Comprender las complejidades de la política de privacidad de datos de Microsoft y los alarmantes acontecimientos relacionados con la privacidad.
En la actual era dominada por la tecnología y los datos, nuestra información personal está dispersa por toda la vasta extensión de Internet. A medida que aumenta nuestra dependencia de los medios digitales de comunicación, y más allá, se hace cada vez más importante comprender cómo manejan las empresas nuestros datos personales y privados.
¿Está la seguridad de nuestros datos realmente tan garantizada como la percibimos?
A pesar de que las empresas expresan intenciones claras de manejar los datos de forma segura, la aplicación práctica de estas intenciones en el panorama digital se enfrenta a numerosos retos. Microsoft, como uno de los gigantes de la industria tecnológica, llama naturalmente la atención.
Explorar las prácticas de este líder del sector no sólo revela su impacto en nuestras vidas digitales, sino que también plantea una pregunta sobre el nivel de confianza que depositamos en Microsoft y su compromiso de mantener a salvo nuestros datos.
Prácticas de Microsoft en materia de datos: Declaración de privacidad y consentimiento del usuario
Fundada en 1975 por Bill Gates y Paul Allen, Microsoft ha evolucionado hasta convertirse en una de las empresas tecnológicas más grandes e influyentes a nivel mundial, siendo la suite de software Microsoft Office utilizado por más de 1.200 millones de personas en todo el mundo; desde una perspectiva de la vida real, eso equivale aproximadamente a una de cada siete personas del planeta.
Desde los sistemas operativos Windows hasta el software de productividad Office, los productos de Microsoft cubren diversos aspectos de nuestra vida digital. De hecho, con Con más de 50 ofertas de productos diversos, desde servidores de correo electrónico y software para reuniones online hasta servicios de streaming y aplicaciones para hacer presentaciones, Microsoft se ha convertido en parte integrante de nuestras experiencias digitales cotidianas.
Dada la amplia gama de productos y su valor inherente, un número considerable de usuarios suele pasar por alto un aspecto crucial: la seguridad de sus datos una vez confiados a Microsoft.
Considera, por ejemplo, si has revisado los términos y condiciones antes de consentir el uso de los servicios ofrecidos por Microsoft. Si no es así, no eres el único.
Según una encuesta realizada por Deloitte, un sorprendente 91% de las personas aceptan las condiciones legales sin fijarse en los detalles. Más aún, entre los jóvenes de 18 a 34 años, un asombroso 97% de los individuos acepta las condiciones antes incluso de leerlas.
Para los que aún no han explorado declaración de privacidad de Microsoft, es imprescindible tener en cuenta algunas ideas clave. Entre ellas destaca la revelación de que:
“Microsoft recopila datos de ti, a través de nuestras interacciones contigo y a través de nuestros productos. Algunos de estos datos nos los proporcionas directamente, y otros los obtenemos recopilando datos sobre tus interacciones, uso y experiencias con nuestros productos.”
Además, Microsoft recopila datos sobre los usuarios de fuentes de terceros; de hecho, no sólo recopila sino que comparte los datos con un vasto repositorio de datos de 772 partes externas, como se pone de manifiesto en la Nueva actualización de Outlook. La pregunta que te puede surgir ¿Puedo excluirme de esta amplia recopilación de datos? La respuesta directa es sí; uno puede ir manualmente y excluirse de algunos de los consentimientos de privacidad que considere innecesarios. Sin embargo, es esencial señalar que no se puede acceder o controlar todos los datos personales procesados por Microsoft a través de la página de exclusión o del panel de privacidad de datos. Si los usuarios desean gestionar datos que no están disponibles a través de estas herramientas, tendrán que ponerse en contacto directamente con Microsoft.
La realidad, sin embargo, es que es poco probable que la mayoría de los usuarios emprendan este largo proceso “sólo” para garantizar la seguridad de sus datos.
La privacidad de Microsoft: Comprender las complejidades
Algunos pueden argumentar que la declaración de privacidad de datos por sí sola no es motivo suficiente para desconfiar de Microsoft con datos personales y privados. Algunos incluso pueden decir que sigue existiendo una perspectiva esperanzadora de que Microsoft gestiona la información que recopila y almacena de forma responsable, evitando que caiga en manos equivocadas.
Sin embargo, el verano pasado El ataque DDoS a Microsoft, que supuestamente provocó el robo de datos de 30 millones de cuentas de clientes, obliga a reconsiderarlo. A pesar de que Microsoft aseguró que no se había producido ningún robo, la declaración de Anonymous Sudán, el grupo hacktivista que supuestamente está detrás del ataque DDoS, afirmando que la venta de toda la base de datos de cuentas de clientes, junto con los posibles vínculos con grupos de hackers rusos, plantea preocupaciones legítimas.
Esto nos lleva a una pregunta fundamental: ¿Es Microsoft realmente el destino seguro que buscamos para nuestros datos?
Ataque DDoS a Microsoft, junio de 2023
En junio de 2023, Microsoft fue víctima del más sonado ataque distribuido de denegación de servicio (DDoS) . El ataque se caracterizó por oleadas de tráfico que se tradujeron en una disponibilidad limitada (o nula) de determinados servicios. La causa de esta perturbación fue lo que los grupos contrarios a Microsoft denominan “Storm-1359” – un actor de amenazas asociado con el famoso grupo de hackers, Anonymous Sudán.
El grupo de hackers afirma haber entrado en los servidores de Microsoft y haber robado las credenciales de 30 millones de cuentas de clientes, obteniendo acceso a cuentas, correos electrónicos y contraseñas. A continuación, ofrecieron vender esta base de datos por 50.000 dólares, animando a los posibles compradores a adquirir los datos robados a través de su bot de Telegram.
Anonymous Sudán ya se había hecho notar con una serie de ataques DDoS dirigidos contra entidades de Suecia, Dinamarca, Estados Unidos, Australia y otras naciones desde principios de 2023. Aunque afirman tener su base original en Sudán, los investigadores de amenazas identifican posibles vínculos logísticos e ideológicos con Rusia.
La complejidad aumenta si se tiene en cuenta que Anonymous Sudán puede haber utilizado a botnet, una red de ordenadores infectados por malware, operada por Legión Zarya, grupo hacktivista prorruso, por su ataque DDoS de junio de 2023. Se ha postulado que Zarya Legion buscaba vengarse de Microsoft por haber cerrado la botnet Zloader, una entidad supuestamente asociada a ellos.
La Legión Zarya, antes de convertirse en entidad propia, funcionaba como una unidad de fuerzas especiales al mando de Killnet – un El grupo hacktivista alineado con Rusia que adquirió prominencia durante la guerra entre Rusia y Ucrania; se cree que Killnet, a su vez, ha colaborado tanto con Anonymous Sudán como con XakNet, un grupo que se considera que se coordina con actores de ciberamenazas patrocinados por la Dirección Principal de Inteligencia rusa (GRU), creando todos ellos una compleja red de organizaciones hacktivistas interconectadas.
Con Anonymous Sudán situado a la vanguardia de esta cadena descubierta de grupos hacktivistas, resulta difícil imaginar a cualquiera de estas entidades como depositarias seguras de dónde podrían haber ido a parar tus datos, en caso de que la afirmación de Anonymous Sudán fuera cierta.
Respuesta de Microsoft al ataque DDoS, junio de 2023
A pesar de admitir la ocurrencia de un atentado, Microsoft negó las afirmaciones de Anonymous Sudan y declaró que “no ha visto ninguna prueba de que se haya accedido a los datos de los clientes o se hayan visto comprometidos”.
En respuesta, Microsoft publicó recomendaciones para los usuarios sobre cómo mitigar el impacto de los ataques DDoS de capa 7, aconsejándoles que utilicen servicios de protección de capa 7 como Azure Web Application Firewall (WAF), accesible a través de Azure Front Door y Azure Application Gateway, desarrollado específicamente para proteger las aplicaciones web.
Aunque el consejo de Microsoft a los usuarios parece razonable, aplicarlo con Azure no es tan sencillo. Azure Web Application Firewall (WAF) de Microsoft es un servicio de seguridad integrado en la plataforma en nube Microsoft Azure. Azure, una amplia plataforma de computación en nube, abarca una diversa gama de servicios, que abarcan potencia de cálculo, almacenamiento, bases de datos, redes y servicios de seguridad.
Almacenamiento Azure no seguro: Fuga de datos, septiembre de 2023
Desde julio de 2020, la división de investigación de IA de Microsoft inadvertidamente expuso una cantidad considerable de datos sensibles, en total 38 terabytes. La fuga incluía un copia de seguridad en disco de las estaciones de trabajo de dos empleados, que contenía información confidencial como secretos, claves privadas, contraseñas y más de 30.000 mensajes internos de Microsoft Teams. Esto ocurrió mientras la división contribuía a modelos de aprendizaje de IA de código abierto en un repositorio público de GitHub.
Como afirma BleepingComputer, la revelación llegó casi tres años después, en 2023, cuando La empresa de seguridad en la nube Wiz descubrió el incidente. Los investigadores de seguridad de Wiz descubrieron que un empleado de Microsoft compartió sin querer la URL de un cubo de almacenamiento Azure Blob mal configurado con la información filtrada. Se descubrió que los investigadores de Microsoft habían utilizado una función de Azure llamada Tokens SAS para compartir sus archivos. Aunque los Tokens SAS suelen permitir compartir archivos específicos, en este caso, el enlace estaba configurado para compartir toda la cuenta de almacenamiento, exponiendo 38 terabytes adicionales de archivos privados.
Como menciona Wiz, este incidente pone de manifiesto un nuevo riesgo al que se enfrentan las organizaciones, especialmente en el campo de la investigación de la IA, donde los grandes conjuntos de datos son cruciales para entrenar modelos. A medida que los científicos de datos y los ingenieros se apresuran a desarrollar nuevas soluciones de IA, “las cantidades masivas de datos que manejan requieren medidas de seguridad y salvaguardias mejoradas”. El director técnico y cofundador de Wiz, Ami Luttwak, dijo a BleepingComputer.
En respuesta al descubrimiento, el El equipo del Centro de Respuesta de Seguridad de Microsoft (MSRC) emitió un aviso, asegurando que no se expusieron datos de clientes, y que ningún otro servicio interno se vio comprometido como resultado de este incidente.
¿No resulta paradójico que, en un esfuerzo por mitigar un ataque DDoS, se dirija a los usuarios hacia una solución integrada en una plataforma que parece estar intrínsecamente comprometida? Además, aunque Microsoft negó una vez más que los datos de los usuarios estuvieran comprometidos, la frecuencia de estas declaraciones suscita algunas dudas, ¿no?
Actualización de Microsoft Outlook y problemas de privacidad subsiguientes, noviembre de 2023
Por último, consideremos un escenario en el que tu uso de los productos y servicios de Microsoft se limita únicamente a Microsoft Outlook (para las comunicaciones por correo electrónico). ¿Qué impacto podría tener esta elección de proveedor de correo electrónico? Por desgracia, con la última actualización de Outlook, bastante.
Como menciona StartMail, la última versión de Outlook tiene un fallo de seguridad que podría llevar a compartir involuntariamente tu SMTP (Protocolo simple de transferencia de correo) y IMAP (Internet Message Access Protocol), así como todos tus correos electrónicos, con los servidores de Microsoft cuando añades una cuenta nueva.
El problema fue descubierto por primera vez por Heise.de y significa que al añadir una nueva cuenta, das acceso a Microsoft para que lea y analice todos los correos electrónicos que envíes y recibas. Aunque puedas ir a la versión anterior de la aplicación en cualquier momento, los datos ya se habrían almacenado y sincronizado.
¿Cómo puedes proteger tus datos?
La decisión de confiar o no tus datos a Microsoft y designarlo como depositario de tu información más personal y privada es enteramente tuya. Sin embargo, si te encuentras explorando opciones alternativas, vBoxx agradece la oportunidad de mostrarte los productos y servicios que ofrecemos.
vBoxx, al estar alojado en los Países Bajos, es una solución conforme al RGPD para el almacenamiento, intercambio de datos y más. Comprometido con la protección de la privacidad y con garantizar la seguridad en cada interacción en línea, vBoxx configura un entorno digital basado en la confianza. Con un centro de alojamiento seguro, servicios en la nube confiables y un gestor de contraseñas de confianza, vBoxx se presenta como tu destino integral para soluciones de productividad digital y seguridad. Ten la seguridad de que vBoxx mantiene un estricto compromiso con la privacidad, asegurando que tus datos no sean vendidos, compartidos con terceros ni utilizados para fines no previstos.
¿Interesado? No dudes en ponerte en contacto con nosotros a través de nuestra página de contacto o llamandonos. ¡Estamos ansiosos por presentarte un mundo de privacidad y seguridad digital completa!
