El senador de Oregón, Ron Wyden, solicitó a la Federal Trade Commission (FTC) que investigue a Microsoft, alegando que las configuraciones predeterminadas de sus productos dejan a los clientes vulnerables y facilitan ataques de ransomware y hackeos.

Entre los incidentes citados se encuentra el ataque de ransomware a la red hospitalaria Ascension en 2024, que comprometió datos personales, información médica, pagos, seguros e identificaciones gubernamentales de más de 5,6 millones de pacientes.

El ataque comenzó cuando un contratista de Ascension utilizó Microsoft Edge y Bing en una laptop corporativa, haciendo clic en un enlace de phishing. Esto permitió que el ransomware se propagara por toda la red y que los atacantes obtuvieran privilegios administrativos a través de Active Directory, otro producto de Microsoft que gestiona cuentas de usuario.

Wyden señaló que los hackers emplearon Kerberoasting, una técnica que explota debilidades en protocolos de cifrado obsoletos. Microsoft, por defecto, sigue soportando RC4, un estándar de los años 80 considerado inseguro por expertos y agencias federales desde hace más de una década.

El senador cuestionó por qué Microsoft continúa habilitando RC4, ya que “expone innecesariamente a sus clientes a ransomware y otras amenazas cibernéticas”, cuando existen alternativas más seguras como AES, aprobadas por el gobierno federal.

Aunque Microsoft recomienda contraseñas largas de al menos 14 caracteres, sus configuraciones predeterminadas no lo exigen para cuentas privilegiadas, lo que deja a muchas organizaciones vulnerables, señaló Wyden.

La carta enfatiza que, aunque las organizaciones pueden modificar estas configuraciones, “en la práctica, la mayoría no lo hace”, por lo que la responsabilidad de la seguridad debería recaer en Microsoft, no en los usuarios.

Respuesta de Microsoft

Un portavoz de Microsoft declaró que RC4 es un estándar antiguo y desaconsejado, representando menos del 0,1% del tráfico de la compañía. Señaló que deshabilitarlo por completo “rompería muchos sistemas de clientes”, por lo que la compañía planea reducir su uso gradualmente y proporcionar advertencias y guías de seguridad.

Microsoft también indicó que RC4 será deshabilitado por defecto en instalaciones de Active Directory a partir del primer trimestre de 2026 y que su eliminación más amplia está “en la hoja de ruta”, aunque sin un calendario definido.

Fuente: Cyberscoop