Las interrupciones de Microsoft de hoy, vinculadas a una actualización de Crowdstrike, muestran el inmenso riesgo que corremos si ponemos todos nuestros huevos en una enorme canasta que abarca todo el mundo. Algunos colegas inicialmente sugirieron que esto era parte de un ataque coordinado a la infraestructura de Microsoft, lo que, aunque resulta que probablemente no sea el caso, fue una primera suposición razonable dados los problemas continuos que experimenta con piratas informáticos persistentes patrocinados por el estado. Sin embargo, en lugar de un evento de piratería masiva, la razón de la interrupción son simplemente problemas administrativos y de parches de TI, que, de hecho, representan la mayoría de las interrupciones de Microsoft Azure y M365, aunque rara vez con un efecto tan generalizado. La ironía de este incidente en particular es que esta vez, los problemas no se deben a la actividad de Microsoft, sino que están relacionados con una actualización de seguridad de Crowdstrike Falcon que se encontró en una gran proporción de escritorios y servidores de Windows. Por lo tanto, no es tanto un caso de que Microsoft se haya disparado en el pie (de nuevo), sino que esta vez lo ha hecho un amigo cercano y de confianza. Dudo que esa distinción le dé mucho consuelo a Redmond. Puede que a mucha gente le sorprenda que una «medida de protección que salió mal» haya provocado un caos tan instantáneo en tantos países y sectores industriales, pero la realidad es que la infraestructura de la nube pública es muy compleja y sorprendentemente frágil. Los problemas aparecieron por primera vez en la página de actualizaciones de Azure ayer por la noche con una interrupción en la región central de EE. UU. de Azure alrededor de las 10 p. m. UTC, aunque no está 100 % claro que se trate del mismo problema que estamos viendo actualmente, ya que más tarde se informó de que esos problemas de Azure se solucionaron a las 6:30 a. m., hora del Reino Unido, de hoy. No pasó mucho tiempo antes de que el Reino Unido comenzara a despertar, se conectara y descubriera que, de la noche a la mañana, parecía que habíamos esquivado una bala bastante grande. El Lejano Oriente e incluso partes de Europa, que operan en zonas horarias por delante de nosotros, no lo han hecho tan bien, y varias aerolíneas, aeropuertos, servicios de transporte, bancos y servicios de procesamiento financiero se han visto afectados. Incluso en el Reino Unido, se han informado impactos en trenes, NHS, servicios financieros y una variedad de servicios comerciales, así como una interrupción desconcertante y muy pública de las transmisiones de Sky News durante algunas horas. Sin embargo, en el momento de escribir este artículo, la página de actualización de Azure ha comenzado a informar que los problemas se deben principalmente a las propias máquinas virtuales. Microsoft recomienda que las empresas restauren las versiones respaldadas antes de las 7:00 p. m. UTC del 18 de julio. Esto tiende a confirmar que el problema se debe a un parche o implementación automática realizada después de esa hora, pero que ha podido propagarse globalmente a prácticamente todas las regiones globales de Microsoft; solo México, España central y China no mostraron interrupciones. Además, el gobierno de los EE. UU. parece haberse salvado esta vez, posiblemente porque utiliza una infraestructura de TI diferente: si bien puede usar la palabra «Azure» en su nube, no es la que usa el resto del mundo (y el gobierno del Reino Unido). Riesgo para los servicios públicos del Reino Unido Computer Weekly informó recientemente sobre la divulgación de Microsoft de que, a pesar de las garantías que dio durante muchos años de que sus servicios están 100% alojados, operados y respaldados desde el Reino Unido, de hecho, no lo están. La preocupación de los ciudadanos del Reino Unido debería ser que, en los últimos 10 años, el gobierno del Reino Unido ha trasladado los servicios básicos directamente a las plataformas de nube de Microsoft, que no están dedicadas al uso gubernamental ni se encuentran ubicadas al 100 % en el Reino Unido; es el mismo servicio disponible para literalmente cualquier cliente de Microsoft que resida en cualquier parte del mundo. Esto significa que el sector público del Reino Unido no tiene condiciones especiales, ni protecciones de seguridad específicas y, lo que es más importante, no se prioriza el servicio sobre la tienda de la esquina que tiene una suscripción anual a M365. La policía, los servicios de emergencia, la salud y, de hecho, la estructura misma de nuestra sociedad pública se encuentran en la nube de Microsoft o tienen grados de dependencia de ella. Después de todo, los servicios en la nube comparten algunas conexiones, lo que explica también los informes limitados de problemas con AWS y Google Cloud en la actualidad; es casi seguro que estén asociados con sus feeds conectados de Microsoft o dispositivos Windows. Es importante que reconozcamos que las plataformas Azure y M365 nunca se diseñaron para el tipo de servicios para los que el gobierno anterior ha utilizado la nube de Microsoft. De hecho, sus términos de servicio advierten contra la confianza en la disponibilidad de la plataforma Microsoft y prohíben estrictamente su uso para procesamiento de alto valor, donde la interrupción podría resultar en daño a individuos o pérdidas financieras significativas. A pesar de esto, utilizando la agenda de la nube primero de la última administración, los líderes de TI en todo el Gobierno de Su Majestad se han lanzado de cabeza a la nube de Microsoft de todos modos y han hecho poca o ninguna diligencia para confirmar que realmente es adecuada para sus necesidades. Este claro punto de desconexión podría usarse para eximir a Microsoft de responsabilidad si no hubiera estado muy feliz de permitir que se incorporaran servicios de infraestructura nacional crítica (CNI). Queda por ver si el nuevo gobierno continúa con esa práctica, pero al menos una de sus medidas recientemente anunciadas en el Discurso del Rey sería beneficiosa en nuestra posición actual, con la obligación de notificar los problemas cibernéticos. Es muy poco probable que alguna vez comprendamos adecuadamente la naturaleza, la escala y el impacto de este incidente porque hay poco incentivo y ningún imperativo para informar esa información. Eso es cada vez más un problema ya que nuestras responsabilidades nacionales y la exposición al riesgo son imposibles de determinar sin esa información. En este momento no sabemos realmente qué información tenemos en la nube ni en qué nube se encuentra. Aunque al gobierno anterior le hubiera gustado pensar que se podía ignorar la “agregación”, hoy nos hemos dado cuenta de que poner todos los huevos en una misma canasta puede ser una mala idea. Como país, estamos expuestos como nunca antes, y este es un aviso al que sería prudente prestar atención. Aunque detesto ser el portador de malas noticias, esta es otra posible área de crisis a la que el nuevo gobierno debe dar prioridad.