad del software. Si se determina que Microsoft cometió negligencia, esto podría sentar un precedente sobre cómo se regulan las configuraciones predeterminadas, los estándares de cifrado y los requisitos de contraseñas en el software de uso generalizado.
También existe una cuestión normativa más amplia: seguridad por defecto vs. seguridad por opción . La postura de Wyden implica que las opciones predeterminadas deberían priorizar la seguridad, con mayor seguridad de las contraseñas, la desaprobación de algoritmos criptográficos débiles y configuraciones seguras integradas, no como opciones opcionales.

La carta del senador Wyden a la FTC destaca la confluencia de la ciberseguridad, la regulación y la responsabilidad corporativa. La filtración de datos de Ascension es más que un incidente aislado; sirve como caso práctico de cómo los valores predeterminados de software ampliamente utilizados, los estándares de cifrado débiles y la compatibilidad heredada pueden combinarse para precipitar ataques a gran escala contra infraestructuras críticas.

A medida que Microsoft comienza a eliminar gradualmente los cifrados inseguros y a publicar directrices, la pregunta central sigue siendo si los mecanismos regulatorios exigirán cambios más rápidos, aplicarán mejores valores predeterminados y responsabilizarán a los proveedores por facilitar el riesgo. Este asunto merece un análisis minucioso, no solo por parte de los investigadores de seguridad, sino también de los reguladores, los clientes empresariales y el público en general.

La declaración de quiebra del procesador de pagos de EnigmaSoft, Digital River GmbH, no afecta la protección antimalware de los clientes de SpyHunter

Buscar

Cambia región