Microsoft promete una revisión de la ciberseguridad para proteger sus productos y servicios

Microsoft ha anunciado el lanzamiento de la Iniciativa Futuro Seguro (SFI) para mejorar la seguridad integrada de sus productos y plataformas con el fin de proteger mejor a los clientes frente a las crecientes amenazas a la ciberseguridad. La nueva iniciativa reunirá a "todas las partes de Microsoft" para avanzar en la protección de la ciberseguridad incorporando tres pilares centrados en ciberdefensas basadas en IA, avances en ingeniería de software fundamental y defensa de una aplicación más firme de las normas internacionales, declaró Brad Smith, vicepresidente y presidente de Microsoft.

"En los últimos meses, en Microsoft hemos llegado a la conclusión de que la creciente velocidad, escala y sofisticación de los ciberataques exigen una nueva respuesta", afirmó Smith. El anuncio se produce tras las recientes críticas a Microsoft sobre la seguridad de sus productos y servicios en relación con una importante brecha que afectó a su plataforma Azure.

Las ciberamenazas actuales proceden de operaciones bien financiadas y ‘hackers’ expertos

Las ciberamenazas de hoy en día emanan de operaciones bien financiadas y de hábiles hackers que emplean las herramientas y técnicas más avanzadas, escribió Smith. "Tanto si trabajan por motivos geopolíticos como financieros, estos estados-nación y grupos criminales evolucionan constantemente sus prácticas y amplían sus objetivos, sin dejar ningún país, organización, individuo, red o dispositivo fuera de su punto de mira". Estos actores de amenazas no sólo comprometen máquinas y redes, sino que también plantean graves riesgos para las personas y las sociedades, añadió. "Requieren una nueva respuesta basada en nuestra capacidad para utilizar nuestros propios recursos y nuestras tecnologías y prácticas más sofisticadas".

Microsoft apuesta por la inteligencia mejorada por IA, la respuesta a las amenazas y los principios de seguridad

Microsoft se ha comprometido a construir un escudo cibernético basado en la IA que proteja a clientes y países de todo el mundo, afirmó Smith. "Nuestra red global de centros de datos basados en IA y el uso de modelos avanzados de IA fundacional nos sitúan en una posición sólida para poner la IA a trabajar para avanzar en la protección de la ciberseguridad. Como parte de nuestro SFI, continuaremos acelerando este trabajo en múltiples frentes".

En primer lugar, Microsoft está dando nuevos pasos para utilizar la IA para avanzar en su inteligencia de amenazas con el Centro de Análisis de Amenazas de Microsoft (MTAC) utilizando herramientas y técnicas avanzadas de IA para detectar y analizar las amenazas cibernéticas. "Estamos extendiendo estas capacidades directamente a los clientes, incluso a través de nuestras tecnologías de seguridad de Microsoft, que recopila y analiza datos de clientes de múltiples fuentes", según Smith. "Mientras que los actores de amenazas buscan esconder sus amenazas como una aguja en un inmenso pajar de datos, la IA permite cada vez más encontrar la aguja correcta incluso en un mar de agujas". Junto con una red mundial de centros de datos, Microsoft pretende utilizar la IA para detectar amenazas a una velocidad tan rápida como la propia Internet, aseguró Smith.

En segundo lugar, Microsoft está utilizando la IA como un "cambio de juego" para todas las organizaciones para ayudar a derrotar los ciberataques a la velocidad de la máquina. "Con una escasez mundial de más de tres millones de personas, las organizaciones necesitan toda la productividad que puedan reunir de su personal de ciberseguridad. Además, la velocidad, la escala y la sofisticación de los ataques crean una asimetría en la que es difícil para las organizaciones prevenir e interrumpir los ataques a escala", dijo Smith. Security Copilot de Microsoft combina un modelo de lenguaje amplio (LLM) con un modelo específico de seguridad que cuenta con diversas habilidades y conocimientos procedentes de la inteligencia sobre amenazas de Microsoft, generando conocimientos y recomendaciones en lenguaje natural a partir de datos complejos para ayudar a que los analistas sean más eficaces y reactivos, insistió.

En tercer lugar, Microsoft está asegurando la IA en sus servicios basándose en sus principios de IA responsable, dijo Smith. "Reconocemos que estas nuevas tecnologías de IA deben avanzar con sus propias salvaguardas de seguridad y protección. Por eso estamos desarrollando y desplegando la IA en nuestros servicios basándonos en nuestros principios y prácticas de IA responsable. Estamos centrados en la evolución de estas prácticas para seguir el ritmo de los cambios en la propia tecnología". Microsoft también se está comprometiendo a crear una protección más sólida basada en la IA para gobiernos y países. "Justo la semana pasada, anunciamos que gastaremos 3.200 millones de dólares para ampliar nuestra infraestructura de computación en la nube a hiperescala y de IA en Australia, incluido el desarrollo del Escudo Cibernético de la Dirección de Señales de Microsoft-Australia (MACS)", escribió Smith. Esto mejorará la capacidad conjunta de Microsoft para identificar, prevenir y responder a las ciberamenazas, incidió.

Microsoft transformará su ciclo de vida de desarrollo de 'software'

Además de nuevas capacidades de IA, un futuro más seguro requerirá nuevos avances en la ingeniería fundamental del software, dijo Smith. Como parte de su SFI, Microsoft está lanzando un nuevo estándar de seguridad mediante el avance de la forma en que diseña, construye, prueba y opera su tecnología, añadió.

En primer lugar, Microsoft "transformará la forma" en que desarrolla software con automatización e IA. "Los desafíos de las amenazas de ciberseguridad actuales y las oportunidades creadas por la IA generativa han creado un punto de inflexión para la ingeniería de software seguro". Los nuevos pasos que está dando la empresa representan la siguiente etapa evolutiva del ciclo de vida de desarrollo de seguridad (SDL) que "Microsoft inventó" en 2004, dijo Smith. Evolucionará hacia lo que Microsoft denomina "SDL dinámico" (dSDL). "En él se aplicarán procesos sistemáticos para integrar continuamente la protección de la ciberseguridad contra los nuevos patrones de amenazas a medida que nuestros ingenieros codifican, prueban, despliegan y operan nuestros sistemas y servicios", declaró Smith. Esto se unirá a otras medidas adicionales de ingeniería, incluido el análisis de código seguro impulsado por IA y el uso de GitHub Copilot para auditar y probar el código fuente frente a escenarios de amenazas avanzadas.

A lo largo del próximo año, Microsoft ofrecerá a los clientes una configuración por defecto más segura para la autenticación multifactor (MFA), ampliando sus actuales políticas por defecto a un mayor número de servicios al cliente.

En segundo lugar, Microsoft reforzará la protección de la identidad frente a ataques muy sofisticados, según Smith. "Las amenazas basadas en la identidad, como los ataques a las contraseñas, se han multiplicado por diez durante el último año, y los estados-nación y los ciberdelincuentes han desarrollado técnicas más sofisticadas para robar y utilizar las credenciales de inicio de sesión". Microsoft se protegerá contra estas amenazas aplicando su protección de identidad más avanzada a través de un proceso unificado y coherente que gestionará y verificará las identidades y los derechos de acceso de sus usuarios, dispositivos y servicios en todos sus productos y plataformas. "También pondremos estas capacidades avanzadas a libre disposición de los desarrolladores de aplicaciones que no sean de Microsoft", escribió Smith.

En tercer lugar, Microsoft está "superando los límites" en la respuesta a vulnerabilidades y actualizaciones de seguridad para sus plataformas en la nube. "Tenemos previsto reducir en un 50% el tiempo necesario para mitigar las vulnerabilidades en la nube. También fomentaremos una notificación más transparente y coherente en todo el sector tecnológico", afirmó el ejecutivo.

Microsoft apoya una aplicación más estricta de las normas internacionales en el ciberespacio

Por último, según Smith, el refuerzo de las defensas contra la IA y los avances en ingeniería deben combinarse con un tercer componente crítico: la aplicación más firme de las normas internacionales en el ciberespacio. "Comprometeremos a los equipos de Microsoft en todo el mundo para ayudar a defender y apoyar estos esfuerzos".

En primer lugar, es necesario un mayor respaldo y refuerzo de las normas clave que establecen las líneas rojas que ningún gobierno debe cruzar, afirmó Smith. "Todos deberíamos aborrecer los esfuerzos decididos de los Estados-nación que intentan instalar programas maliciosos o crear o explotar otros puntos débiles de ciberseguridad en las redes de los proveedores de infraestructuras críticas. No tienen nada que ver con los esfuerzos de espionaje que los gobiernos han llevado a cabo durante siglos y, en cambio, parecen diseñados para amenazar la vida de civiles inocentes en una futura crisis o conflicto".

Todos los Estados deberían comprometerse públicamente a no plantar vulnerabilidades de software en las redes de proveedores de infraestructuras críticas, como las de energía, agua, alimentos, atención médica u otras. "También deberían comprometerse a que no permitirán que ninguna persona dentro de su territorio o jurisdicción participe en operaciones cibercriminales que tengan como objetivo infraestructuras críticas".

Del mismo modo, los propios servicios en la nube se han convertido en una pieza crítica de apoyo para todos los aspectos de las sociedades, incluyendo agua fiable, alimentos, energía, atención médica, información y otros elementos esenciales, escribió Smith. "Por estas razones, los Estados deberían reconocer los servicios en la nube como infraestructuras críticas, con protección contra ataques en virtud del derecho internacional".

En segundo lugar, los gobiernos deben hacer más conjuntamente para fomentar una mayor rendición de cuentas de los Estados nación que cruzan las líneas rojas. "Lo que necesitamos ahora es el tipo de atribuciones firmes, públicas, multilaterales y unificadas de los gobiernos que responsabilicen a estos estados y los disuadan de repetir la mala conducta", dijo Smith. "Las empresas tecnológicas y el sector privado desempeñan un papel fundamental en la protección de la ciberseguridad, y estamos comprometidos con nuevas medidas y acciones más contundentes".