Respuesta Oficial de Microsoft a Wanacrypt

El día 14 de mayo (2 días después de la 1º fase del ataque del WanaCry, Brad Smith, el director del Dpto. Legal de Microsoft, publicó un post sobre lo sucedido.

Me hubiera gustado publicarla antes pero entre una cosa y otra se me ha complicado.

En ella se nos invita a una reflexión sobre lo que ha pasado pero también se puede leer entrelineas «cierto cabreo» que quizás llevan al Sr. Smith apuntar ciertas verdades muy interesantes.

Os voy a poner el original como una traducción (maquina) para aquellos que os resulte incómodo leerlo en inglés.

Original (Inglés)
Original (Inglés)

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

Posted by Brad Smith – President and Chief Legal Officer

Early Friday morning the world experienced the year’s latest cyberattack.

Starting first in the United Kingdom and Spain, the malicious “WannaCrypt” software quickly spread globally, blocking customers from their data unless they paid a ransom using Bitcoin. The WannaCrypt exploits used in the attack were drawn from the exploits stolen from the National Security Agency, or NSA, in the United States. That theft was publicly reported earlier this year. A month prior, on March 14, Microsoft had released a security update to patch this vulnerability and protect our customers. While this protected newer Windows systems and computers that had enabled Windows Update to apply this latest update, many computers remained unpatched globally. As a result, hospitals, businesses, governments, and computers at homes were affected.

All of this provides the broadest example yet of so-called “ransomware,” which is only one type of cyberattack. Unfortunately, consumers and business leaders have become familiar with terms like “zero day” and “phishing” that are part of the broad array of tools used to attack individuals and infrastructure. We take every single cyberattack on a Windows system seriously, and we’ve been working around the clock since Friday to help all our customers who have been affected by this incident. This included a decision to take additional steps to assist users with older systems that are no longer supported. Clearly, responding to this attack and helping those affected needs to be our most immediate priority.

At the same time, it’s already apparent that there will be broader and important lessons from the “WannaCrypt” attack we’ll need to consider to avoid these types of attacks in the future. I see three areas where this event provides an opportunity for Microsoft and the industry to improve.

As a technology company, we at Microsoft have the first responsibility to address these issues. We increasingly are among the first responders to attacks on the internet. We have more than 3,500 security engineers at the company, and we’re working comprehensively to address cybersecurity threats. This includes new security functionality across our entire software platform, including constant updates to our Advanced Threat Protection service to detect and disrupt new cyberattacks. In this instance, this included the development and release of the patch in March, a prompt update on Friday to Windows Defender to detect the WannaCrypt attack, and work by our customer support personnel to help customers afflicted by the attack.

But as this attack demonstrates, there is no cause for celebration. We’ll assess this attack, ask what lessons we can learn, and apply these to strengthen our capabilities. Working through our Microsoft Threat Intelligence Center (MSTIC) and Digital Crimes Unit, we’ll also share what we learn with law enforcement agencies, governments, and other customers around the world.

Second, this attack demonstrates the degree to which cybersecurity has become a shared responsibility between tech companies and customers. The fact that so many computers remained vulnerable two months after the release of a patch illustrates this aspect. As cybercriminals become more sophisticated, there is simply no way for customers to protect themselves against threats unless they update their systems. Otherwise they’re literally fighting the problems of the present with tools from the past. This attack is a powerful reminder that information technology basics like keeping computers current and patched are a high responsibility for everyone, and it’s something every top executive should support.

At the same time, we have a clear understanding of the complexity and diversity of today’s IT infrastructure, and how updates can be a formidable practical challenge for many customers. Today, we use robust testing and analytics to enable rapid updates into IT infrastructure, and we are dedicated to developing further steps to help ensure security updates are applied immediately to all IT environments.

Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen. And this most recent attack represents a completely unintended but disconcerting link between the two most serious forms of cybersecurity threats in the world today – nation-state action and organized criminal action.

The governments of the world should treat this attack as a wake-up call. They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits. This is one reason we called in February for a new “Digital Geneva Convention” to govern these issues, including a new requirement for governments to report vulnerabilities to vendors, rather than stockpile, sell, or exploit them. And it’s why we’ve pledged our support for defending every customer everywhere in the face of cyberattacks, regardless of their nationality. This weekend, whether it’s in London, New York, Moscow, Delhi, Sao Paulo, or Beijing, we’re putting this principle into action and working with customers around the world.

We should take from this recent attack a renewed determination for more urgent collective action. We need the tech sector, customers, and governments to work together to protect against cybersecurity attacks. More action is needed, and it’s needed now. In this sense, the WannaCrypt attack is a wake-up call for all of us. We recognize our responsibility to help answer this call, and Microsoft is committed to doing its part.

About the Author

President and Chief Legal Officer

Brad Smith is Microsoft’s president and chief legal officer. Smith plays a key role in representing the company externally and in leading the company’s work on a number of critical issues including privacy, security, accessibility, environmental sustainability and digital inclusion, among others.


La necesidad de una urgente acción colectiva para mantener a las personas seguras en linea: Lecciones del ciberataque de la semana pasada.

Posted por Brad Smith – Presidente y Jefe de la Oficina Legal

El viernes por la mañana temprano, el mundo experimentó el último ciberataque del año.

Comenzando primero en el Reino Unido y España, el software malicioso «WannaCrypt» rápidamente se extendió a nivel mundial, bloqueando a los clientes de sus datos a menos que pagaran un rescate utilizando Bitcoin. Las hazañas de WannaCrypt usadas en el ataque fueron extraídas de las hazañas robadas de la Agencia de Seguridad Nacional, o NSA, en los Estados Unidos. Ese robo fue reportado públicamente a principios de este año. Un mes antes, el 14 de marzo, Microsoft había lanzado una actualización de seguridad para corregir esta vulnerabilidad y proteger a nuestros clientes. Mientras que esto protegía los nuevos sistemas Windows y los equipos que habían habilitado Windows Update para aplicar esta última actualización, muchos equipos permanecían sin revisión en todo el mundo. Como resultado, los hospitales, las empresas, los gobiernos y las computadoras de los hogares se vieron afectados.

Todo esto proporciona el ejemplo más amplio aún de los llamados «ransomware», que es sólo un tipo de ciberataque. Desafortunadamente, los consumidores y los líderes empresariales se han familiarizado con términos como «día cero» y «phishing» que forman parte de la amplia gama de herramientas utilizadas para atacar a individuos e infraestructura. Tomamos cada ciberataque en un sistema Windows en serio, y hemos estado trabajando todo el día desde el viernes para ayudar a todos nuestros clientes que se han visto afectados por este incidente. Esto incluyó la decisión de tomar medidas adicionales para ayudar a los usuarios con sistemas antiguos que ya no son compatibles. Claramente, responder a este ataque y ayudar a los afectados debe ser nuestra prioridad más inmediata.

Al mismo tiempo, ya es evidente que habrá lecciones más amplias e importantes del ataque «WannaCrypt» que deberemos considerar para evitar este tipo de ataques en el futuro. Veo tres áreas en las que este evento ofrece una oportunidad para que Microsoft y la industria mejoren.

Como empresa de tecnología, Microsoft tiene la primera responsabilidad de abordar estos problemas. Estamos cada vez más entre los primeros en responder a los ataques en Internet. Tenemos más de 3.500 ingenieros de seguridad en la compañía, y estamos trabajando exhaustivamente para enfrentar las amenazas de seguridad cibernética. Esto incluye una nueva funcionalidad de seguridad en toda nuestra plataforma de software, incluyendo actualizaciones constantes de nuestro servicio de Protección Avanzada de Amenazas para detectar y interrumpir nuevos ataques cibernéticos. En este caso, esto incluyó el desarrollo y lanzamiento del parche en marzo, una actualización puntual el viernes a Windows Defender para detectar el ataque WannaCrypt, y el trabajo de nuestro personal de soporte al cliente para ayudar a los clientes afectados por el ataque.

Pero como demuestra este ataque, no hay motivo para celebrar. Evaluaremos este ataque, nos preguntaremos qué lecciones podemos aprender y aplicarlas para fortalecer nuestras capacidades. Trabajando a través de nuestro Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y la Unidad de Delitos Digitales, también compartiremos lo que aprendemos con agencias de aplicación de la ley, gobiernos y otros clientes en todo el mundo.

En segundo lugar, este ataque demuestra hasta qué punto la ciberseguridad se ha convertido en una responsabilidad compartida entre las empresas de tecnología y los clientes. El hecho de que muchas computadoras permanecieran vulnerables dos meses después del lanzamiento de un parche ilustra este aspecto. A medida que los cibercriminales se vuelven más sofisticados, simplemente no hay forma de que los clientes se protejan contra amenazas a menos que actualicen sus sistemas. De lo contrario, están literalmente luchando contra los problemas del presente con herramientas del pasado. Este ataque es un poderoso recordatorio de que los fundamentos de la tecnología de la información como mantener las computadoras actualizadas y parcheadas son una alta responsabilidad para todos, y es algo que todos los ejecutivos deben apoyar.

Al mismo tiempo, tenemos una comprensión clara de la complejidad y diversidad de la infraestructura de TI de hoy, y cómo las actualizaciones pueden ser un desafío práctico formidable para muchos clientes. Hoy en día, utilizamos pruebas y análisis robustos para permitir actualizaciones rápidas en la infraestructura de TI y nos dedicamos a desarrollar más pasos para ayudar a garantizar que las actualizaciones de seguridad se apliquen inmediatamente a todos los entornos de TI.

Por último, este ataque proporciona otro ejemplo más de por qué el almacenamiento de vulnerabilidades por los gobiernos es un problema. Este es un patrón emergente en 2017. Hemos visto vulnerabilidades almacenadas por la CIA aparecer en WikiLeaks, y ahora esta vulnerabilidad robada de la NSA ha afectado a clientes de todo el mundo. En repetidas ocasiones, explotaciones en manos de los gobiernos se han filtrado al dominio público y causado daños generalizados. Un escenario equivalente con armas convencionales sería el de los militares estadounidenses con algunos de sus misiles Tomahawk robados. Y este ataque más reciente representa un vínculo completamente involuntario pero desconcertante entre las dos formas más graves de amenazas de ciberseguridad en el mundo actual: la acción del Estado-nación y la acción criminal organizada.

Los gobiernos del mundo deben tratar este ataque como una llamada de atención. Necesitan adoptar un enfoque diferente y adherirse al ciberespacio a las mismas reglas aplicadas a las armas en el mundo físico. Necesitamos que los gobiernos consideren los daños a los civiles que provienen de la acumulación de estas vulnerabilidades y el uso de estas hazañas. Esta es una de las razones por las que llamamos en febrero a una nueva «Convención Digital de Ginebra» para gobernar estos temas, incluyendo un nuevo requisito para que los gobiernos reporten vulnerabilidades a los vendedores, en lugar de almacenarlos, venderlos o explotarlos. Y es por eso que hemos prometido nuestro apoyo a la defensa de cada cliente en todo el mundo frente a los ciberataques, independientemente de su nacionalidad. Este fin de semana, ya sea en Londres, Nueva York, Moscú, Delhi, Sao Paulo o Beijing, pondremos este principio en acción y trabajaremos con clientes de todo el mundo.

Debemos tomar de este reciente ataque una renovada determinación para una acción colectiva más urgente. Necesitamos que el sector tecnológico, los clientes y los gobiernos trabajen juntos para protegerse contra los ataques cibernéticos. Se necesita más acción, y se necesita ahora. En este sentido, el ataque WannaCrypt es una llamada de atención para todos nosotros. Reconocemos nuestra responsabilidad de ayudar a responder a esta llamada, y Microsoft se compromete a hacer su parte.

About the Author

Presidente y jefe de la Oficina Legal

Brad Smith es el presidente y director jurídico de Microsoft. Smith juega un papel clave en representar a la empresa externamente y en liderar el trabajo de la compañía en una serie de asuntos críticos como privacidad, seguridad, accesibilidad, sostenibilidad ambiental e inclusión digital, entre otros.privacy, security, accessibility, environmental sustainability and digital inclusion, among others.




Sé el primero en comentar

Deja un comentario