El gigante tecnológico Microsoft ha estimado que el error de la empresa de ciberseguridad Crowdstrike afectó a 8,5 millones de dispositivos con el sistema operativo Windows la semana pasada. Aunque según la firma esto supone un porcentaje pequeño, cerca del 1% de todas sus dispositivos, el amplio impacto económico y social que supuso la caída, refleja la naturaleza interconectada del ecosistema tecnológico y empresarial. Una naturaleza que nos hace más eficientes, pero, a la vez, vulnerables.
La historia es bien conocida. El viernes pasado, una actualización defectuosa de la empresa de ciberseguridad CrowdStrike provocó un apagón tecnológico que afectó a aproximadamente 8,5 millones de dispositivos, cuya criticidad amplificó el impacto. Sectores clave como la aviación, la banca, la salud, compañías aseguradoras y otras empresas de servicios fundamentales, sufrieron interrupciones significativas, con aerolíneas recurriendo a procesos manuales y hospitales restringiendo servicios.
Apenas cuatro días después la mayoría de servicios afectados se han restablecido y los aeropuertos de todo el mundo operan ya con normalidad. El golpe, sin embargo, fue serio. Tan sólo en EE.UU., el apagón informático obligó retrasar más de 31.000 vuelos y alrededor de 3.600 fueron cancelados, afectando tanto a aerolíneas nacionales como internacionales.
¿Una sociedad más vulnerable?
Pese a que todo ocurrió debido a un fallo humano en la actualización de un fichero, el incidente -y sobre todo su impacto- ha elevado muchas preguntas acerca de la vulnerabilidad de nuestras sociedades.
Para José Miguel Rosell, CEO y co-fundador de S2 Grupo, incidentes como el de Crowdstrike deben servir para que la gente se dé cuenta de lo vulnerable que somos. «Debemos tener claro que los ciberdelincuentes han tomado buena nota de lo que ocurrió el pasado viernes. El aprendizaje extraído fue que un error en la distribución de un fichero tiene entidad de provocar un impacto global en minutos. Con lo cual, si yo quisiera diseñar un ciberataque, puedo hacerlo con esas mismas características».
Este error, explica Rosell, se puede dar en una herramienta moderna y cara -como las que proporciona Crowdstrike-, pero también en la actualización de cualquier empresa más modesta y con el mismo alto alto impacto. «Lo que debemos tener en cuenta es que se podría repetir en otro tipo de aplicaciones y en cualquier momento. Si está diseñado como un ataque, tan solo dependerá de cual sea el objetivo», asegura.
Por su parte, Enrique Ortiz, director técnico de AuraQuantic, se muestra más confiado en las capacidad de defensa informática, si bien admite que nuestra sociedad «es muy dependiente de la tecnología. No sé si somos más vulnerables, pero desde luego sí somos mucho más dependientes».
«La vulnerabilidad viene asociada a ataques maliciosos. En este sentido, si sigues las buenas prácticas y cuentas con antivirus, estamos más protegidos. Pero somos más dependientes de la tecnología porque necesitamos de esas herramientas para estar protegidos. Cuando fallan estas herramientas, no es un problema de seguridad, pero sí es un problema en cuanto a que tu sistema funcione», explica Ortiz.
La seguridad al 100 % no existe
A lo largo de los últimos años han habido ejemplos que, como el reciente incidente de Crowdstrike, han sacado a relucir la debilidad de nuestra sociedad. El 12 de mayo de 2017, el mundo fue testigo de uno de los ataques de ciberataques más devastadores y generalizados de la historia: el ransomware conocido como WannaCry. Este incidente afectó a más de 200.000 ordenadores en al menos 150 países, causando interrupciones significativas en servicios esenciales y subrayando la vulnerabilidad de infraestructuras críticas ante amenazas cibernéticas.
«A día de hoy la seguridad 100% no existe, es algo con lo que tendremos que convivir. La seguridad se divide en tres bloques: prevención, detección y respuesta. La prevención se puede intentar, pero partimos de la garantía de que van a ocurrir incidentes. Esto nos deja obliga a detectar esos fallos lo antes posible y responder de forma adecuada. Debemos tener preparados los procedimientos para responder en tiempo y forma», explica José Miguel Rosell.
Y concluye al respecto: «No se le pueden poner puertas al campo, por mucho que blindemos nuestra estructura es imposible que no suframos incidentes».
Aumentar los controles
La conclusión es que el futuro de las empresas pasa por la seguridad informática. La nueva legislación europea, explica Rosell, de S2 Grupo, especifica claramente la necesidad de proteger los servicios esenciales y sus cadenas de suministro. «Esto supone que ya no te tendrás que preocupar sólo de la empresa grande que presta un servicio esencial, sino de todos los proveedores que trabajan para la empresa grande», explica el CEO. Esta normativa no solo es una recomendación, sino una obligación legal, lo que significa que todas las empresas involucradas deberán implementar medidas de seguridad informática.
La implementación de sistemas de gestión de seguridad se vuelve indispensable, ya que la dependencia tecnológica actual expone a las empresas a riesgos significativos. «Dependemos tanto de la tecnología que un incidente de este tipo se nos puede llevar por delante», advierte Rosell, subrayando la necesidad de una infraestructura robusta que pueda prevenir y mitigar los efectos de ciberataques.
Enrique Ortiz, de AuraQuantic, añade otra dimensión a la discusión, señalando la importancia de los procedimientos adecuados y los entornos de prueba para asegurar la continuidad de los negocios. «Obviamente no es lo mismo que se caiga Bizum a que se te caiga un sistema interno de nóminas durante dos días», comenta Ortiz, enfatizando la variabilidad de los impactos según el tipo de sistema afectado.
El director técnico asegura que muchos de los fallos recientes en empresas se deben a deficiencias en los procedimientos más que a la falta de pruebas. «Viendo las compañías que han caído, más que una cuestión de pruebas, todo apunta a que el fallo se debe en los procedimientos», sostiene Ortiz. Aunque no espera que estos incidentes se conviertan en una norma, reconoce que es probable que vuelvan a ocurrir, y por eso, urge a las empresas a redoblar sus esfuerzos en seguridad.
Un recordatorio de lo prioritario
Recuperados ya de un incidente que los situó en el ojo del huracán, desde Microsoft consideran el «apagón» un «recordatorio» de la importancia de que las tecnológicas prioricen el uso de mecanismos de seguridad y de «recuperación de desastres» en sus operaciones, y que trabajen juntas.
David Weston, vicepresidente de seguridad de sistemas operativos y empresas de la compañía, compareció el pasado martes ante los medios para dar a conocer el balance final. «Como hemos visto en los dos últimos días, aprendemos, nos recuperamos y avanzamos más efectivamente cuando colaboramos y trabajamos juntos. Apreciamos la cooperación y colaboración de nuestro sector entero y seguiremos actualizando con aprendizajes y siguientes pasos», sostuvo.
Westont explicó que, dado el impacto del fallo de Crowdstrike en su ecosistema, Microsoft ha estado colaborando con esa firma y con sus rivales del sector de la nube híbrida, Google y Amazon, para resolverlo, además de desplegar «cientos» de empleados para ofrecer ayuda técnica a sus clientes.
«Crowdstrike nos ha ayudado a desarrollar una solución escalable que ayudará a la infraestructura de Microsoft Azure (sistema de la nube) a acelerar un arreglo para la actualización defectuosa», agregó.