Los legisladores republicanos interrogaron el jueves a un alto ejecutivo de Microsoft sobre la presencia de la compañía en China, aproximadamente un año después de que piratas informáticos chinos utilizaran los sistemas del gigante tecnológico para lanzar un ataque devastador a las redes del gobierno federal.
Varios miembros del Comité de Seguridad Nacional de la Cámara de Representantes preguntaron al presidente de Microsoft, Brad Smith, durante una audiencia de una hora de duración, cómo un contratista crítico del gobierno estadounidense como Microsoft podía mantener un negocio en China, que según Smith era de alrededor del 1,4 o 1,5 por ciento. de las ventas de la empresa.
“¿Realmente vale la pena?” preguntó el representante Carlos Giménez, republicano de Florida.
Smith argumentó que las operaciones de Microsoft en China servían a los intereses estadounidenses al proteger los secretos comerciales de los clientes estadounidenses de Microsoft que operan allí y aprender de lo que sucede en el resto del mundo.
Añadió que Microsoft había rechazado las solicitudes del gobierno chino para revelar información confidencial. “Les diré que hay días en que le hacen preguntas a Microsoft, vienen a mi escritorio y digo: 'No'”, dijo.
La audiencia fue una respuesta a un mordaz informe de marzo del Comité de Revisión de Ciberseguridad del Departamento de Seguridad Nacional. El informe detalla cómo “una cascada de violaciones de seguridad en Microsoft” permitió que un equipo de hackers llamado Storm-0558, que según el informe era un grupo de espías afiliado al gobierno chino, se infiltrara en los sistemas de correo electrónico de Microsoft en mayo y junio del año pasado.
El informe critica a Microsoft por tener “una cultura corporativa que prioriza las inversiones en seguridad corporativa y una gestión de riesgos rigurosa” y dice que las prácticas de ciberseguridad de la empresa son esenciales para la seguridad nacional porque “los productos y servicios de Microsoft son omnipresentes”.
Los piratas informáticos de alguna manera obtuvieron una clave digital (lo que el informe llama “gemas criptográficas”) para los mecanismos de seguridad de Microsoft que les permiten falsificar las credenciales de otros usuarios. Comprometieron las cuentas de 22 organizaciones y más de 500 personas en todo el mundo, incluida la secretaria de Comercio, Gina M. Raimondo, y el embajador de Estados Unidos en China, Nicholas Burns. Se descargaron más de 60.000 correos electrónicos sólo de la red informática del Departamento de Estado, que descubrió la falla.
La intrusión “nunca debería haber ocurrido”, según el informe. Microsoft aún no sabe cómo obtuvieron los piratas informáticos la clave digital. También criticó a Microsoft por hacer declaraciones públicas inexactas sobre el hackeo en el otoño.
Microsoft ha cruzado una línea delicada en China. Ha cerrado algunos negocios, como la red social profesional LinkedIn, pero ofrece servicios de computación en la nube en China y también alberga allí equipos de ingeniería y un popular laboratorio de investigación.
Smith dijo en la audiencia que Microsoft había reducido su presencia de ingeniería en China y el mes pasado propuso trasladar a 700 u 800 empleados que “tendrían que abandonar China para conservar sus empleos”.
Los altos ejecutivos de la compañía, incluido el Sr. Smith y el director ejecutivo Satya Nadella, han debatido el futuro del laboratorio de investigación e instituido barreras que impiden a los investigadores realizar trabajos políticamente sensibles, informó el New York Times en enero.
Smith prometió un esfuerzo de seguridad urgente dentro de Microsoft a través de lo que llamó “el proyecto de ingeniería de ciberseguridad más grande en la historia de la tecnología digital”.
A pesar del duro informe sobre las violaciones de seguridad de Microsoft, los legisladores en la audiencia no cuestionaron agresivamente al Sr. Smith y en cambio se centraron en cómo el gobierno y el sector privado podrían trabajar juntos.
“Esta no es una audiencia engañosa”, dijo en sus comentarios de apertura el representante Bennie Thompson de Mississippi, el principal demócrata del comité.
Smith sorprendió a los legisladores cuando describió la magnitud del desafío. Dijo que Microsoft detecta más de 300 millones de ataques por día contra sus clientes.
Microsoft reveló otro ataque en enero, realizado por un grupo patrocinado por la inteligencia rusa, que el informe no cubrió.
En noviembre, Microsoft anunció una amplia revisión de sus prácticas de seguridad, su mayor iniciativa de seguridad en dos décadas, y anunció en mayo que vincularía la remuneración de sus altos ejecutivos al progreso de la revisión.
Smith dijo que el directorio de la compañía había aprobado un plan para vincular un tercio de las bonificaciones por desempeño individual de los altos ejecutivos a la ciberseguridad. También dijo que todos los empleados de Microsoft serían evaluados en ciberseguridad durante sus revisiones de desempeño semestrales.
Los competidores de Microsoft aprovecharon su vulnerabilidad. NetChoice, un grupo comercial cuyos patrocinadores incluyen a Google, Amazon y Meta, publicó una encuesta de votantes que critica la dependencia del gobierno de Microsoft. NetChoice y varios otros grupos comerciales respaldados por la competencia han enviado cartas a funcionarios de la administración de Biden pidiendo al gobierno que utilice una variedad más amplia de proveedores de tecnología.
Una empresa de relaciones públicas que incluye a Google como cliente envía correos electrónicos periódicamente a los periodistas cuando surgen noticias negativas sobre los ataques a Microsoft, y en ocasiones se ofrece a hablar con expertos. Esta semana, la empresa de software empresarial Salesforce envió un comentario a los periodistas promocionando su cultura de seguridad.
Andy Jassy, director ejecutivo de Amazon, dijo a los inversores a finales de abril que la seguridad sería clave para que los clientes elijan qué servicios de IA utilizar.
“Si se presta atención a lo que ha sucedido en los últimos años”, dijo, “no todos los proveedores tienen el mismo historial. »