Los piratas informáticos irrumpieron en la cuenta de correo electrónico no confidencial de los dos empleados, dijeron las personas. A ambos se les dio el anonimato porque no estaban autorizados a hablar públicamente sobre el asunto.
Microsoft ha atribuido la actividad de espionaje a China, pero el gobierno de EE. UU. no ha nombrado oficialmente a un culpable.
The Wall Street Journal fue el primero en informar que los piratas informáticos accedieron a las bandejas de entrada de Burns y Kritenbrink. The Washington Post informó anteriormente que el correo electrónico de la secretaria de Comercio, Gina Raimondo, estaba entre los violados.
Los portavoces del Consejo de Seguridad Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad no respondieron a una solicitud de comentarios. Un portavoz del Departamento de Estado se negó a comentar.
No está claro qué información obtuvieron los piratas informáticos y qué tan valiosa pudo haber sido. Pero la campaña de espionaje, que comenzó en mayo, parece haber coincidido con un período de diplomacia de alto riesgo entre Estados Unidos y China.
Durante ese tiempo, los funcionarios sentarían las bases para el viaje del secretario de Estado Antony Blinken a Beijing a mediados de junio, junto con las visitas este mes de la secretaria del Tesoro, Janet Yellen, y el enviado climático John Kerry.
Los expertos en seguridad argumentaron que la campaña era técnicamente sólida y demuestra una aceleración en las capacidades de espionaje digital de Beijing.
“Las tácticas de los operadores de ciberespionaje chinos han evolucionado constantemente para volverse más ágiles, sigilosas y complejas de asignar” durante la última década, escribieron investigadores de la firma de ciberseguridad Mandiant en una publicación de blog el martes.
Aún así, las revelaciones también plantean nuevas preguntas sobre el alcance y la gravedad del incidente, y qué parte de la culpa recae en Microsoft.
El miércoles, Microsoft ofreció a los clientes existentes una gama de herramientas forenses digitales mejoradas, luego de la frustración de las autoridades estadounidenses de que el alto precio que impuso a los productos de seguridad clave impidió que muchas víctimas de bajos ingresos detectaran la brecha.
Algunos legisladores argumentaron que incluso ese gesto fue demasiado pequeño y tardío.
“Es inconcebible que dos años después del hackeo de SolarWinds, Microsoft todavía esté cobrando más a las agencias federales por características críticas de seguridad”, dijo el senador. Ron Wyden (D-Ore.) dijo en un comunicado. “Nuestra seguridad nacional depende de hacer de la ciberseguridad una parte esencial del proceso de contratación de software”.
Microsoft se negó a comentar para esta historia.