Lo que no te mata, te hace más fuerte

Eran las 8:15 am en el aeropuerto de El Prat y mi hora de embarque en dirección a Madrid hacía tiempo que había pasado. Suele ser normal en las operativas aeroportuarias cuando deben descargar el avión anterior, limpiarlo, etc, pero en esta ocasión el movimiento en la puerta de embarque era… diferente.

El personal de tierra de la aerolínea iba y venía de las máquinas de escaneo de códigos de barras o QR para que el pasaje entre en el avión. Además, la pantalla que suele anunciar el destino, hora de embarque, temperatura a la llegada a la ciudad, etc, no decía nada. Nada.

Pasados unos minutos nos anuncian que "hay un problema informático con Windows en todo el mundo" -literal-, y la operativa de embarque deberá hacerse manual -con lo que ello conlleva, incluyendo la identificación de maletas que, por seguridad aérea no pueden volar sin que la persona esté en el avión-. En definitiva, una tragedia para muchas personas que llegaban tarde a una entrevista de trabajo o que iniciaban sus vacaciones con una conexión internacional hacia otro destino.

Pasadas ya unas cuantas horas del -terrible- hecho que ha provocado todo esto y que paso a detallar a continuación de manera breve, este artículo se centra en preguntas instrumentales alrededor de cómo puede ocurrir algo así a escala mundial, qué impacto tiene en una sociedad que se muestra frágil y dependiente de la tecnología -o de una sola- y, sobre todo, qué podemos aprender de todo ello.

Se ha escrito mucho -en algunos casos, en mi opinión, con la única intención de dañar la reputación de la compañía causante de la incidencia- y querría resumir el incidente.

La conocida y reputada empresa de seguridad CrowdStrike -líder en protección del puesto de trabajo y ciberseguridad- ha realizado una modificación en uno de sus productos estrella (Falcon Sensor) que ha provocado que los sistemas Windows (y no Azure de Microsoft, como se ha dicho) entren en un bucle de reinicio del que no saben salir y, en consecuencia, como medida preventiva, muestran la temida ‘pantalla azul’ (BSoD - Blue Screen of Death- por sus siglas en inglés) que bloquean el equipo.

Debe destacarse que, a pesar de algunos titulares capciosos, Microsoft en este caso es 'víctima' por ser la plataforma de elección de muchas compañías pero no ha tenido ninguna culpa en el incidente. El hecho de que la compañía CrowdStrike tenga un mecanismo muy efectivo de protección desde la nube ha hecho que el despliegue en millones de puestos de trabajo sea rápido y, lamentablemente en esta ocasión, tremendamente eficaz impidiendo, en consecuencia, que infraestructuras críticas como un aeropuerto, hospitales y entidades financieras -todas ellas fundamentales para el funcionamiento de un país como se recoge en diversas regulaciones nacionales y europeas como NIS2- se bloqueen y no puedan entregar valor ni producir el objeto de su negocio.

Las reflexiones son varias y en diversos ángulos:

Primero. ¿Podría haberse evitado? Cualquier lector entenderá que una compañía del prestigio y alcance de CrowdStrike tiene protocolos de prueba en diversos entornos (test, pro-producción) ANTES de desplegar una solución/actualización en producción. ¿Se hizo en esta ocasión? No lo sabemos a ciencia cierta y todo parece indicar -vistos los hechos- que no fue así. Por ello, una ‘higiene digital’ adecuada, unos procedimientos de prueba, aseguramiento y garantía con de capital importancia en cualquier iniciativa empresarial.

Segundo. ¿Supone la dependencia del sistema Windows una debilidad para el tejido empresarial y tecnológico de un país? Me temo que debemos responder que sí, pero es una cuestión de difícil solución. Debe decirse -a favor de los que opinen que se deben diversificar las plataformas tecnológicas sobre las que se sustentan las infraestructuras críticas de la sociedad- que las entidades con plataformas Linux (SuSe, Debian, RedHat,…) o MacOS de Apple no han sufrido el problema… incluso si utilizan el software de CrowdStrike. Así, ser una sociedad mono-tecnológica en lo que a sistemas operativos se refiere supone una debilidad. En esta ocasión ha sido un error, un accidente no deseado… pero ¿y si la próxima vez es un ataque dirigido, orientado a hacer lo mismo pero por un grupo cibercriminal o una nación?

Tercero. ¿Ha actuado bien la compañía causante del problema? A pesar de que supone un error mayúsculo, no puedo más que aplaudir y celebrar la manera en la que han sido transparentes y honestos en la comunicación desde el primer momento. El primer ejecutivo de la compañía, George Kurtz, seguido de muchos otros en diversas regiones del mundo, han comunicado el hecho e incluso han aportado una solución -de difícil aplicación porque requiere intervención manual en los equipos y hablamos de millones de ordenadores afectados-.

La empresa no se ha ocultado ni ha esperado ni especulado con la posibilidad de que fuera un ataque, con la coincidencia de que fueran máquina Windows… Han dado la cara y puesto -me consta- todos los recursos de la compañía para solucionar el problema y devolver al mundo al estado de normalidad anterior. No tengo ningún vínculo profesional con la compañía, pero siempre estaré del lado de profesionales que protegen y defienden la sociedad que queremos y debemos construir.

Hoy son objeto de burla y escarnio, pero nos olvidamos con facilidad de los muchos grupos cibercriminales que han detectado, las docenas de campañas dañinas que han sabido parar. Yo aplaudo a los profesionales de la compañía lamentando, como no puede ser de otra manera, lo ocurrido hoy -debe decirse que, lógicamente, están 'pagando' el problema con una bajada espectacular de su valor en Bolsa-.

Cuarto. ¿Qué lecciones podemos tomar de todo esto? Mi respuesta no puede ser positiva porque, como ocurrió con los ataques de ransomware masivos de mayo de 2018 y con tantos otros incidentes y brechas de seguridad… todo se olvida. Cambiar de plataforma tecnológica supone una inversión mayúscula y no se tiene ni el tiempo ni el dinero para ello.

Eso quiere decir que el suministro de energía eléctrica, el transporte ferroviario, la cadena de suministro alimentario, etc, seguirán dependiendo de tecnología que resulta débil, perfectamente imperfecta y susceptible de un error humano…. o no. Eso implica que nuestra sociedad, a pesar de regulaciones de Resiliencia Operativa como DORA (Digital Operation Resiliency Act, por sus siglas en inglés), de gestión de la ciberseguridad como NIS2, de protección de la privacidad y la información como el RGPD (Reglamento General de Protección de Datos), etc, sigue en manos del destino, de la fortuna… o de todos aquellos que quieran dañar la moral y la robustez de un país atacando sus sistemas críticos.

Sin duda, lo que no te mata, te hace más fuerte. Pero para las personas que, sentadas a mi lado, lloraban porque habían perdido la conexión con el crucero que tenían contratado para vacaciones no sé si será suficiente.

***Ramsés Gallego es ISACA Hall of Fame 2024.