Reconocer públicamente un fracaso requiere coraje. Al intentar limitar el daño a la reputación de su empresa de ciberseguridad, el presidente de CrowdStrike, Michael Sentonas, demostró sin duda descaro al aceptar un premio al fracaso más épico en la reciente entrega de premios Pwnie Awards. La táctica parece haber funcionado: Sentonas fue aplaudido por los asistentes al evento DEF CON por reconocer públicamente los errores de su empresa. «Definitivamente no es el premio del que estar orgulloso», dijo Sentonas a los delegados en su discurso de aceptación. «Creo que el equipo se sorprendió cuando dije directamente que vendría a buscarlo porque nos equivocamos terriblemente. Lo hemos dicho varias veces y es muy importante asumirlo cuando haces las cosas bien. Es muy importante asumirlo cuando haces las cosas terriblemente mal, lo que hicimos en este caso». Pero más allá de esta astuta maniobra de relaciones públicas, el legado del incidente de CrowdStrike es de una gravedad letal. El 19 de julio, el mundo sufrió una de las mayores interrupciones de TI de la historia cuando una actualización defectuosa del software del escáner de vulnerabilidades de Crowdstrike, Falcon Sensor, provocó el bloqueo de 8,5 millones de sistemas con Microsoft Windows. A nivel mundial, la infraestructura de TI dejó de funcionar, lo que generó estragos y pérdidas financieras para personas y organizaciones. El evento de este tipo más grave desde el ciberataque NotPetya en 2022, su impacto fue enorme: la actualización defectuosa provocó cortes informáticos globales que interrumpieron los viajes aéreos, la banca, la radiodifusión, los hoteles, los hospitales y otros servicios vitales. Se estima que las pérdidas aseguradas superan los 10.000 millones de dólares; las pérdidas reales pueden ser mucho mayores debido a la ausencia de cobertura que afecta a miles de pymes. Para determinar dónde recae la responsabilidad será fundamental la cuestión de la previsibilidad. Numerosas personas habrían sabido que este software era fundamental para organizaciones interconectadas y dependientes de todo el mundo, y que se verían gravemente afectadas por una actualización defectuosa. Por lo tanto, es evidente que los proveedores deben tener procedimientos adecuados para actualizar el software, que incluyan cómo se desarrolla y prueba cada actualización antes de distribuirla a los usuarios. ¿Fue CrowdStrike un evento de «cisne negro»? Entonces, ¿fue este un evento de cisne negro, impredecible más allá de lo que se podría esperar razonablemente? Este tipo de eventos generalmente se caracterizan por su rareza, la gravedad de su impacto y la percepción general de que eran obvios en retrospectiva. Las opiniones están divididas sobre si eventos como CrowdStrike, de hecho, se están volviendo más comunes y, por lo tanto, más predecibles. Ciertamente, los innovadores que experimentan de manera aleatoria tienen más probabilidades de aumentar la incidencia de tales eventos, haciéndolos menos impredecibles. Las restricciones pueden sofocar la creatividad, pero los innovadores que no toman las medidas de precaución adecuadas para prevenir eventos predecibles también pueden enfrentar graves consecuencias legales. Habrá un intenso debate sobre qué procesos de prueba deberían ser obligatorios para quienes lanzan actualizaciones de ciberseguridad, especialmente cuando emitir estas actualizaciones con rapidez es necesario para protegerse contra nuevas amenazas cibernéticas. Al explicar la vulnerabilidad potencial de los diferentes sistemas, los comentaristas de la industria de TI invariablemente señalan que es posible que dichas actualizaciones deban iniciarse varias veces al día. De manera similar, otros sistemas interdependientes también pueden actualizarse varias veces al día y los dispositivos reciben actualizaciones en un orden o escala de tiempo diferente. Los comentaristas argumentan que el mundo real no puede ofrecer un entorno de prueba perfecto y que, si las actualizaciones fallan, se puede esperar la exposición de terceros y cuartos, junto con posibles repercusiones en la cadena de suministro. Desde la perspectiva de un abogado, este enfoque de «conejillo de indias» para la tecnología crea un escenario de pesadilla de posibles demandas colectivas. Riesgo de puntos únicos de falla Los riesgos se amplifican aún más con cualquier tecnología que tenga una participación de mercado prominente o dominante. Aquí, los posibles puntos únicos de falla pueden dar lugar a eventos sistémicos que, en última instancia, produzcan reclamos simultáneos de una gran cantidad de demandantes: un pequeño engranaje deficiente puede paralizar la infraestructura de TI global. Un punto único de falla de este tipo puede tener un impacto extraordinariamente amplio con pérdidas acumulativas potencialmente catastróficas. Desde una perspectiva legal, surgen preguntas sobre la mitigación de los riesgos de un único punto de falla en una cadena de suministro de TI global y compleja, y si estos riesgos se evalúan adecuadamente. También surgen cuestiones de agencia y delegación. La seguridad representada de un sistema al interactuar no solo puede bloquear el sistema, sino también exponerlo a ataques. En alcance y escala, el efecto neto de la interrupción del servicio de CrowdStrike fue equivalente a un ataque a una cadena de suministro global por parte de un actor malicioso. Tal vez los problemas enfrentados como resultado de NotPetya y otros ciberataques maliciosos simplemente anticipan el impacto que podrían tener futuros eventos cibernéticos. ¿Podría Microsoft haber rechazado la actualización? También es importante considerar el vínculo entre CrowdStrike y Microsoft. En particular, está la pregunta de si el sistema operativo de Microsoft era capaz de rechazar la actualización y volver a una versión anterior. Si pudo, ¿por qué no sucedió eso? Aunque no está claro exactamente cómo el sistema de MS podría volver a la versión anterior para lograr este resultado, los expertos en IA nos recuerdan constantemente que el sistema puede compararse con un supercerebro que se calibra a sí mismo para resolver problemas. Si eso es cierto, ¿sigue activo el supercerebro o estamos escuchando a los expertos en IA equivocados? En un blog reciente, los comentaristas de la industria hacen referencia a los comentarios de Microsoft sobre el desafío de los proveedores externos que lanzan actualizaciones que operan en el sistema operativo de bajo nivel. Sugieren que se podrían realizar cambios para que las aplicaciones de terceros funcionen más arriba en el sistema operativo, lo que facilitaría el desafío de la gestión de tales problemas: por ejemplo, la capacidad de rechazar actualizaciones que causan pantallas azules y la necesidad de volver a la versión anterior. Fallos predecibles En todo el sector de TI, algunos argumentan que el desastre podría haberse evitado con pruebas más rigurosas de las actualizaciones de seguridad y el escalonamiento de los lanzamientos de actualizaciones a grupos más pequeños o «anillos» de actualización. Desde una perspectiva legal, es imposible ignorar el hecho de que todo parece demasiado predecible, especialmente teniendo en cuenta los interminables debates que se han mantenido durante muchos años sobre las temidas pantallas azules. Dada la complejidad, la novedad (y la previsibilidad) de las prácticas de la industria, junto con la escala de los riesgos asociados (incluidos los derechos y obligaciones legales), el sector de TI debe prestar plena atención a sus responsabilidades para prevenir más pérdidas catastróficas resultantes de fallas sistémicas y riesgos de ciberseguridad. Hermès Marangos es socio de Signature Litigation