Microsoft tiene un valor de mercado de cerca de US$1.636 millones. Foto de Costfoto/Barcroft Media via Getty Images)
Microsoft tiene un valor de mercado de cerca de US$1.636 millones. Foto de Costfoto/Barcroft Media via Getty Images) | Foto: Barcroft Media via Getty Images

TECNOLOGÍA

Software de Microsoft puso en peligro datos personales de millones de personas

Hasta junio de 2021, la configuración de software predeterminada no protegía adecuadamente ciertos datos.

24 de agosto de 2021

Debido a una mala configuración en un software de Microsoft utilizado por varias empresas y organizaciones, unos 38 millones de datos e informaciones personales, algunos de los cuales provienen de plataformas para rastrear casos de contacto de coronavirus, estuvieron vulnerables en la web.

La firma de seguridad informática UpGuard publicó este lunes el resultado de una investigación que muestra que millones de nombres, direcciones, números de identificación fiscal y otras informaciones confidenciales quedaron expuestos antes de que el problema fuera resuelto. No obstante, no fueron vulnerados.

Estos tienen en común que utilizaron un software de Microsoft, el Power Apps, que permite crear fácilmente sitios web y aplicaciones móviles de interacción con el público.

(AP Foto/Swayne B. Hall, Archivo)
(AP Foto/Swayne B. Hall, Archivo) | Foto: (AP Foto/Swayne B. Hall, Archivo)

Por ejemplo, si una institución necesita disponer rápidamente de un portal de reserva de citas para vacunas, este servicio de Microsoft proporciona tanto la fachada pública como la gestión de datos.

Pero hasta junio de 2021, la configuración de software predeterminada no protegía adecuadamente ciertos datos, explican los investigadores de UpGuard. “Gracias a nuestra investigación, Microsoft ha cambiado los portales de Power Apps”, señaló.

Por su parte un portavoz de Microsoft aseguró que “nuestras herramientas ayudan a diseñar soluciones a escala que satisfacen una amplia variedad de necesidades. Nos tomamos muy en serio la seguridad y la privacidad, y alentamos a nuestros clientes a configurar los productos para satisfacer mejor sus necesidades de privacidad”.

Pero según UpGuard, es mejor cambiar el software en función de cómo lo utilicen los clientes en lugar de “ver la falta generalizada de privacidad de los datos como una mala configuración por parte del usuario, que perpetúa el problema y pone al público en riesgo”.

“El número de cuentas en las que información sensible estuvo vulnerable muestra que el riesgo asociado con esta función -la probabilidad y el impacto de una mala configuración- no había sido tomada en cuenta adecuadamente”, añadió la firma.

Mejorar la seguridad para el navegador

Hace poco también se conoció que la compañía tecnológica está trabajando en un modo seguro para su navegador Edge, con el que espera poder reducir la cantidad de fallas y vulnerabilidades al inhabilitar JIT (Just-In-Time), además de poder habilitar en su lugar otras mitigaciones sin que ello afecte al rendimiento del sistema.

Se trata del modo Super Duper Secure, que reduciría la explotación de vulnerabilidades mediante la inhabilitación de algunas funciones, equilibrando la seguridad y el rendimiento en un navegador basado en JavaScript. El modo se centra en la compilación JIT, que se introdujo en 2008 para acelerar algunas tareas específicas en JavaScript.

Entre tanto, Microsoft está investigando las consecuencias de deshabilitar JIT, con el experimento del modo Super Duper Secure. Por el momento, el modo deshabilita JIT (TurboFan / Sparkplug) y habilita la tecnología de Intel Control-Flow Enforcement (CET) de mitigación de exploits basada en hardware. Poco a poco la compañía habilitará nuevas mitigaciones y añadirá la compatibilidad con Web Assambly.