Microsoft sufrió un hackeo en su base de datos en 2013, y no dijo nada a nadie
Según ha revelado Reuters, Microsoft sufrió un hackeo en 2013, y lo ocultó al público. En él se vio afectada la base de datos interna de la compañía donde recopilan las vulnerabilidades y fallos de seguridad de su software. Esta información ha sido desvelada a través de cinco antiguos empleados de la compañía, y supondría la segunda vez en la historia que se hackea una base de datos de este tipo.
Microsoft, en lugar de hacer público este hackeo como es conveniente hacer, no dijo nada sobre él ni al público ni a sus propios clientes después de que lo descubrieran en el año 2013. Además, incluso ahora mismo después de publicarse la noticia no quieren hacer declaraciones al respecto.
Esta base de datos fue vulnerada por “un sofisticado grupo de hacking”, que accedió a la base de datos interna de fallos de Microsoft, donde se recogen plenamente detalladas las vulnerabilidades críticas y sin parchear en el software más utilizado del mundo, incluyendo el sistema operativo Windows. Este tipo de vulnerabilidades son las más buscadas por los hackers y espías de todo el mundo, ya que permiten crear herramientas para entrar en dispositivos sin ser detectados.
Aunque es probable que las vulnerabilidades que obtuvieron en el hackeo se solucionaran en los meses posteriores, en ese periodo de tiempo cientos de millones de usuarios fueron vulnerables a cualquier tipo de ataques que permitieran las vulnerabilidades que Microsoft había recogido.
Todas las compañías tecnológicas miran con mucho mimo la seguridad de sus productos, ya que por muy bueno que sea, siempre acaban descubriéndose vulnerabilidades de todo tipo. Algunas como Apple, Google o Microsoft pagan a cambio de que los usuarios les envíen vulnerabilidades que descubren en sus sistemas operativos, pagándoles más si les envían una solución.
La compañía tampoco se esforzó en descubrir si se habían usado las vulnerabilidades con fines maliciosos
Después de conocer la filtración, Microsoft comprobó diversos a otras empresas para ver si había evidencias de que se habían usado sus herramientas. Así, al parecer, no encontraron que se hubiera usado ninguna de las vulnerabilidades sin parchear que tenían en su base de datos. A pesar de ello, los antiguos empleados afirman que el estudio había recogido muy pocos datos para ser concluyente.
Para evitar futuros hackeos, Microsoft se llevó la base de datos fuera de la red corporativa, y requiere dos verificaciones independientes para poder acceder a ella. Si estas herramientas se filtran al público, se dan casos como el de WannaCry que aprovecha vulnerabilidades sin parchear (la de WannaCry llevaba sólo parcheada un mes).
El grupo que al parecer accedió a la base de datos se hace llamar Morpho, y se aprovechó de una vulnerabilidad en el lenguaje de programación Java para entrar en los ordenadores Mac que Microsoft tenía. Los trabajadores afirman que la seguridad detrás de la base de datos era bastante mala.
