Seguridad digital Si un proceso de actualización de software falla, puede tener consecuencias catastróficas, como se ve hoy con las pantallas azules de la muerte generalizadas atribuidas a una mala actualización por CrowdStrike 19 de julio de 2024 • , 2 min. de lectura La ciberseguridad a menudo tiene que ver con la velocidad: un actor de amenazas crea una técnica o código de ataque malicioso, las empresas de ciberseguridad reaccionan a la nueva amenaza y, si es necesario, se ajustan y adoptan métodos para detectar la amenaza. Esa adopción puede requerir la actualización de los sistemas de detección en la nube o la actualización de los dispositivos de punto final para brindar la protección necesaria contra la amenaza. Y la velocidad es esencial, ya que la industria de la ciberseguridad está allí para proteger, detectar y responder a las amenazas a medida que ocurren. Los procesos que las empresas de ciberseguridad implementan para evitar conflictos entre una actualización y el sistema operativo u otros productos suelen ser significativos, con entornos de prueba automatizados que simulan escenarios del mundo real de diferentes sistemas operativos, diferentes variantes de controladores del sistema y demás. Esto, en algunos casos, puede estar supervisado por humanos, una señal final de que se han seguido todos los procesos y procedimientos y no hay conflictos. También puede haber terceros, como un proveedor de sistemas operativos, en esta combinación que realicen pruebas de forma independiente del proveedor de ciberseguridad, intentando evitar cualquier interrupción importante, como estamos viendo hoy. En un mundo perfecto, un equipo de ciberseguridad tomaría la actualización y la probaría en su propio entorno, asegurándose de que no haya incompatibilidades. Una vez que esté seguro de que la actualización no causa ningún problema, comenzaría una implementación programada de la actualización, tal vez un departamento a la vez. De este modo, se reduce el riesgo de que se produzca algún problema importante en las operaciones comerciales. Este no es ni puede ser el proceso para las actualizaciones de productos de ciberseguridad, deben implementarse a la misma velocidad que se distribuye una amenaza, normalmente casi instantáneamente. Si el proceso de actualización falla, puede ser catastrófico, como está sucediendo hoy con una actualización de software de CrowdStrike, con pantallas azules de la muerte e infraestructuras enteras inactivas. Esto no significa incompetencia del proveedor, es probable que sea un escenario de mala suerte, una tormenta perfecta de actualizaciones o configuraciones que crean el incidente. Eso es, por supuesto, a menos que la actualización haya sido manipulada por un actor malicioso, lo que parece no ser el caso en este caso. ¿Qué debemos sacar de este incidente? En primer lugar, es probable que todos los proveedores de ciberseguridad revisen sus procesos de actualización para asegurarse de que no haya brechas y ver cómo pueden fortalecerlos. Para mí, la verdadera enseñanza es que cuando una empresa alcanza una posición significativa en el mercado, su dominio puede provocar un evento de semimonocultura: un problema afectará a muchos. Cualquier profesional de la ciberseguridad utilizará términos como «defensa en profundidad» o «capas de defensa», lo que se refiere al uso de múltiples tecnologías y, en la mayoría de los casos, múltiples proveedores para frustrar un posible ataque; también se trata de resiliencia en la arquitectura y de no depender de un solo proveedor. No debemos perder de vista quién es el culpable cuando ocurre un incidente como este; si los cibercriminales y los atacantes de los estados nacionales no crearan ciberamenazas, no necesitaríamos protección en tiempo real.