Cuando el viernes las pantallas de ordenador se pusieron azules en todo el mundo, los vuelos se suspendieron, los registros en los hoteles se hicieron imposibles y las entregas de mercancías se paralizaron. Las empresas recurrieron al papel y al bolígrafo. Y las sospechas iniciales recayeron en algún tipo de ataque ciberterrorista. Sin embargo, la realidad fue mucho más mundana: una actualización de software fallida de la empresa de ciberseguridad CrowdStrike. «En este caso, fue una actualización de contenido», dijo Nick Hyatt, director de inteligencia de amenazas de la empresa de seguridad Blackpoint Cyber. Y como CrowdStrike tiene una base de clientes tan amplia, fue la actualización de contenido la que se sintió en todo el mundo. «Un error ha tenido resultados catastróficos. Este es un gran ejemplo de lo estrechamente vinculada que está nuestra sociedad moderna a la TI: desde las cafeterías hasta los hospitales y los aeropuertos, un error como este tiene ramificaciones masivas», dijo Hyatt. En este caso, la actualización de contenido estaba vinculada al software de monitorización Falcon de CrowdStrike. Falcon, dice Hyatt, tiene conexiones profundas para monitorizar el malware y otro comportamiento malicioso en los puntos finales, en este caso, portátiles, ordenadores de sobremesa y servidores. Falcon se actualiza automáticamente para tener en cuenta las nuevas amenazas. «Se implementó un código con errores a través de la función de actualización automática y, bueno, aquí estamos», dijo Hyatt. La capacidad de actualización automática es estándar en muchas aplicaciones de software y no es exclusiva de CrowdStrike. «Es solo que debido a lo que hace CrowdStrike, las consecuencias aquí son catastróficas», agregó Hyatt. Los errores de pantalla azul de la muerte en las pantallas de las computadoras se ven debido a la interrupción de las comunicaciones globales causada por CrowdStrike, que brinda servicios de seguridad cibernética a la empresa de tecnología estadounidense Microsoft, el 19 de julio de 2024 en Ankara, Turquía. Harun Ozalp | Anadolu | Getty ImagesAunque CrowdStrike identificó rápidamente el problema y muchos sistemas volvieron a funcionar en cuestión de horas, la cascada global de daños no se revierte fácilmente para las organizaciones con sistemas complejos. «Creemos que pasarán de tres a cinco días antes de que las cosas se resuelvan», dijo Eric O’Neill, ex operativo de contrainteligencia y contraterrorismo del FBI y experto en ciberseguridad. «Esto representa un montón de tiempos de inactividad para las organizaciones». No ayudó, dijo O’Neill, que la interrupción ocurriera un viernes de verano con muchas oficinas vacías y el personal de TI para ayudar a resolver el problema era escaso. Las actualizaciones de software deberían implementarse de forma gradual. O’Neill dijo que una lección de la interrupción global de TI es que la actualización de CrowdStrike debería haberse implementado de forma gradual. «Lo que Crowdstrike estaba haciendo era implementar sus actualizaciones para todos a la vez. Esa no es la mejor idea. Enviarlo a un grupo y probarlo. Hay niveles de control de calidad por los que debería pasar», dijo O’Neill. «Debería haberse probado en entornos aislados, en muchos entornos antes de salir», dijo Peter Avery, vicepresidente de seguridad y cumplimiento en Visual Edge IT. Él espera que se necesiten más salvaguardas para prevenir futuros incidentes que repitan este tipo de fallas. «Se necesitan los controles y contrapesos adecuados en las empresas. Podría haber sido una sola persona la que decidió impulsar esta actualización, o alguien eligió el archivo equivocado para ejecutar», dijo Avery. La industria de TI llama a esto un fallo de punto único: un error en una parte de un sistema que crea un desastre técnico en todas las industrias, funciones y redes de comunicaciones interconectadas; un efecto dominó masivo. El evento del viernes podría hacer que las empresas y los individuos aumenten su nivel de preparación cibernética. «El panorama general es cuán frágil es el mundo; no es solo un problema cibernético o técnico. Hay un montón de fenómenos diferentes que pueden causar una interrupción, como las erupciones solares que pueden destruir nuestras comunicaciones y dispositivos electrónicos», dijo Avery. En última instancia, el colapso del viernes no fue una crítica a Crowdstrike o Microsoft, sino a cómo las empresas ven la ciberseguridad, dijo Javad Abed, profesor adjunto de sistemas de información en la Johns Hopkins Carey Business School. «Los dueños de empresas deben dejar de ver los servicios de ciberseguridad como un mero costo y, en cambio, como una inversión esencial en el futuro de su empresa», dijo Abed. Las empresas deberían hacer esto mediante la creación de redundancia en sus sistemas. «Un único punto de falla no debería ser capaz de detener una empresa, y eso es lo que sucedió», dijo Abed. «No se puede confiar en una sola herramienta de ciberseguridad, la ciberseguridad 101», dijo Abed. Si bien crear redundancia en los sistemas empresariales es costoso, lo que sucedió el viernes es más caro. «Espero que esto sea una llamada de atención y que provoque algunos cambios en la mentalidad de los dueños de negocios y las organizaciones para que revisen sus estrategias de ciberseguridad», dijo Abed. Qué hacer con el código «a nivel de núcleo» En un nivel macro, es justo asignar cierta culpa sistémica dentro de un mundo de TI empresarial que a menudo ve la ciberseguridad, la seguridad de los datos y la cadena de suministro de tecnología como «cosas agradables de tener» en lugar de esenciales, y una falta general de liderazgo en ciberseguridad dentro de las organizaciones, dijo Nicholas Reese, ex funcionario del Departamento de Seguridad Nacional e instructor en el Centro SPS para Asuntos Globales de la Universidad de Nueva York. En un nivel micro, Reese dijo que el código que causó esta interrupción fue el código a nivel de núcleo, que afectó a todos los aspectos de comunicación del hardware y software de la computadora. «El código a nivel de núcleo debería recibir el máximo nivel de escrutinio», dijo Reese, y la aprobación y la implementación deben ser procesos completamente separados y con rendición de cuentas. Ese es un problema que continuará en todo el ecosistema, inundado de productos de terceros, todos con vulnerabilidades. «¿Cómo podemos observar el ecosistema de terceros proveedores y ver dónde estará la próxima vulnerabilidad? Es casi imposible, pero tenemos que intentarlo», dijo Reese. «No es una posibilidad, sino una certeza hasta que nos enfrentemos a la cantidad de vulnerabilidades potenciales. Necesitamos concentrarnos en la copia de seguridad y la redundancia e invertir en ello, pero las empresas dicen que no pueden permitirse pagar por cosas que tal vez nunca sucedan. Es un caso difícil de defender», dijo.