El ransomware ha estado plagando los municipios estadounidenses durante mucho tiempo. Parecía ser otro ataque de ransomware típico que afectó a la ciudad de Columbus, Ohio, el pasado mes de julio. Sin embargo, la respuesta de la ciudad al ataque no fue así, y los expertos legales y de ciberseguridad de todo el país cuestionan sus motivos. Connor Goodwolf (su nombre legal es David Leroy Ross) es un consultor de TI que investiga la red oscura como parte de su trabajo. «Hago un seguimiento de los delitos de la red oscura, las organizaciones criminales y cosas como por las que han arrestado al director ejecutivo de Telegram», dijo Goodwolf. Entonces, cuando se supo que la ciudad de Columbus, su ciudad natal, había sido atacada, Goodwolf hizo lo que suele hacer: husmeó en Internet. No tardó mucho en descubrir lo que los piratas informáticos tenían en su poder. «No fue la mayor, pero fue una de las infracciones más impactantes que he visto», dijo Goodwolf. En algunos sentidos, lo describió como una infracción rutinaria, con información personal identificable, información médica protegida, números de la Seguridad Social y fotos de licencias de conducir expuestas. Sin embargo, debido a que se violaron múltiples bases de datos, fue más amplio que otros ataques. Según Goodwolf, los piratas informáticos habían violado múltiples bases de datos de la ciudad, la policía y la fiscalía. Había registros de arrestos e información confidencial sobre menores y víctimas de violencia doméstica. Algunas de las bases de datos violadas, dice, se remontan a 1999. Goodwolf encontró más de tres terabytes de datos que tardaron más de 8 horas en descargarse. «Lo primero que veo es la base de datos de la fiscalía, y pienso ‘mierda’, son víctimas de violencia doméstica. Cuando se trata de víctimas de violencia doméstica, debemos protegerlas al máximo porque ya han sido víctimas una vez, y ahora lo son nuevamente al tener su información expuesta», dijo. La primera acción de Goodwolf fue ponerse en contacto con la ciudad para informarles de la gravedad de la violación, porque lo que vio contradecía las declaraciones oficiales. En una conferencia de prensa el 13 de agosto, el alcalde de Columbus, Andrew Ginther, dijo: «Los datos personales que el actor de amenazas publicó en la red oscura estaban encriptados o corruptos, por lo que la mayoría de los datos que obtuvo el actor de amenazas son inutilizables». Pero lo que Goodwolf estaba encontrando no respaldaba esa opinión. «Traté de comunicarme con la ciudad varias veces y con varios departamentos, pero no me respondieron», dijo. Mandiant, propiedad de Google, así como muchas otras empresas de ciberseguridad importantes, han estado rastreando un aumento continuo en los ataques de ransomware, tanto en prevalencia como en gravedad, y el ascenso del Grupo Rhysida detrás del hackeo de Columbus, que ha ganado prominencia en el último año. El Grupo Rhysida se atribuyó la responsabilidad del hackeo. Si bien no se sabe mucho sobre la banda cibernética, Goodwolf y otros expertos en seguridad dicen que parecen estar patrocinados por el estado y radicados en Europa del Este, posiblemente vinculados a Rusia. Goodwolf afirma que estas bandas de ransomware son «operaciones profesionales» con personal, vacaciones pagadas y personal de relaciones públicas. «Han aumentado los ataques y los objetivos desde el otoño pasado», dijo. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de Estados Unidos emitió un boletín sobre Rhysida en noviembre pasado. Goodwolf dijo que como nadie de la ciudad le respondió, fue a los medios locales y compartió datos con los periodistas para hacer correr la voz sobre la gravedad de la violación. Y fue entonces cuando recibió noticias de la ciudad de Columbus, en forma de una demanda y una orden de restricción temporal que le impedían difundir información adicional. La ciudad defendió su respuesta en una declaración a CNBC: «La ciudad inicialmente se movió para obtener esta orden, que fue otorgada por la Corte, para prevenir la difusión de información sensible y confidencial, incluyendo potencialmente las identidades de oficiales de policía encubiertos, que amenaza la seguridad pública y las investigaciones criminales». La orden de restricción temporal de 14 días de la ciudad contra Goodwolf ya expiró, y ahora tiene una orden preliminar y un acuerdo con Goodwolf para no divulgar más datos. «Cabe señalar que la orden de la Corte no prohíbe al acusado discutir la violación de datos o incluso describir qué tipo de datos fueron expuestos», agregó la declaración de la ciudad. «Simplemente prohíbe al individuo difundir los datos robados publicados en la red oscura. La Ciudad sigue comprometida con las autoridades federales y los expertos en seguridad cibernética para responder a esta intrusión cibernética». Mientras tanto, el alcalde tuvo que realizar un mea culpa en una conferencia de prensa posterior, diciendo que sus declaraciones iniciales se basaron en la información que tenía en ese momento. «Era la mejor información que teníamos en ese momento. Claramente, descubrimos que era información inexacta y tengo que aceptar la responsabilidad por eso». Al darse cuenta de que la exposición a los residentes era mayor de lo que se pensaba en un principio, la ciudad está ofreciendo dos años de monitoreo de crédito gratuito de Experian. Esto incluye a cualquier persona que haya tenido contacto con la ciudad de Columbus a través de un arresto u otro negocio. Columbus también está trabajando con Legal Aid para ver qué protecciones adicionales son necesarias para las víctimas de violencia doméstica que pueden haber sido comprometidas o necesitan ayuda con órdenes de protección civil. Hasta la fecha, la ciudad no ha pagado a los piratas informáticos, que exigían $ 2 millones en rescate. ‘Él no es Edward Snowden’ Aquellos que estudian la ley de seguridad cibernética y trabajan dentro del ámbito expresaron su sorpresa por el hecho de que Columbus presentara una demanda civil contra el investigador. «Las demandas contra investigadores de seguridad de datos son poco frecuentes», dijo Raymond Ku, profesor de derecho en la Universidad Case Western Reserve. En las raras ocasiones en que ocurren, dijo, suele ser cuando se alega que el investigador ha revelado cómo se explotó o puede explotarse una falla, lo que luego permitiría que otros también se aprovechen de ella. «No era Edward Snowden», dijo Kyle Hanslovan, director ejecutivo de la empresa de ciberseguridad Huntress, quien se describió como preocupado por la respuesta de la ciudad de Columbus y lo que podría significar para futuras infracciones. Snowden era un empleado contratado por el gobierno que filtró información clasificada y se enfrentó a cargos penales, pero se consideraba un denunciante. Goodwolf, dice Hanslovan, es un buen samaritano que encontró de forma independiente los datos vulnerados. «En este caso, parece que acabamos de silenciar a alguien que, hasta donde sé, parece ser un investigador de seguridad que hizo lo mínimo y confirmó que las declaraciones oficiales realizadas no eran ciertas. Esto no puede ser un uso apropiado de los tribunales», dijo Hanslovan, prediciendo que el caso será anulado rápidamente. El fiscal de la ciudad de Columbus, Zach Klein, dijo durante una conferencia de prensa en septiembre que el caso «no tenía que ver con la libertad de expresión o la denuncia de irregularidades. Se trata de la descarga y divulgación de registros de investigación criminal robados». A Hanslovan le preocupa el efecto dominó que se produzca cuando los consultores e investigadores de ciberseguridad tengan miedo de hacer su trabajo por temor a ser demandados. «La historia más importante aquí es si estamos viendo el surgimiento de un nuevo manual» para la respuesta a los ataques informáticos en el que se silencia a las personas, y eso no debería ser bienvenido, dijo. «Silenciar cualquier opinión, incluso durante 14 días, podría ser suficiente para evitar que algo creíble salga a la luz, y eso me aterroriza», dijo Hanslovan. «Esa voz necesita ser escuchada. A medida que surgen incidentes de ciberseguridad más grandes, me preocupa que la gente se preocupe más por sacarlos a la luz». Scott Dylan, fundador de la empresa de capital de riesgo con sede en el Reino Unido NexaTech Ventures, también cree que las acciones de la ciudad de Columbus podrían inducir un efecto paralizante en el campo de la ciberseguridad. «A medida que el campo del derecho cibernético siga madurando, es probable que este caso se mencione en futuras discusiones sobre el papel de los investigadores después de las violaciones de datos», dijo Dylan. Afirma que los marcos legales deben evolucionar para seguir el ritmo de la sofisticación de los ciberataques y los dilemas éticos que generan, y el enfoque adoptado por Columbus es un error. Mientras tanto, el proceso legal seguirá su curso para Goodwolf. A pesar de que Columbus y Goodwolf llegaron a un acuerdo la semana pasada sobre la difusión de información, la ciudad sigue demandándolo por daños en una demanda civil que podría alcanzar los 25.000 dólares o más. Goodwolf se representa a sí mismo en sus conversaciones con la ciudad, aunque dice que tiene un abogado de guardia, si es necesario. Algunos residentes han presentado una demanda colectiva contra la ciudad. Goodwolf dice que el 55% de la información filtrada se ha vendido en la red oscura, mientras que el 45% está disponible para cualquiera con las habilidades necesarias para acceder a ella. Dylan cree que la ciudad está asumiendo un gran riesgo, incluso si sus acciones pueden ser legalmente defendibles, al crear la apariencia de un intento de silenciar el discurso en lugar de fomentar la transparencia. «Es una estrategia que podría resultar contraproducente, tanto en términos de confianza pública como de litigios futuros», dijo. «Espero que la ciudad se dé cuenta del error de presentar una demanda civil y las implicaciones no solo en materia de seguridad», dijo Goodwolf, señalando que Intel está gastando miles de millones, con un importante apoyo del gobierno federal, para construir instalaciones de fabricación de chips en un suburbio de Columbus. En los últimos años, la ciudad se ha estado posicionando como un nuevo centro tecnológico en el «Silicon Heartland» del Medio Oeste, y atacar a los investigadores de sombrero blanco y de ciberseguridad, dijo, podría hacer que algunos en el sector tecnológico la reconsideren como una ubicación.
Etiqueta: Suprimir Zephr
Muchas cadenas hoteleras se apresuran a reemplazar las llaves de plástico de las habitaciones por opciones digitales, incluidas las aplicaciones Apple Wallet y Google Wallet. Las tarjetas de plástico para llaves de hotel han tenido unos años difíciles. Durante la pandemia, el contacto físico era un tabú, por lo que las tendencias sin contacto se aceleraron. Y han aumentado las preocupaciones por la ciberseguridad en torno a la tecnología de las llaves de los hoteles. A principios de este año, los investigadores encontraron una vulnerabilidad en las llaves de plástico de los hoteles que podría convertir hasta tres millones de llaves en presa fácil para los piratas informáticos y tardar años en solucionarse. Los problemas de ciberseguridad han llevado a muchas cadenas hoteleras a acelerar los planes para transformar las cerraduras de las puertas de los hoteles. Si bien las principales cadenas estadounidenses han tenido la capacidad de la llave digital durante años, Google Wallet y Apple Wallet se están sumando al ofrecer a los hoteles la posibilidad de guardar las llaves de las habitaciones de los huéspedes en sus billeteras, lo que les permite acceder a sus habitaciones simplemente tocando la parte posterior de sus teléfonos contra un lector cerca de la manija de la puerta. Hilton Hotels tiene su aplicación Honors, que permite a los huéspedes registrarse y usar una llave de habitación a través de su teléfono inteligente. El Harpeth Hotel, de 119 habitaciones, en Franklin, Tennessee, es una propiedad de Hilton, y los huéspedes pueden registrarse digitalmente y guardar las llaves en su aplicación de billetera de Google o Apple. «El beneficio del check-in digital es que su teléfono es la llave», dijo Kimberly Elder, directora de ventas del Harpeth Hotel, y agregó que muchos huéspedes aún prefieren las tarjetas de plástico. Eli Fuchs, director regional de operaciones de Valor Hospitality Partners, que tiene hoteles Hilton y Holiday Inn Express en su cartera, dice que lo digital es la próxima ola en tecnología de puertas de habitaciones de hotel. «Las llaves tradicionales de las habitaciones de hotel están llegando al final de su existencia», dice Fuchs. Sin embargo, algunos expertos en seguridad advierten que incluso los métodos de bloqueo más nuevos no son infalibles. «Los sistemas sin llave pueden introducir vectores de amenaza completamente nuevos que las operaciones de seguridad del hotel deben gestionar», dijo Lee Clark, gerente de producción de inteligencia de amenazas cibernéticas en Retail and Hotelity Information Sharing and Analysis Center (RH-ISAC). Si bien Clark dice que estas amenazas se pueden mitigar a través de políticas y configuraciones de control de seguridad, como la autenticación multifactor (MFA), estas introducen pasos adicionales que los huéspedes acosados pueden tener que tomar. No siempre quieren saltar a través de la cerradura. Clark dice que es poco probable que todos los hoteles reemplacen todas las tarjetas llave por llaves digitales en un futuro cercano porque algunos huéspedes pueden preferir una tarjeta llave o pueden no tener un dispositivo personal compatible con los sistemas de cerradura digital, junto con el gasto. «La transición a sistemas de cerradura digitales y sin llave conlleva un costo significativo en equipo, instalación, mantenimiento y seguridad», dijo Clark. Las cadenas hoteleras comienzan a requerir sistemas de llave digital Y los hábitos humanos también siguen interponiéndose. Por ejemplo, los datos de la investigación de JD Power sobre hoteles encontraron que solo el 14% del total de huéspedes de hoteles de marca usaron llaves digitales durante su estadía en el hotel. Incluso los huéspedes que descargaron la aplicación de la marca a sus teléfonos usaron la tarjeta llave de plástico. Según los datos de JD Power, entre los huéspedes que tienen la aplicación de la empresa/marca hotelera, el 30% usa una llave digital y el 70% usa una tarjeta de plástico la mayor parte del tiempo. Por otro lado, muchos hoteles simplemente no han instalado cerraduras capaces de entrar digitalmente. «Varias grandes cadenas hoteleras, cuyas aplicaciones probablemente admitan llaves digitales, están empezando a exigir que los propietarios de franquicias hoteleras instalen nuevas cerraduras en las puertas como parte de los estándares actualizados de la marca», dijo Andrea Stokes, directora de prácticas de hospitalidad en JD Power. A pesar de la lenta adopción de opciones digitales por parte de los clientes, los datos de JD Power muestran que los clientes sin llave se sienten más seguros que los que usan tarjetas de plástico. «Los huéspedes que usan una ‘llave digital’ brindan calificaciones significativamente más positivas para la seguridad del hotel en comparación con los que no usaron llaves digitales», dijo Stokes. Chad Spensky, CEO de Allthenticate, que desarrolla la capacidad de acceso a teléfonos inteligentes y la gestión de credenciales, compara la tarjeta de llave de plástico con las contraseñas, que los especialistas en ciberseguridad consideran de baja tecnología y anticuadas. «Todos seguimos usando contraseñas, a pesar de los evidentes agujeros de seguridad y la experiencia torpe del usuario. De la misma manera, es probable que las tarjetas de llave hayan llegado para quedarse», dijo Spensky. Según Spensky, la verdadera promesa de las tarjetas digitales no tiene tanto que ver con la seguridad como con la comodidad. «Aunque las implementaciones de tarjetas no son más seguras que sus contrapartes de plástico, la experiencia de usuario es muy superior», afirmó. Si se da la opción de barajar un montón de tarjetas de plástico o tener un teléfono inteligente, «el teléfono es el claro ganador». El factor de comodidad para el consumidor está impulsando a las cadenas hoteleras a avanzar en su búsqueda de llaves digitales. Aunque las llaves digitales ofrecen una superficie de ataque adicional, también permiten una rápida corrección del curso de la situación. Uno de los mayores problemas con las tarjetas de acceso, dice Spensky, es que cuando se descubre una vulnerabilidad no hay una manera fácil de repararla. «Con los teléfonos inteligentes, los parches se pueden enviar casi instantáneamente por el aire», dijo. No descarte todavía la tarjeta de acceso de plástico Mehmet Erdem, profesor y director del departamento de gestión de complejos turísticos, juegos y golf en la Facultad de Hostelería William F. Harrah de la Universidad de Las Vegas, advierte que ningún sistema es infalible y que la gente no debería permitir que la entrada digital les dé una falsa sensación de seguridad. «Todo puede ser pirateado, todo puede ser violado», dijo Erdem. «Si alguien tiene la intención de piratear, lo hará». Erdem dice que no descarte todavía la tarjeta de acceso de plástico. Hay tarjetas de acceso magnéticas que requieren deslizar el dedo y las nuevas tarjetas de identificación por radiofrecuencia (RFID) que simplemente requieren proximidad o pueden cargarse en un teléfono. Erdem afirma que la tecnología RFID está mejorando, lo que hace que las llaves de plástico sean más versátiles. «La tecnología RFID no está obsoleta», afirma Erdem, añadiendo que permite a las personas que quieren menos interacción descargar la aplicación, obtener la llave, activarla y acceder a la habitación. «Debido a la sostenibilidad y el coste, los hoteles impulsarán la aplicación móvil», afirma Erdem, pero añade que algunas personas siempre preferirán la llave de plástico física. La ventaja de la versión digital de una llave de plástico, afirma, se debe a la naturaleza humana. «La gente olvida la cartera, el DNI, pero no el teléfono». Pero en Las Vegas, donde la gente suele dirigirse a sus habitaciones de hotel cargada de ganancias de las mesas de blackjack y las máquinas tragaperras, existe una opción anticuada y de baja tecnología que hace que la discusión sobre la puerta sea irrelevante. «Siempre está la caja fuerte en la habitación, los huéspedes deberían utilizarla si tienen algo muy valioso», afirma Erdem.
La pregunta «¿Qué es un pensamiento?» ya no es estrictamente filosófica. Como cualquier otra cosa medible, nuestros pensamientos están sujetos a respuestas cada vez más técnicas, con datos capturados mediante el seguimiento de las ondas cerebrales. Ese avance también significa que los datos son mercantilizables, y los datos cerebrales capturados ya están siendo comprados y vendidos por empresas en el espacio de las tecnologías de consumo ponibles, con pocas protecciones establecidas para los usuarios. En respuesta, Colorado aprobó recientemente una ley de privacidad pionera en el país destinada a proteger estos derechos. La ley se enmarca en la «Ley de Protección al Consumidor de Colorado» existente, que tiene como objetivo proteger «la privacidad de los datos personales de las personas mediante el establecimiento de ciertos requisitos para las entidades que procesan datos personales». [and] incluye protecciones adicionales para datos sensibles». El lenguaje clave en la ley de Colorado es la expansión del término «datos sensibles» para incluir «datos biológicos» -incluyendo numerosas propiedades biológicas, genéticas, bioquímicas, fisiológicas y neuronales. Neuralink de Elon Musk es el ejemplo más famoso de cómo la tecnología se está integrando con la mente humana, aunque no es el único en el espacio, con Paradromics emergiendo como un competidor cercano, junto con dispositivos que han devuelto el habla a las víctimas de derrame cerebral y han ayudado a los amputados a mover miembros protésicos con sus mentes. Todos estos productos son dispositivos médicos que requieren implantación y están protegidos por los estrictos requisitos de privacidad de HIPAA. La ley de Colorado se centra en la esfera de la tecnología de consumo en rápido crecimiento y los dispositivos que no requieren procedimientos médicos, no tienen protecciones análogas y se pueden comprar y usar sin supervisión médica de ningún tipo. Hay docenas de empresas que fabrican productos que son tecnologías portátiles que capturan ondas cerebrales (también conocidos como datos neuronales). Solo en Amazon hay páginas de productos, desde máscaras para dormir diseñadas para optimizar el sueño profundo o promover el sueño lúcido, hasta cintas para la cabeza que prometen promover la concentración y auriculares con biofeedback que llevarán su sesión de meditación al siguiente nivel. Estos productos, por diseño y necesidad, capturan datos neuronales mediante el uso de pequeños electrodos que producen lecturas de la actividad cerebral, y algunos despliegan impulsos eléctricos para influir en la actividad cerebral. Las leyes vigentes para el manejo de todos esos datos cerebrales son prácticamente inexistentes. «Hemos entrado en el mundo de la ciencia ficción», dijo la principal patrocinadora del proyecto de ley de Colorado, la representante Cathy Kipp. «Como con cualquier avance en la ciencia, debe haber barandillas». «Momento ChatGPT» para la tecnología cerebral de consumo Un estudio reciente de la Fundación NeuroRights descubrió que de treinta empresas examinadas que están fabricando tecnología portátil capaz de capturar ondas cerebrales, veintinueve «no ofrecen limitaciones significativas a este acceso». «Esta revolución en la neurotecnología de consumo se ha centrado en la creciente capacidad de captar e interpretar las ondas cerebrales», dijo el Dr. Sean Pauzauskie, director médico de la Fundación NeuroRights. Los dispositivos que utilizan electroencefalografía, una tecnología fácilmente disponible para los consumidores, son «un mercado multimillonario que se duplicará en los próximos cinco años», dijo. «En los próximos dos a cinco años no es improbable que la neurotecnología pueda vivir un momento ChatGPT». La cantidad de datos que se pueden recopilar depende de varios factores, pero la tecnología está avanzando rápidamente y podría conducir a un aumento exponencial de las aplicaciones, ya que la tecnología incorpora cada vez más inteligencia artificial. Apple ya ha presentado patentes para los AirPods con detección cerebral. «Los datos cerebrales son demasiado importantes para dejarlos sin regular. Reflejan el funcionamiento interno de nuestras mentes», dijo Rafael Yusuf, profesor de ciencias biológicas y director del Centro de Neurotecnología de la Universidad de Columbia, así como presidente de la Fundación NeuroRights y figura principal de la organización de ética de la neurotecnología Morningside Group. «El cerebro no es sólo otro órgano del cuerpo», añadió. «Necesitamos involucrar a los actores privados para asegurarnos de que adopten un marco de innovación responsable, ya que el cerebro es el santuario de nuestras mentes». Pauzauskie dijo que el valor para las empresas radica en la interpretación o decodificación de las señales cerebrales recogidas por las tecnologías ponibles. Como ejemplo hipotético, dijo, «si llevaras auriculares con sensores cerebrales, Nike no sólo sabría que buscaste zapatillas para correr a partir de tu historial de navegación, sino que también podría saber qué tan interesado estás mientras navegas». Puede ser necesaria una ola de legislación sobre privacidad biológicaLa preocupación a la que apunta la ley de Colorado puede conducir a una ola de legislación similar, con una mayor atención a la mezcla de tecnologías que avanzan rápidamente y la mercantilización de los datos de los usuarios. En el pasado, los derechos y las protecciones de los consumidores han quedado rezagados con respecto a la innovación. «Las mejores y más recientes analogías entre tecnología y privacidad podrían ser las revoluciones de Internet y la genética de los consumidores, que en gran medida no se controlaron», dijo Pauzauskie. Un arco similar podría seguir a los avances sin control en la recopilación y mercantilización de datos cerebrales de los consumidores. La piratería, los motivos de lucro corporativo, los acuerdos de privacidad siempre cambiantes para los usuarios y la falta de leyes que cubran los datos son todos riesgos importantes, dijo Pauzauskie. Según la Ley de Privacidad de Colorado, los datos cerebrales tienen los mismos derechos de privacidad que las huellas dactilares. Según el profesor Farinaz Koushanfar y el profesor asociado Duygu Kuzum del departamento de Ingeniería Eléctrica e Informática de la UC San Diego, todavía es demasiado pronto para comprender las limitaciones de la tecnología, así como las profundidades de la recopilación de datos potencialmente intrusiva. El seguimiento de los datos neuronales podría significar el seguimiento de una amplia gama de procesos y funciones cognitivas, incluidos los pensamientos, las intenciones y los recuerdos, escribieron en una declaración conjunta enviada por correo electrónico. En un extremo, el seguimiento de los datos neuronales podría significar el acceso directo a la información médica. El amplio abanico de posibilidades es en sí mismo un problema. «Todavía hay demasiadas incógnitas en este campo y eso es preocupante», escribieron. Si estas leyes se generalizan, las empresas pueden no tener otra opción que revisar su estructura organizativa actual, según Koushanfar y Kuzum. Puede ser necesario establecer nuevos responsables de cumplimiento e implementar métodos como la evaluación de riesgos, la auditoría de terceros y la anonimización como mecanismos para establecer requisitos para las entidades involucradas. Desde el lado del consumidor, la ley de Colorado y cualquier esfuerzo posterior representan pasos importantes hacia una mejor educación de los usuarios, así como para darles las herramientas necesarias para verificar y ejercer sus derechos en caso de que se infrinjan. «La ley de privacidad [in Colorado] «El tema de la neurotecnología podría ser una rara excepción, en la que los derechos y las regulaciones preceden a cualquier mal uso o abuso generalizado de los datos de los consumidores», dijo Pauzauskie.
La frecuencia de los ataques a gran escala a las TI de las empresas está aumentando. Esto no es inusual ni inesperado, ya que las empresas gastan mucho en defensa cibernética en una guerra asimétrica contra los piratas informáticos que pueden unir unas pocas líneas de código y causar estragos. Pero la mayor interrupción de TI de la historia del viernes, resultante de un error de software de CrowdStrike que se cargó en los sistemas operativos de Microsoft en lugar de un ataque malicioso, muestra un tipo de amenaza tecnológica que ha estado aumentando junto con los ataques, pero que recibe menos atención: el fallo de punto único, un error en una parte de un sistema que crea un desastre técnico en industrias, funciones y redes de comunicaciones interconectadas; un efecto dominó masivo. A principios de este año, AT&T tuvo una interrupción a nivel nacional atribuida a una actualización técnica. El año pasado, la FAA tuvo una interrupción que ocurrió después de que una sola persona reemplazara un archivo crítico en una actualización de ruta (ahora que la FAA tiene un sistema de respaldo para evitar que eso vuelva a suceder). «Es más frecuente incluso cuando se trata solo de parches y actualizaciones de rutina», dijo a CNBC el viernes Chad Sweet, cofundador y director ejecutivo de The Chertoff Group y exjefe de personal del Departamento de Seguridad Nacional. Se ven tableros digitales debido a la interrupción global de las comunicaciones causada por CrowdStrike, que brinda servicios de ciberseguridad a la empresa de tecnología estadounidense Microsoft, se observó que algunos tableros digitales en Times Square en la ciudad de Nueva York, Estados Unidos, mostraban una pantalla azul y algunas pantallas se volvieron completamente negras el 19 de julio de 2024. Selcuk Acar | Anadolu | Getty Images La gestión del riesgo de fallas de un solo punto es un problema que las empresas deben planificar y proteger. «No hay ningún software en el mundo que se lance al mercado y no necesite parches o actualizaciones posteriores, y existen mejores prácticas de seguridad que existen para el período de tiempo posterior a un lanzamiento de producción que cubren el mantenimiento continuo del software», dijo Sweet. Las empresas con las que trabaja Chertoff Group están revisando de cerca los estándares de desarrollo y actualización de software a raíz de la interrupción del servicio de CrowdStrike. Sweet señaló un conjunto de protocolos que el gobierno ya proporciona, el SSDF (Secure Software Development Framework), que puede dar al mercado una idea de qué esperar cuando el Congreso comience a analizar el tema más de cerca. Es probable que eso suceda después de la reciente serie de incidentes, desde AT&T hasta la FAA y CrowdStrike, ya que ahora se ha demostrado que este tipo de falla técnica afecta las vidas de los ciudadanos y las operaciones de infraestructura crítica de manera generalizada. «Prepárense en el lado corporativo», dijo Sweet. Aneesh Chopra, director de estrategia de Arcadia y ex director de tecnología de la Casa Blanca, dijo a CNBC el viernes que los sectores críticos, como la energía, la banca, la atención médica y las aerolíneas, tienen regulaciones separadas que supervisan el riesgo, y las medidas pueden ser únicas en los sectores más regulados. Pero para cualquier líder empresarial la pregunta ahora es: «Suponiendo que los sistemas dejen de funcionar, ¿cuál es el plan B? Veremos mucha más planificación de escenarios y si esta no es la tarea número 1, es la tarea número 2 o 3 tener esos escenarios delineados», dijo. A diferencia de muchos temas en DC, Chopra señaló que existe un compromiso bipartidista con los temas de infraestructura crítica y riesgo sistémico, y las normas técnicas son un «sello distintivo» del sistema estadounidense. Ahora puede haber esfuerzos que describió como diseñados con el objetivo de «mejorar la competencia» como un medio para fortalecer la rendición de cuentas. «Si hay un mecanismo para actualizar de una manera más abierta y competitiva, podría haber presión para asegurarse de que eso se haga de una manera que tenga todos los puntos y las tachaduras», dijo Chopra. Sweet dijo que eso conducirá inevitablemente a preocupaciones del mundo empresarial sobre el riesgo de una regulación excesiva. Aunque no hay forma de saber con certeza si CrowdStrike podía operar con un proceso más abierto que permitiera detectar el fallo puntual, Sweet dijo que es una pregunta legítima. El mejor método para evitar la sobrerregulación, según Sweet, es buscar mecanismos de refuerzo del mercado, como el sector de los seguros. «La respuesta corta es: ‘Dejemos que lo haga el libre mercado, a través de cosas como el sector de los seguros, que recompensará a los buenos actores con primas más bajas'», dijo. Sweet también dijo que más empresas deberían adoptar la idea de organizaciones «antifrágiles», como él hace con sus clientes, un término acuñado por el analista de riesgos Nassim Nicholas Taleb. «No sólo una organización que sea resistente después de una disrupción, sino una que prospere, innove y supere a los competidores», dijo. En su opinión, cualquier legislación o regulación tendría dificultades para mantenerse al día con los ataques maliciosos y las actualizaciones técnicas que se implementan con consecuencias no deseadas. «Es una llamada de atención, sin duda», dijo Chopra.
Cuando el viernes las pantallas de ordenador se pusieron azules en todo el mundo, los vuelos se suspendieron, los registros en los hoteles se hicieron imposibles y las entregas de mercancías se paralizaron. Las empresas recurrieron al papel y al bolígrafo. Y las sospechas iniciales recayeron en algún tipo de ataque ciberterrorista. Sin embargo, la realidad fue mucho más mundana: una actualización de software fallida de la empresa de ciberseguridad CrowdStrike. «En este caso, fue una actualización de contenido», dijo Nick Hyatt, director de inteligencia de amenazas de la empresa de seguridad Blackpoint Cyber. Y como CrowdStrike tiene una base de clientes tan amplia, fue la actualización de contenido la que se sintió en todo el mundo. «Un error ha tenido resultados catastróficos. Este es un gran ejemplo de lo estrechamente vinculada que está nuestra sociedad moderna a la TI: desde las cafeterías hasta los hospitales y los aeropuertos, un error como este tiene ramificaciones masivas», dijo Hyatt. En este caso, la actualización de contenido estaba vinculada al software de monitorización Falcon de CrowdStrike. Falcon, dice Hyatt, tiene conexiones profundas para monitorizar el malware y otro comportamiento malicioso en los puntos finales, en este caso, portátiles, ordenadores de sobremesa y servidores. Falcon se actualiza automáticamente para tener en cuenta las nuevas amenazas. «Se implementó un código con errores a través de la función de actualización automática y, bueno, aquí estamos», dijo Hyatt. La capacidad de actualización automática es estándar en muchas aplicaciones de software y no es exclusiva de CrowdStrike. «Es solo que debido a lo que hace CrowdStrike, las consecuencias aquí son catastróficas», agregó Hyatt. Los errores de pantalla azul de la muerte en las pantallas de las computadoras se ven debido a la interrupción de las comunicaciones globales causada por CrowdStrike, que brinda servicios de seguridad cibernética a la empresa de tecnología estadounidense Microsoft, el 19 de julio de 2024 en Ankara, Turquía. Harun Ozalp | Anadolu | Getty ImagesAunque CrowdStrike identificó rápidamente el problema y muchos sistemas volvieron a funcionar en cuestión de horas, la cascada global de daños no se revierte fácilmente para las organizaciones con sistemas complejos. «Creemos que pasarán de tres a cinco días antes de que las cosas se resuelvan», dijo Eric O’Neill, ex operativo de contrainteligencia y contraterrorismo del FBI y experto en ciberseguridad. «Esto representa un montón de tiempos de inactividad para las organizaciones». No ayudó, dijo O’Neill, que la interrupción ocurriera un viernes de verano con muchas oficinas vacías y el personal de TI para ayudar a resolver el problema era escaso. Las actualizaciones de software deberían implementarse de forma gradual. O’Neill dijo que una lección de la interrupción global de TI es que la actualización de CrowdStrike debería haberse implementado de forma gradual. «Lo que Crowdstrike estaba haciendo era implementar sus actualizaciones para todos a la vez. Esa no es la mejor idea. Enviarlo a un grupo y probarlo. Hay niveles de control de calidad por los que debería pasar», dijo O’Neill. «Debería haberse probado en entornos aislados, en muchos entornos antes de salir», dijo Peter Avery, vicepresidente de seguridad y cumplimiento en Visual Edge IT. Él espera que se necesiten más salvaguardas para prevenir futuros incidentes que repitan este tipo de fallas. «Se necesitan los controles y contrapesos adecuados en las empresas. Podría haber sido una sola persona la que decidió impulsar esta actualización, o alguien eligió el archivo equivocado para ejecutar», dijo Avery. La industria de TI llama a esto un fallo de punto único: un error en una parte de un sistema que crea un desastre técnico en todas las industrias, funciones y redes de comunicaciones interconectadas; un efecto dominó masivo. El evento del viernes podría hacer que las empresas y los individuos aumenten su nivel de preparación cibernética. «El panorama general es cuán frágil es el mundo; no es solo un problema cibernético o técnico. Hay un montón de fenómenos diferentes que pueden causar una interrupción, como las erupciones solares que pueden destruir nuestras comunicaciones y dispositivos electrónicos», dijo Avery. En última instancia, el colapso del viernes no fue una crítica a Crowdstrike o Microsoft, sino a cómo las empresas ven la ciberseguridad, dijo Javad Abed, profesor adjunto de sistemas de información en la Johns Hopkins Carey Business School. «Los dueños de empresas deben dejar de ver los servicios de ciberseguridad como un mero costo y, en cambio, como una inversión esencial en el futuro de su empresa», dijo Abed. Las empresas deberían hacer esto mediante la creación de redundancia en sus sistemas. «Un único punto de falla no debería ser capaz de detener una empresa, y eso es lo que sucedió», dijo Abed. «No se puede confiar en una sola herramienta de ciberseguridad, la ciberseguridad 101», dijo Abed. Si bien crear redundancia en los sistemas empresariales es costoso, lo que sucedió el viernes es más caro. «Espero que esto sea una llamada de atención y que provoque algunos cambios en la mentalidad de los dueños de negocios y las organizaciones para que revisen sus estrategias de ciberseguridad», dijo Abed. Qué hacer con el código «a nivel de núcleo» En un nivel macro, es justo asignar cierta culpa sistémica dentro de un mundo de TI empresarial que a menudo ve la ciberseguridad, la seguridad de los datos y la cadena de suministro de tecnología como «cosas agradables de tener» en lugar de esenciales, y una falta general de liderazgo en ciberseguridad dentro de las organizaciones, dijo Nicholas Reese, ex funcionario del Departamento de Seguridad Nacional e instructor en el Centro SPS para Asuntos Globales de la Universidad de Nueva York. En un nivel micro, Reese dijo que el código que causó esta interrupción fue el código a nivel de núcleo, que afectó a todos los aspectos de comunicación del hardware y software de la computadora. «El código a nivel de núcleo debería recibir el máximo nivel de escrutinio», dijo Reese, y la aprobación y la implementación deben ser procesos completamente separados y con rendición de cuentas. Ese es un problema que continuará en todo el ecosistema, inundado de productos de terceros, todos con vulnerabilidades. «¿Cómo podemos observar el ecosistema de terceros proveedores y ver dónde estará la próxima vulnerabilidad? Es casi imposible, pero tenemos que intentarlo», dijo Reese. «No es una posibilidad, sino una certeza hasta que nos enfrentemos a la cantidad de vulnerabilidades potenciales. Necesitamos concentrarnos en la copia de seguridad y la redundancia e invertir en ello, pero las empresas dicen que no pueden permitirse pagar por cosas que tal vez nunca sucedan. Es un caso difícil de defender», dijo.