No hay acceso, pero persisten los fallos — eso se llama «gestión de riesgos» al estilo de Microsoft.

Microsoft restringió a las empresas chinas el acceso a las notificaciones tempranas sobre vulnerabilidades encontradas en sus productos. La decisión se tomó después de que la corporación realizara una investigación interna y analizara la posibilidad de una filtración de información desde el programa Microsoft Active Protections Program (MAPP), destinado a transmitir a los socios los detalles de los problemas de seguridad antes del lanzamiento oficial de parches. La sospecha surgió en el contexto de los ataques masivos a servidores SharePoint, durante los cuales atacantes vinculados a China comprometieron a más de 400 instituciones gubernamentales y corporaciones, incluida la Administración Nacional de Seguridad Nuclear de Estados Unidos.

Según el portavoz de Microsoft, David Caddy, ahora habrá restricciones para los participantes de MAPP procedentes de países donde las empresas están obligadas a remitir información sobre vulnerabilidades detectadas a las autoridades estatales. Esto afecta a China, donde desde 2021 existe una ley que obliga a informar sobre problemas de ciberseguridad al Ministerio de Industria y Tecnología de la Información en un plazo de 48 horas. Anteriormente esos socios recibían materiales técnicos y código de prueba que demostraba la vulnerabilidad un día antes de la publicación de las actualizaciones. Ahora solo recibirán descripciones escritas breves de las vulnerabilidades al mismo tiempo que se publican las actualizaciones.

En Microsoft subrayan que los socios que violan las normas y participan en ofensivas ciberataques son excluidos del programa. Al mismo tiempo la compañía no hizo públicos los resultados de la investigación sobre la filtración relacionada con SharePoint, limitándose a señalar que se están barajando varias hipótesis sobre el origen de los datos.

Las preocupaciones sobre participantes chinos en MAPP ya habían surgido antes. En 2012 la corporación acusó a la empresa Hangzhou DPtech Technologies de incumplir un acuerdo de confidencialidad, y en 2021 sospechó que dos socios chinos filtraron información sobre vulnerabilidades de Exchange Server, lo que dio lugar a un ataque global atribuido al grupo Hafnium.

La embajada china en Washington declaró que no conoce los detalles de la investigación ni de las nuevas restricciones, pero señaló que las amenazas cibernéticas son un problema común que debe abordarse con esfuerzos conjuntos. Al mismo tiempo, los representantes de China enfatizaron que el país se opone a cualquier acusación y a los ciberataques.

Microsoft también confirmó por primera vez de forma oficial el cierre de los centros de transparencia en China, donde antes ofrecía a las autoridades estatales la posibilidad de revisar el código fuente de Windows y otras tecnologías para verificar la ausencia de mecanismos de vigilancia integrados. Esos centros, dijo Caddy, «están cerrados desde hace tiempo», y desde 2019 nadie los había visitado.

Los analistas estadounidenses acogieron positivamente el endurecimiento de las normas. En SentinelOne calificaron la medida de Microsoft como justificada, ya que las empresas chinas en MAPP no pueden ignorar los intereses de su gobierno. También señalaron que, ante la atención sin precedentes sobre las operaciones cibernéticas chinas, la corporación se vio obligada a actuar con determinación.

La situación cobró mayor resonancia tras el informe de la iniciativa estadounidense Tech Integrity Project, que afirmaba que algunos socios chinos de Microsoft trabajan en el campus del Centro Nacional de Ciberseguridad de Wuhan junto con estructuras del Ministerio de Seguridad del Estado de China. En Microsoft aseguraron que la compañía no ha tenido ninguna interacción con ese centro.

De este modo, la corporación renuncia a la práctica anterior de confiar en ciertos socios extranjeros, reduciendo el volumen de datos transmitidos y reforzando el control sobre la difusión de información sobre vulnerabilidades, lo que refleja las crecientes preocupaciones en el ámbito de la ciberseguridad global.