Mientras empresas y organismos públicos de todo el mundo se esfuerzan por restablecer sus sistemas informáticos tras el apagón informático mundial de la semana pasada provocado por una actualización de software defectuosa, surgen dudas sobre si se realizaron los protocolos adecuados para las actualizaciones.
Al mismo tiempo, los analistas tecnológicos se preguntan hasta qué punto Estados Unidos depende cada vez más de un oligopolio de empresas de computación en nube.
Una actualización de software antivirus publicada el 19 de julio por CrowdStrike, una de las mayores empresas de ciberseguridad, provocó la caída de más de mil millones de ordenadores basados en Windows, dejando fuera de servicio operaciones esenciales en aeropuertos, hospitales, centros 911, departamentos de policía, trenes, cárceles y otros servicios municipales, así como operaciones corporativas.
La empresa pidió disculpas en varias ocasiones y se comprometió a resolver los problemas, que en gran parte no pueden solucionarse mediante actualizaciones de todo el sistema, sino que requieren correcciones en ordenadores individuales.
El director de seguridad de CrowdStrike, Shawn Henry, declaró en una publicación de LinkedIn: «El viernes les fallamos, y por ello lo siento profundamente».
«La confianza que habíamos construido durante años a cuentagotas se perdió en cuestión de horas, y fue un buen golpe. Pero esto es insignificante en comparación con el dolor que hemos causado a nuestros clientes y socios».
Los expertos en ciberseguridad plantearon dudas sobre si CrowdStrike pudo eludir los procedimientos de mejores prácticas cuando distribuyó la actualización del 19 de julio.
«Para mí, la advertencia es lo básico —parches, actualizaciones y, en los sistemas empresariales críticos, tomarse 10 minutos para probarlos», dijo a The Epoch Times Robert Thomas, propietario de 180A Consulting, una empresa de ciberseguridad, y antiguo funcionario del Departamento de Defensa.
«Tardas un minuto y descargas el parche; tardas otro minuto, instalas el parche en un sistema de prueba; un minuto más, reinicias el sistema, y luego ejecutas pruebas con tus aplicaciones de software críticas para el negocio».
El Centro para la Seguridad de Internet (CIS) y el Instituto Nacional de Estándares y Tecnología (NIST) crearon protocolos estándar sobre cómo deben realizarse las actualizaciones de software. Si se hubieran seguido, dijo el Sr. Thomas, los fallos de la actualización debieron ponerse de manifiesto antes de que circulara entre los usuarios.
«Las actualizaciones de software, según las mejores prácticas y protocolos, debieron pasar por numerosas fases de pruebas antes de llegar al cliente», declaró a The Epoch Times Tom Marsland, director de formación y proyectos de Cloud Range y autor de “Unveiling the NIST Risk Management Framework”.
«Esto incluiría pruebas unitarias automatizadas en el código, revisiones de seguridad y pruebas dentro del equipo de CrowdStrike [y] sólo una vez que estas acciones se completaran se debería lanzar un parche a los clientes», declaró el Sr. Marsland. Además, las actualizaciones deberían distribuirse inicialmente a un grupo más pequeño de clientes y luego ampliarse, en lugar de enviarlas todas a la vez.
«En el caso de la actualización de CrowdStrike del viernes, no parece que se siguieran estas prácticas», afirmó Marsland.
En su revisión posterior al incidente publicada el 24 de julio, CrowdStrike dijo: «Debido a un error en el Validador de Contenido, una de las dos [actualizaciones] pasó la validación a pesar de contener datos de contenido problemático».
Los «efectos en cascada» de la actualización defectuosa
Según una evaluación del CIS, los efectos de la actualización defectuosa se hicieron evidentes justo después de la medianoche, hora del Este, del 19 de julio, cuando los ordenadores que funcionaban con el software Windows de Microsoft que implementaban actualizaciones del software de seguridad Falcon de CrowdStrike se cayeron.
La actualización circuló durante aproximadamente una hora y media hasta que se descubrió el fallo y la actualización fue «revertida», declaró el CIS. «CrowdStrike publicó desde entonces una solución provisional que requiere corrección manual para cada dispositivo afectado».
CrowdStrike aseguró rápidamente a los clientes que la interrupción no era un ataque de ciberseguridad, pero los analistas tecnológicos señalaron la ironía del daño causado por una empresa que fue contratada para proteger a los clientes de este tipo de ataques.
«Dicen que no es un ataque de ciberseguridad, pero tiene el mismo resultado neto que un ataque de ciberseguridad», dijo Rex Lee, asesor de seguridad de empresas y gobiernos, a NTD News, afiliada de Epoch Times. «Estamos hablando de agencias gubernamentales, estamos hablando de empresas de Fortune 500, aerolíneas… los efectos en cascada de esto son increíbles».
«Si nos fijamos en las infraestructuras críticas que se están viendo afectadas, esto sí que va a causar daños y la gente puede estar muriendo como resultado de esto, porque los equipos de primera respuesta se están viendo afectados, los hospitales se están viendo afectados», dijo el Sr. Lee. «No sabremos el daño total de todo esto, pero pasará a la historia como el mayor error y/o interrupción en la historia de Internet».
El paso de empresas y organismos públicos a la computación en nube fue rápido y sigue acelerándose.
Se espera que el gasto mundial en servicios en la nube crezca más de un 20% en 2024, hasta un total de 678,800 millones de dólares, frente a los 563,600 millones de 2023, según una previsión de noviembre de 2023 de Gartner, Inc, una empresa de análisis tecnológico.
«La nube se convertió en algo esencialmente indispensable», afirmaba en el informe Sid Nag, vicepresidente analista de Gartner.
Pero el apagón de la semana pasada puso de relieve el problema de las vulnerabilidades de las empresas y la sociedad, debido a la medida en que los servicios de computación en nube están controlados por un pequeño número de proveedores.
Un informe de enero de Stephan von Watzdorf, experto en ciberseguridad de Swiss Re, una aseguradora mundial, destacaba que la vulnerabilidad de los servicios en la nube se concentraba esencialmente en tres empresas.
«Hace una década, las empresas no estaban seguras de si la expansión de la computación en nube por parte de gigantes tecnológicos como Google, Microsoft y Amazon era solo una tendencia pasajera o un cambio duradero», afirmó Von Watzdorf. «Hoy en día, las empresas de todo el mundo adoptaron la nube en masa, reconociéndola como un componente vital para el éxito de la transformación digital».
«Sin embargo, la concentración de servicios con tres proveedores dominantes crea nuevos riesgos, que son relevantes para la industria de reaseguros», declaró. «Si los servicios en la nube se caen, el riesgo de acumulación recae en las re/aseguradoras que ofrecen productos de ciberseguro comercial».
Riesgos para la sociedad y la seguridad nacional
Las agencias gubernamentales también están evaluando los riesgos de la computación en nube y la consolidación tecnológica.
El día del apagón, un alto funcionario de la Casa Blanca declaró que «la Casa Blanca estuvo convocando a las agencias para evaluar los impactos en las operaciones del gobierno de EE.UU. y las entidades de todo el país».
En medio de la prisa por trasladar las operaciones a la nube, la interrupción de CrowdStrike probablemente incitará a los usuarios a reevaluar el grado de su dependencia de uno o unos pocos proveedores de servicios, y su capacidad para capear los errores de los proveedores.
Estamos llegando a un punto en el que el exceso de centralización nos hace menos «curables» y «menos resistentes», afirma Thomas. «Estamos perdiendo nuestra capacidad de recuperación como nación».
Después de la interrupción de CrowdStrike, las empresas y los gobiernos están viendo los riesgos, así como los beneficios.
«Poner todos los huevos en la canasta de un solo proveedor entraña riesgos para la sociedad y la seguridad nacional, y creo que se pusieron claramente de manifiesto en las últimas 72 horas, cuando suspendimos la mayoría de los vuelos en todo el país», afirmó Marsland.
«Los ventajas de la nube frente a los riesgos es algo que cada organización debe responder por sí misma», dijo Marsland. «Para las organizaciones que buscan una base de clientes más amplia, los beneficios superan absolutamente los riesgos, pero estas organizaciones pueden permitirse contratar expertos en seguridad en la nube».
A nivel personal, los individuos que almacenan sus datos en la nube también se enfrentan a riesgos.
Según un informe de 2023 de la Oficina de Seguridad de la Información de la Universidad de Texas, esos riesgos incluyen los de seguridad, privacidad y fiabilidad.
Los riesgos de seguridad incluyen la exposición de datos personales «a través de una brecha de seguridad o incompetencia por parte del proveedor de servicios en la nube», según el informe, así como el intercambio de su información personal con otras empresas, agencias gubernamentales o empleados del proveedor de servicios en la nube, y malware o phishing que podrían acceder a su información.
Las políticas de privacidad de los proveedores de servicios en la nube «revelan todas que el proveedor, independientemente de cualquier afirmación en contrario o del uso de cifrado, tiene la capacidad de descifrar y acceder a cualquier dato almacenado cuando lo considere necesario», afirma el informe.
Para las empresas que ahora tratan de volver a poner en línea sus sistemas informáticos, surgen nuevos riesgos de piratas informáticos que buscan aprovechar la oportunidad que les brindó la interrupción del servicio.
«Mientras se reparan los sistemas afectados, las organizaciones deben ser conscientes de que el CIS detectó numerosas campañas de phishing y dominios falsos creados por los actores de la amenaza en un intento de ingeniería social y comprometer a las organizaciones afectadas por la interrupción», declaró el CIS.
Según Gartner, CrowdStrike representa alrededor del 15% del mercado de la ciberseguridad, dirigido a grandes organizaciones y sólo superado por Microsoft, que tiene una cuota de mercado de aproximadamente el 40%. El precio de sus acciones se desplomó más de un 25% desde que se produjo la interrupción.
La especulación se centra en la capacidad de la empresa para capear la crisis actual, retener a los clientes y seguir haciendo crecer su negocio. Pero más allá de eso, CrowdStrike puede enfrentarse a facturas sustanciales de su clientela.
Bufetes de abogados de todo el país anunciaron investigaciones sobre los daños causados por la interrupción, un preludio probable de demandas colectivas.
CrowdStrike perdió una quinta parte del valor de sus acciones tras el desastre. El 24 de julio, la empresa prometió reformar la manera de emitir actualizaciones de contenido crítico.
En concreto, la compañía dijo que está planeando implementar una «estrategia de despliegue escalonado» para futuras actualizaciones, enviándolas primero a sólo un puñado de máquinas antes de un despliegue global. Este método se conoce en el sector como «despliegue canario».
CrowdStrike también «mejorará la gestión de errores existente en el Content Interpreter», que forma parte del Falcon Sensor.
CrowdStrike también prometió utilizar humanos para probar su contenido de respuesta rápida, añadir comprobaciones de validación adicionales al validador de contenido y dar a los clientes la opción de decidir cuándo y dónde se despliegan estas actualizaciones.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.