La filtración de correo electrónico en la nube de Microsoft en China puede revelar problemas más graves

Microsoft dijo la semana pasada que “nuestra investigación no encontró otros actores que usaran este patrón, y Microsoft ha tomado medidas para bloquear los abusos relacionados”. Pero si las claves de firma robadas podrían haberse usado para violar otros servicios, incluso si no se usaron de esta manera en incidentes recientes, el descubrimiento tiene implicaciones significativas para la seguridad de los servicios en la nube de Microsoft y otras plataformas.

El investigador Wiz escribió que el ataque “parece tener un alcance más amplio de lo que se esperaba originalmente”. Dicen: “Esto no es solo un problema de Microsoft. Cuando se filtran las claves de firma de Google, Facebook, Okta u otros importantes proveedores de identidad, las implicaciones son difíciles de entender”, agregó.

Pero los productos de Microsoft son omnipresentes en todo el mundo, y Luttwak de Wiz enfatiza que este incidente debería servir como una advertencia importante.

“Todavía hay preguntas que solo Microsoft puede responder. Por ejemplo, ¿cuándo se comprometió la clave? ¿Y cómo?” él dice: “Una vez que sepa eso, la siguiente pregunta es, ¿sabe que esta es la única clave que comprometieron?

En respuesta al ataque de China a las cuentas de correo electrónico en la nube del gobierno de EE. UU. de Microsoft, una campaña que los funcionarios estadounidenses han descrito públicamente como espionaje, Microsoft anunció la semana pasada que hará que una mayor parte de su servicio de registro en la nube sea gratuito para todos los clientes. Anteriormente, los clientes tenían que pagar una tarifa de licencia por el producto Purview Audit (Premium) de Microsoft para registrar datos.

“Pedir a las organizaciones que paguen más por el registro requerido es una receta para una visibilidad inadecuada de las investigaciones de incidentes de seguridad cibernética, y podría permitirles a los adversarios un nivel peligroso de éxito al atacar a las organizaciones estadounidenses”, escribió Eric Goldstein, subdirector de ciberseguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., en una publicación de blog publicada la semana pasada.

Desde que OpenAI presentó ChatGPT al mundo en noviembre pasado, el potencial de la IA generativa se ha generalizado. Pero el texto no es lo único que puede generar, y muchos de los nuevos daños de la tecnología apenas comienzan a reconocerse. Esta semana, Internet Watch Foundation (IWF), una organización benéfica de seguridad infantil con sede en el Reino Unido, dijo que estaba rastreando la web en busca de imágenes y videos de abuso sexual infantil y eliminándolos.

En junio, la organización benéfica comenzó a registrar imágenes de IA y dijo que encontró siete URL que compartían docenas de imágenes. Según la BBC, esto incluye una generación de IA de niñas de alrededor de 5 años que posan desnudas en posiciones sexuales. Otras imágenes eran mucho más vívidas. El contenido generado en su conjunto es solo una parte del material de abuso sexual infantil disponible en línea, pero su existencia preocupa a los expertos. IWF encontró orientación sobre cómo las personas pueden usar la IA para crear imágenes vívidas de niños, y dijo que crear imágenes, ilegal en muchos países, normaliza y tiene el potencial de alentar el comportamiento depredador hacia los niños.

Netflix lanzó la iniciativa en los EE. UU. y el Reino Unido a fines de mayo después de años de amenazar con aplicar medidas enérgicas globales contra el intercambio de contraseñas. Y el esfuerzo parece ir de acuerdo al plan. En las ganancias reportadas el jueves, la compañía dijo que había agregado 5,9 millones de nuevos suscriptores en los últimos tres meses, casi triplicando lo que habían pronosticado los analistas. Los suscriptores de transmisión estaban acostumbrados a compartir contraseñas y se mostraban reacios a las nuevas y estrictas reglas de Netflix, provocadas por el estancamiento de la inscripción de nuevos suscriptores. En última instancia, sin embargo, parece que al menos algunos de los que comparten la cuenta han mordido la bala y comenzaron a pagarse a sí mismos.