La frecuencia de los ataques a gran escala a las TI de las empresas está aumentando. Esto no es inusual ni inesperado, ya que las empresas gastan mucho en defensa cibernética en una guerra asimétrica contra los piratas informáticos que pueden unir unas pocas líneas de código y causar estragos. Pero la mayor interrupción de TI de la historia del viernes, resultante de un error de software de CrowdStrike que se cargó en los sistemas operativos de Microsoft en lugar de un ataque malicioso, muestra un tipo de amenaza tecnológica que ha estado aumentando junto con los ataques, pero que recibe menos atención: el fallo de punto único, un error en una parte de un sistema que crea un desastre técnico en industrias, funciones y redes de comunicaciones interconectadas; un efecto dominó masivo. A principios de este año, AT&T tuvo una interrupción a nivel nacional atribuida a una actualización técnica. El año pasado, la FAA tuvo una interrupción que ocurrió después de que una sola persona reemplazara un archivo crítico en una actualización de ruta (ahora que la FAA tiene un sistema de respaldo para evitar que eso vuelva a suceder). «Es más frecuente incluso cuando se trata solo de parches y actualizaciones de rutina», dijo a CNBC el viernes Chad Sweet, cofundador y director ejecutivo de The Chertoff Group y exjefe de personal del Departamento de Seguridad Nacional. Se ven tableros digitales debido a la interrupción global de las comunicaciones causada por CrowdStrike, que brinda servicios de ciberseguridad a la empresa de tecnología estadounidense Microsoft, se observó que algunos tableros digitales en Times Square en la ciudad de Nueva York, Estados Unidos, mostraban una pantalla azul y algunas pantallas se volvieron completamente negras el 19 de julio de 2024. Selcuk Acar | Anadolu | Getty Images La gestión del riesgo de fallas de un solo punto es un problema que las empresas deben planificar y proteger. «No hay ningún software en el mundo que se lance al mercado y no necesite parches o actualizaciones posteriores, y existen mejores prácticas de seguridad que existen para el período de tiempo posterior a un lanzamiento de producción que cubren el mantenimiento continuo del software», dijo Sweet. Las empresas con las que trabaja Chertoff Group están revisando de cerca los estándares de desarrollo y actualización de software a raíz de la interrupción del servicio de CrowdStrike. Sweet señaló un conjunto de protocolos que el gobierno ya proporciona, el SSDF (Secure Software Development Framework), que puede dar al mercado una idea de qué esperar cuando el Congreso comience a analizar el tema más de cerca. Es probable que eso suceda después de la reciente serie de incidentes, desde AT&T hasta la FAA y CrowdStrike, ya que ahora se ha demostrado que este tipo de falla técnica afecta las vidas de los ciudadanos y las operaciones de infraestructura crítica de manera generalizada. «Prepárense en el lado corporativo», dijo Sweet. Aneesh Chopra, director de estrategia de Arcadia y ex director de tecnología de la Casa Blanca, dijo a CNBC el viernes que los sectores críticos, como la energía, la banca, la atención médica y las aerolíneas, tienen regulaciones separadas que supervisan el riesgo, y las medidas pueden ser únicas en los sectores más regulados. Pero para cualquier líder empresarial la pregunta ahora es: «Suponiendo que los sistemas dejen de funcionar, ¿cuál es el plan B? Veremos mucha más planificación de escenarios y si esta no es la tarea número 1, es la tarea número 2 o 3 tener esos escenarios delineados», dijo. A diferencia de muchos temas en DC, Chopra señaló que existe un compromiso bipartidista con los temas de infraestructura crítica y riesgo sistémico, y las normas técnicas son un «sello distintivo» del sistema estadounidense. Ahora puede haber esfuerzos que describió como diseñados con el objetivo de «mejorar la competencia» como un medio para fortalecer la rendición de cuentas. «Si hay un mecanismo para actualizar de una manera más abierta y competitiva, podría haber presión para asegurarse de que eso se haga de una manera que tenga todos los puntos y las tachaduras», dijo Chopra. Sweet dijo que eso conducirá inevitablemente a preocupaciones del mundo empresarial sobre el riesgo de una regulación excesiva. Aunque no hay forma de saber con certeza si CrowdStrike podía operar con un proceso más abierto que permitiera detectar el fallo puntual, Sweet dijo que es una pregunta legítima. El mejor método para evitar la sobrerregulación, según Sweet, es buscar mecanismos de refuerzo del mercado, como el sector de los seguros. «La respuesta corta es: ‘Dejemos que lo haga el libre mercado, a través de cosas como el sector de los seguros, que recompensará a los buenos actores con primas más bajas'», dijo. Sweet también dijo que más empresas deberían adoptar la idea de organizaciones «antifrágiles», como él hace con sus clientes, un término acuñado por el analista de riesgos Nassim Nicholas Taleb. «No sólo una organización que sea resistente después de una disrupción, sino una que prospere, innove y supere a los competidores», dijo. En su opinión, cualquier legislación o regulación tendría dificultades para mantenerse al día con los ataques maliciosos y las actualizaciones técnicas que se implementan con consecuencias no deseadas. «Es una llamada de atención, sin duda», dijo Chopra.