Microsoft fue en su día el epítome de todo lo malo de la seguridad en la tecnología. Sus productos estaban tan infestados de vulnerabilidades que el cofundador de la empresa, Bill Gates, ordenó en una ocasión a todos los ingenieros de Microsoft que dejaran de escribir código nuevo durante un mes y se centraran en corregir los fallos del software que ya habían creado.
Pero en los últimos años, Microsoft ha mejorado su actuación, impresionando incluso a especialistas en seguridad como Mikko Hypponen, director de investigación de F-Secure, una empresa de seguridad finlandesa, que solía avergonzarse de las prácticas de Microsoft.
Seguridad
«Han pasado de ser los peores de la clase a ser los mejores», dijo el Sr. Hypponen. «El cambio es total. Han empezado a tomarse la seguridad muy en serio».
Aun así, los episodios de piratería informática en línea se han vuelto más sorprendentes, como el robo de datos personales de millones de clientes de Target y de terabytes de correos electrónicos privados de Sony Pictures Entertainment (y ambas empresas utilizan algunos productos de Microsoft). Aunque no se ha culpado a Microsoft de los ataques, los críticos han insistido en que el gigante tecnológico haga aún más para que los sistemas digitales sean resistentes a las brechas y al fisgoneo.
El director ejecutivo de Microsoft, Satya Nadella, dice que está escuchando. El martes, pronunció un discurso ante los trabajadores de tecnología del gobierno en Washington sobre la importancia de la seguridad en el negocio de la tecnología y cómo Microsoft ha evolucionado para hacer frente a las amenazas de seguridad.
El Sr. Nadella, en una entrevista telefónica, dijo que su objetivo era exponer cómo los productos de Microsoft hacen más difícil que los hackers pongan en peligro los ordenadores, y cómo la empresa ha eliminado las divisiones corporativas que separaban a los responsables de seguridad entre sí para mejorar la forma de compartir la información sobre amenazas.
«Es como ir al gimnasio todos los días», dijo el Sr. Nadella, que corre unos cinco kilómetros al día. «No se puede decir que me tomo en serio la seguridad sin ejercer el régimen de mantener la seguridad como prioridad cada segundo, cada hora del día».
Hablar de seguridad fue durante mucho tiempo un tabú en la industria tecnológica. Pero en los últimos años se ha convertido en una herramienta de marketing. Empresas de Silicon Valley como Google y Facebook han empezado a publicitar el trabajo que realizan para proteger sus infraestructuras y los datos personales de sus clientes, sobre todo tras las revelaciones de Edward J. Snowden, el antiguo contratista de la Agencia de Seguridad Nacional que filtró información clasificada.
Negocio
El discurso del Sr. Nadella coincide con uno de sus principales profesionales del negocio: la computación en la nube. Microsoft y otras empresas del sector están promoviendo agresivamente los servicios en la nube, lo que significa persuadir a las empresas para que almacenen sus datos corporativos fuera de sus propios muros. Los analistas han advertido que las empresas que no se tomen en serio la seguridad corren el riesgo de perder clientes corporativos, sobre todo extranjeros, en favor de los servicios basados en la nube en el extranjero.
Microsoft calcula que ahora gasta más de mil millones de dólares al año en iniciativas relacionadas con la seguridad, incluidas las adquisiciones. Solo en el último año adquirió tres empresas de seguridad, y el número de empleados de seguridad en la empresa aumentó un 20% durante ese tiempo.
Poco después de convertirse en director ejecutivo de Microsoft en febrero de 2014, el Sr. Nadella instituyó una reunión mensual con los líderes de seguridad de toda la empresa. Se reúnen para debatir las tendencias del sector y analizar las amenazas.
También modificó la forma en que Microsoft vigilaba Internet en busca de ataques de piratas informáticos, un esfuerzo que había estado dividido entre diferentes grupos de productos y otras divisiones de la empresa. Ahora Microsoft paga más a los hackers cuando descubren un agujero de seguridad y lo denuncian.
Esta semana, los responsables de seguridad de Microsoft se trasladan al mismo espacio físico después de haber estado dispersos por el campus de la empresa en este suburbio de Seattle. En una reciente visita a las nuevas instalaciones que Microsoft denomina Centro de Operaciones de Defensa de la Ciberseguridad, los trabajadores estaban ocupados equipando las paredes con grandes televisores que mostrarán datos sobre el malware y otras amenazas.
«Para mí, eso habla de la importancia de conectar a las personas» en toda la empresa, dijo Bradford L. Smith, presidente y director jurídico de Microsoft. «Puede que sigan estando en diferentes organizaciones, pero se sientan juntos y trabajan juntos. Estamos conectando los sistemas de información para que la gente vea la imagen completa y no sólo los silos de información».
Todavía se descubren muchos fallos en el código de Microsoft. Pero los temores sobre la seguridad de los programas de Microsoft han ido disminuyendo. En un par de recientes ataques generalizados, los hackers explotaron debilidades en Adobe y la plataforma de programación Java, no en el software de Microsoft.
Una vez que se detecta un intento de suplantación de identidad en un cliente -por ejemplo, un esquema de phishing, en el que los hackers intentan robar contraseñas, números de tarjetas de crédito y otros datos privados a través de correos electrónicos de apariencia legítima-, Microsoft dice que puede desplegar rápidamente una solución que evite que todos los demás clientes de sus servicios de correo electrónico corporativo caigan en la trampa. Microsoft llevó a cabo una solución de este tipo para sus clientes de la nube a principios del año pasado después de que el Ejército Electrónico Sirio, un grupo de hackers que apoya al presidente Bashar al-Assad de Siria, iniciara un ataque de phishing contra los propios empleados de Microsoft.
Aun así, Microsoft ha sido criticada por no haber actuado con la suficiente rapidez. El año pasado, se armó una polvareda después de que Microsoft tardara más de 90 días en corregir varios fallos graves en su software de Windows que fueron descubiertos por investigadores de Google. Google se adelantó y publicó los fallos antes de que Microsoft emitiera un parche, de acuerdo con la política de 90 días de Google, lo que enfureció a los ejecutivos de Microsoft.
Además, Microsoft intenta cada vez más limitar el acceso de los gobiernos a la información de sus clientes. Microsoft está desafiando un intento de las autoridades estadounidenses de obtener los correos electrónicos de un cliente cuyos datos estaban almacenados en un servidor de Dublín. La empresa argumenta que una victoria del gobierno haría mucho más difícil que las empresas tecnológicas estadounidenses se opusieran cuando las autoridades de China u otros países exigieran datos relevantes para los procedimientos judiciales en sus propias naciones.
Para disipar la preocupación por la privacidad de los clientes europeos, Microsoft anunció recientemente que dos nuevos centros de datos en Alemania serían gestionados por T-Systems, una filial de Deutsche Telekom, lo que pondría la información de los clientes fuera del alcance de las fuerzas de seguridad estadounidenses.
Aun así, Christopher Soghoian, tecnólogo principal de la Unión Americana de Libertades Civiles, advirtió que Microsoft no pretendía que los datos de los clientes estuvieran fuera del alcance del gobierno, sino que los limitara a las autoridades locales.
«Microsoft se considera un buen ciudadano corporativo», dijo. «No quieren ofrecer productos que frustren al gobierno».
Sin embargo, no hay duda de que Microsoft ha hecho de la lucha contra los hackers una prioridad. La última versión de Microsoft de su sistema operativo, Windows 10, tiene una característica llamada Windows Hello que permite a las personas iniciar sesión en un PC con un escaneo de su dedo, iris o cara en lugar de usar una contraseña, cuyas versiones débiles son una causa común de violaciones de datos.
«Mi objetivo dentro de la empresa es acabar con las contraseñas», dijo Bret Arsenault, director de seguridad de la información de Microsoft.
