Microsoft enfrenta una tormenta de críticas tras revelarse que el mantenimiento de SharePoint, su popular software de colaboración recientemente hackeado por grupos chinos, ha estado en manos de un equipo de ingenieros radicados en China. La polémica surge semanas después de que la compañía admitiera que atacantes patrocinados por el Estado chino explotaron vulnerabilidades en SharePoint para acceder a sistemas de cientos de empresas y agencias gubernamentales de Estados Unidos, incluyendo la Administración Nacional de Seguridad Nuclear y el Departamento de Seguridad Nacional (DHS).
Lo que Microsoft no mencionó en su comunicado inicial es que el soporte técnico de SharePoint «OnPrem» (la versión instalada en servidores locales) ha sido responsabilidad de su equipo en China durante años. ProPublica accedió a capturas internas de Microsoft que muestran a ingenieros chinos corrigiendo fallos de seguridad en la misma versión de SharePoint comprometida en los ataques.
Aunque Microsoft asegura que este equipo trabaja bajo la supervisión de un ingeniero con sede en EE.UU. y que está sujeto a rigurosos controles de seguridad y revisiones de código, la alarma ya está encendida. Expertos en ciberseguridad advierten que permitir a personal basado en China dar soporte técnico a sistemas del gobierno estadounidense es un riesgo mayúsculo, especialmente considerando las leyes chinas que otorgan al gobierno acceso total a los datos de sus ciudadanos y empresas.
¿Cómo llegó Microsoft a este punto?
ProPublica reveló que, desde hace más de una década, Microsoft ha confiado en trabajadores extranjeros —incluidos equipos en China— para mantener sistemas sensibles del Departamento de Defensa de EE.UU. Para intentar mitigar los riesgos, la compañía implementó un esquema de «escoltas digitales», supervisores estadounidenses encargados de vigilar el trabajo de los ingenieros foráneos. Sin embargo, muchos de estos escoltas carecen de los conocimientos técnicos profundos para auditar efectivamente el trabajo de sus contrapartes chinas.
Gracias a esta estrategia, Microsoft consiguió contratos millonarios en el sector gubernamental. Solo el negocio de computación en la nube de Microsoft Azure ha sido clave en la escalada de la compañía como una de las más valiosas del mundo, superando recientemente los 4 billones de dólares en capitalización bursátil.
La respuesta de Microsoft y el gobierno de EE.UU.
En respuesta al creciente escándalo, Microsoft ha anunciado que cesará el uso de ingenieros chinos para dar soporte a los sistemas en la nube del Departamento de Defensa. También evalúa extender esta medida a otros clientes gubernamentales. Además, el Secretario de Defensa, Pete Hegseth, ordenó una revisión exhaustiva sobre la dependencia de ingenieros extranjeros en sistemas críticos.
El hackeo a SharePoint, según Microsoft, comenzó a principios de julio, y aunque lanzaron un parche de emergencia, los atacantes lograron sortearlo, obligando a la compañía a emitir una segunda actualización con «protecciones más robustas». La Agencia de Seguridad Cibernética e Infraestructura (CISA) advirtió que las vulnerabilidades permitieron a los hackers acceso total al contenido de SharePoint, ejecución remota de código, y la propagación de ransomware.
A pesar de la gravedad del incidente, tanto el DHS como el Departamento de Energía aseguraron que no hay evidencia de que información sensible o clasificada haya sido comprometida. Sin embargo, el daño a la reputación de Microsoft está hecho.
La jugada de Microsoft: migrar a la nube y aumentar sus ingresos
Mientras tanto, Microsoft ya ha anunciado que a partir de julio del próximo año dejará de dar soporte a las versiones locales (on-premises) de SharePoint, empujando a sus clientes a adoptar la versión en la nube, una estrategia que no solo incrementará sus ingresos por suscripciones, sino que también trasladará la responsabilidad de seguridad a sus servidores de Azure.
Pero tras el reciente hackeo y la exposición de que equipos en China han estado involucrados en el mantenimiento de productos tan sensibles, la presión sobre Microsoft para reforzar sus prácticas de seguridad nunca ha sido tan intensa