A segurança digital das grandes corporações voltou a ser alvo de questionamentos nos Estados Unidos. O senador democrata Ron Wyden solicitou formalmente que a FTC (Federal Trade Commission) investigue a Microsoft por suposta negligência em incidentes de segurança cibernética que, segundo ele, colocaram em risco a privacidade de milhões de cidadãos e a própria segurança nacional.
O caso Ascension Health como exemplo
No centro das críticas está o ataque de ransomware contra a rede de hospitais Ascension Health, ocorrido em maio de 2024. A ofensiva digital paralisou temporariamente os atendimentos médicos, forçando hospitais a adotar procedimentos manuais e comprometendo a continuidade de cuidados essenciais. Além disso, dados médicos e de seguro de mais de cinco milhões de pessoas foram expostos após um funcionário clicar em um link malicioso, que abriu caminho para os criminosos explorarem o Microsoft Active Directory, utilizado pela instituição para gerenciar identidades e acessos.
Para Wyden, este episódio não pode ser visto como um incidente isolado, mas como resultado direto de decisões técnicas da Microsoft. Em sua avaliação, a empresa manteve configurações padrão inseguras e não alertou de forma clara seus clientes sobre riscos associados ao uso de tecnologias ultrapassadas.
A polêmica do RC4
Entre os pontos levantados, destaca-se o uso do algoritmo de criptografia RC4, considerado frágil e ultrapassado em comparação com alternativas mais robustas como o AES 128/256. Ainda que sua utilização represente hoje menos de 0,1% do tráfego, segundo dados da própria Microsoft, a persistência desse padrão abre brechas exploráveis por criminosos.
Wyden acusa a companhia de colocar a compatibilidade acima da segurança, ao preferir manter o RC4 ativo para evitar falhas em sistemas legados. Para o senador, essa escolha expõe clientes a riscos desnecessários, especialmente instituições críticas como hospitais, órgãos públicos e empresas de infraestrutura.
O posicionamento da Microsoft
Em resposta, a Microsoft afirma que reconhece as limitações do RC4 e já planeja desativá-lo por padrão em 2026, oferecendo mitigações adicionais até lá. A empresa também argumenta que remover a tecnologia de forma imediata poderia “quebrar” sistemas de clientes que ainda dependem do protocolo.
Apesar da justificativa, críticos alegam que o prazo é excessivamente longo diante da gravidade das ameaças atuais. Para especialistas em segurança, cada ano de atraso significa ampliar a janela de exposição para grupos de ransomware e hackers patrocinados por Estados.
O papel da FTC e os próximos passos
A FTC confirmou ter recebido o pedido do senador, mas não comentou sobre a possibilidade de abrir uma investigação. Caso avance, o processo pode estabelecer um precedente inédito: responsabilizar diretamente uma gigante da tecnologia não apenas por falhas pontuais, mas por escolhas estruturais em seus produtos que favorecem ataques cibernéticos.
Wyden não é novato nesse embate. Em 2023, ele já havia pressionado o governo americano a investigar a Microsoft após o roubo de milhares de e-mails de autoridades por hackers ligados à China. O novo pedido reforça a imagem de que, para o parlamentar, a empresa tem falhado sistematicamente em priorizar a segurança.
O dilema entre legado e proteção digital
O caso expõe um dilema que vai além da Microsoft: até que ponto empresas de tecnologia devem manter suporte a padrões antigos em nome da compatibilidade, quando isso significa fragilizar a segurança?
Para clientes corporativos, migrar de sistemas legados é caro e demorado. Para cibercriminosos, porém, cada atraso representa uma oportunidade de exploração. No meio dessa equação, milhões de usuários comuns acabam sendo expostos a riscos sem sequer ter consciência disso.
O artigo "Senador pede investigação contra a Microsoft por 'negligenciar' a segurança cibernética" foi escrito por André Luiz Dias Gonçalves no site Tecmundo.
Disponível em: https://www.tecmundo.com.br/seguranca/407035-senador-pede-investigacao-contra-a-microsoft-por-negligenciar-a-seguranca-cibernetica.htm
