Como CIO/CISO experimentado y analista de la industria tecnológica con 35 años de experiencia, he visto una buena cantidad de incidentes de ciberseguridad. Sin embargo, la reciente interrupción del servicio de CrowdStrike se destaca debido a su amplio impacto en múltiples sectores. A continuación, se analiza en profundidad lo que sucedió, las repercusiones y las lecciones que todos podemos aprender de este incidente. Antecedentes y reacción inicial Comencé mi trayectoria en TI a fines de los años 80 cuando escribí un software llamado PleadPerfect. A lo largo de los años, he desempeñado muchos roles: ingeniero, arquitecto y ejecutivo en empresas grandes y pequeñas. Durante los últimos 18 años, he sido CIO/CISO para organizaciones que van desde 8 a 11 cifras en ingresos. Cuando escuché por primera vez sobre la interrupción relacionada con CrowdStrike, mi reacción inicial fue de profunda preocupación. Tomé un momento de silencio en honor a las horas perdidas que mis colegas y colegas profesionales de TI sacrificaron con sus familias para solucionar un problema que nunca debería haber ocurrido. La falta de buenas prácticas de control de calidad que ha demostrado CrowdStrike es profundamente preocupante. Deberían haber detectado este problema durante las pruebas antes de publicarlo. El hecho de que haya afectado a todos los sistemas operativos Windows desde 2008 es inexcusable. Entender el incidenteEl software Falcon de CrowdStrike está instalado en el núcleo del sistema operativo, que es como protege las máquinas de manera tan eficaz. Sin embargo, esta estrecha integración también causa problemas importantes cuando las actualizaciones no se prueban adecuadamente. La actualización defectuosa provocó casos generalizados de la «pantalla azul de la muerte» (BSOD), que provocó que las máquinas se bloquearan y no se recuperaran automáticamente. El proceso de recuperación implicó arrancar las máquinas en modo seguro y eliminar un archivo de CrowdStrike, una tarea complicada por la incapacidad de entrar en modo seguro de forma remota en todos los dispositivos/sistemas operativos. Además, las mejores prácticas dictan proteger la unidad de arranque con BitLocker, que requiere una clave para desbloquear e ingresar al modo seguro. Estas claves a menudo se almacenan en sistemas también afectados por esta falla, lo que aumenta enormemente el esfuerzo y el tiempo necesarios para la recuperación. Este tipo de incidentes no son poco comunes en la industria de la ciberseguridad, pero este es particularmente dañino porque se origina en un problema de control de calidad y pruebas, no en una brecha de ciberseguridad. La estrecha integración entre Falcon y el sistema operativo hizo que el daño fuera mucho más generalizado y el proceso de recuperación mucho más oneroso. Impacto en las empresas y los servicios Todos los sectores e industrias se vieron afectados, pero los sectores de infraestructura crítica fueron los más afectados. El transporte (líneas aéreas), los servicios bancarios/financieros y la atención médica (hospitales y salas de emergencia) plantean el mayor riesgo para las economías mundiales cuando se ven interrumpidas. Las tres aerolíneas más grandes de EE. UU., así como las de todo el mundo, experimentaron vuelos en tierra y problemas de comunicación. Los bancos en muchos países se desconectaron y las redes de los hospitales enfrentaron interrupciones significativas. Respuesta y resolución La respuesta de CrowdStrike al incidente fue rápida, pero no estoy seguro de qué más pueden hacer en este momento. No sentí que la disculpa de George Kurtz (el CEO) fuera «a todo pulmón» y asumiera la responsabilidad suficiente por el incidente. Esto no es culpa de nadie más que de CrowdStrike. Si bien se han comprometido a ayudar a todos los afectados, tienen 24.000 clientes, todos los cuales se vieron afectados, por lo que no pueden brindarles a todos la atención que necesitan. Miles de millones de dólares en daños se están produciendo en esas empresas debido a esta interrupción. Lecciones aprendidas Las lecciones clave de este incidente son claras: tenga cuidado con dónde deposita su confianza en otras empresas y socios. Asegúrese de que sus contratos le permitan reclamar daños y perjuicios, ya que ese puede ser el único recurso en tales situaciones. Tenga un plan integral de recuperación ante desastres (DR) y pruébelo regularmente. La cantidad de empresas que tienen que reconstruir su infraestructura de respaldo solo para restaurar sistemas porque no pueden acceder (o no tienen) sus claves de BitLocker es demasiado grande. Para prepararse mejor y prevenir problemas similares, desarrolle y pruebe exhaustivamente sus planes de recuperación. Considere usar un conjunto completamente diferente de herramientas de seguridad para respaldo y recuperación para evitar vectores de ataque similares. Trate la infraestructura de respaldo y recuperación como una función comercial crítica y fortalézcala tanto como sea posible. Futuro de la ciberseguridad El tiempo dirá cómo este incidente influye en las futuras prácticas y políticas de ciberseguridad. Entre los problemas de SolarWinds y CrowdStrike, ambos fracasos de las mejores prácticas de las propias empresas, algo tiene que cambiar. Las tecnologías emergentes como la IA y el aprendizaje automático podrían ayudar a predecir y prevenir problemas similares al identificar vulnerabilidades potenciales antes de que se conviertan en problemas. Sin embargo, la verdadera solución puede estar en modernizar los procesos y posiblemente hacer que organismos independientes auditen y certifiquen las prácticas de las empresas de tecnología. Perspectivas personales Como alguien profundamente involucrado en la industria de la tecnología, me mantengo actualizado con las últimas tendencias y amenazas de ciberseguridad leyendo extensamente, siguiendo los desarrollos de la industria, consumiendo contenido relevante, hablando con colegas y saliendo de mi silo para compartir y aprender de los demás. Mi consejo para los colegas CIO y CISO es simple: Planifique para lo peor y haga pruebas para lo peor. Si no se prepara para este tipo de incidentes, estará en la peor posición posible cuando la junta directiva le pida su respuesta. Reflexiones finales La reciente interrupción del servicio de CrowdStrike fue una llamada de atención para muchos en la industria de la tecnología. Puso de relieve las vulnerabilidades inherentes a nuestro mundo interconectado y subrayó la necesidad de contar con medidas sólidas de ciberseguridad. Si aprendemos de este incidente e implementamos las lecciones descritas anteriormente, podremos prepararnos mejor y prevenir problemas similares en el futuro. Mantengámonos alerta, preparados y sigamos fortaleciendo nuestras defensas contra el panorama en constante evolución de las amenazas a la ciberseguridad.