Eran las primeras horas de la mañana del viernes 19 de julio cuando la noticia de una importante caída informática en servicios esenciales como aeropuertos despertaba a España. La posibilidad de un ciberataque fue lo primero que se vino a la cabeza de muchos, pero terminó siendo un pequeño error, un archivo de solo 40kb lo que provocó el caos a nivel global al bloquear los servicios de la nube de Microsoft Azure. Las siguientes horas y días fueron la prueba de la debilidad de un sistema hiperconectado que puede caer en cualquier momento.
Esa menudencia desembocó en el bloqueo de 8,5 millones de equipos con Windows de todo el globo, según cálculos de Microsoft, que solo mostraban la famosa pantalla azul de la muerte. Menos del 1% de todas las máquinas Windows que hay en el globo, pero suficiente para paralizar aeropuertos, colapsar hospitales, bloquear servicios de bancos y hasta la atención de los servicios de transporte y emergencias de muchas localidades, así como empresas del sector financiero como Iberdrola, Bizum, Vocento además de diversas instituciones.
Papel y lápiz fue la solución que se encontró en muchos casos hasta que se restableciera el sistema. Solo en China la aparición de la pantalla azul fue anecdótica. El gigante asiático no depende tanto de Microsoft como el resto del mundo. "Nos estamos acostumbrando demasiado a la nube, damos por supuesto que todo tiene que estar conectado y no somos conscientes del riesgo que eso implica.", explica Sancho Lerena, CEO de Pandora FM en una entrevista para EL ESPAÑOL-Omicrono.
Los expertos advirtieron ese mismo día que la caída habría sido menor si cientos de compañías de todo el mundo no dependieran de los mismos proveedores, que se reparten principalmente entre los gigantes de internet como Microsoft, Google o Amazon. Chris Dimitriadis, director de Estrategia Global de ISACA, lo denominó como pandemia digital, el resultado de un mundo cada vez más complejo e interconectado. "No hay una solución buena, porque volver a lo anterior es muy costoso", dice Lerena, quien asegura que algunas empresas se han planteado un cambio, pero no los suficientes. "Después de seis meses, seguimos igual".
Colapso global
El papel recuperó ese día su protagonismo frente a la ausencia de lo digital. Los empleados de las aerolíneas rellenaron miles de billetes a mano para tratar de organizar a los viajeros que se agolpaban en los mostradores de facturación y que no encontraban información en las pantallas. A última hora del día, Aena informaba de 400 vuelos cancelados en España (un 6,5% de las operaciones) y otros tantos retrasados.
Pantalla azul de Windows en aeropuerto.
La ola de problemas se habría iniciado en la noche del 18 de julio desde Australia, tras el lanzamiento de la actualización defectuosa. La pantalla azul se extendió en las siguientes horas por todo el mundo, hasta en los lugares más insospechados, como en pleno parque de atracciones de Disney en París. La pantalla de la muerte (BSOD) es un aviso del sistema que tiene una larga historia de apariciones. Significa que algo ha ido mal y el ordenador ha quedado atrapado en el ciclo de arranque al reiniciar para intentar recuperar Windows.
Imágenes como éstas se vieron por todas partes, pero con menos frecuencia en China. En este país, las empresas contratan los servicios en la nube de empresas nacionales como Alibaba, Tencent y Huawei. Aún así, en las redes sociales chinas se publicaron quejas de viajeros por no poder registrarse en cadenas de hoteles extranjeras como Sheraton o Marriott.
Los expertos en ciberseguridad advierten que un fallo así puede ocurrirle a cualquiera. Los hackers podrían aprovechar esa masiva conectividad que ha hecho al sistema tan vulnerable para causar el caos, aunque hasta el momento los ataques se enfocan en conseguir recompensas, como información clave o rescates económicos.
"Los problemas gordos", explica el CEO de Pandora FM, "suelen producirse por problemas de infraestructura. Recuerdo hace años el bloqueo del aeropuerto de Heathrow, que estuvo parado dos días porque se quemó un servidor, un fallo que se pensaba imposible desde hacía mucho tiempo".
Un pequeño archivo
Microsoft y CrowdStrike no tardaron en confirmar el origen del fallo y dar una solución para restablecer el sistema, aunque esto no rebajó en gran medida el caos generado. La solución requería tratar los dispositivos uno a uno y sin un control a distancia. Para las grandes empresas, con miles de empleados, algunos teletrabajando, les costaría tiempo o incluso días erradicar por completo el error.
Crowdstrike es una empresa de seguridad enfocada en proteger a las organizaciones de malware y de ciberamenazas como el ransomware. Su plataforma Falcon está diseñada para detener las violaciones de seguridad antes de que ocurran y utiliza tecnología de aprendizaje automático para aprender constantemente a detectar posibles defectos de seguridad en vez de buscar virus ya conocidos. Por eso necesita acceso a la base de los sistemas operativos de los ordenadores, para escanearlos por completo en busca de actividad sospechosa.
Un trabajador de oficina con la pantalla azul tras el fallo de Crowdstrike.
Las actualizaciones son frecuentes, por muy pequeñas que sean, pues hay que mantener el software protegido ante el creciente ritmo de ciberataques actual. El software de verificación no detectó el fallo y dejó que la actualización se desplegara en Windows, que se bloqueó al leer el archivo defectuoso.
El software de CrowdStrike también funciona en macOS de Apple o en el sistema operativo de Linux, pero los clientes de estas empresas no se vieron afectados puesto que la actualización defectuosa solo iba dirigida a Windows.
George Kurtz, CEO de CrowdStrike, tuvo que explicar todo este proceso ante la Cámara de Representantes de Estados Unidos, donde también describió las medidas adoptadas para evitar que vuelva a ocurrir. Entre ellas estaba un refuerzo en las pruebas internas de las actualizaciones y su implementación por fases. Además, los clientes ahora pueden elegir el nivel de adopción de actualizaciones, con opción para cancelarlas o retrasarlas. Por su parte, Microsoft también ha aplicado nuevas medidas de seguridad.
Aún así la empresa se enfrenta a una demanda colectiva por parte de sus accionistas, además de las acciones legales que adoptaron algunas compañías afectadas como Delta Airlines, que alega que perdió 500 millones de dólares por los vuelos cancelados y retrasados.
La página web de CrowdStrike.
"Después de seis meses seguimos igual, no va a pasar nada", asegura Lerena. El cataclismo digital más grande de la historia parece no haber abierto los ojos ante esta dependencia extrema. "Ni siquiera la gente que compra productos de CrowdStrike es consciente. No es solo CrowdStrike, es toda la cadena de software, toda la cadena de tecnología funciona de la misma manera, por reputación. Uno confía en un gran fabricante porque todo el mundo lo tiene y, si nos caemos, nos caemos todos", explica este experto en ciberseguridad.
Por su parte, el CEO de CrowdStrike informó en la presentación de resultados del tercer tirmestre de 2024 que "los clientes están gastando más (con CrowdStrike), firmando contratos de suscripción más largos y aprovechando la oportunidad para lograr sus objetivos de consolidación más rápido". George Kurtz afirma que los esfuerzos de la empresa "estuvieron 100% enfocados en devolver los dispositivos afectados a su funcionamiento con la mayor rapidez y transparencia posible" y añade que "para muchos, la recuperación se completó en cuestión de horas".
Un antivirus ya no es suficiente
El informe de ciberseguridad de 2024 de QBE asegura que tras este incidente, el 16% de las empresas encuestadas tiene previsto incrementar sus medidas de ciberseguridad, como contratar un seguro cibernético. "Me consta que hay personas que se están planteando el hecho de que todo sea SaaS (software as a service) y están preguntando por el modelo on-premise del software (almacenamiento en un espacio físico), un pasito atrás por así decir", cuenta a este medio Sancho Lerena.
Tanto el exceso de confianza en la nube como la delegación de la seguridad por completo a terceros son algunos de los errores que apuntan los expertos. En cuanto a la detección de amenazas o posibles brechas informáticas, la inteligencia artificial se ha presentado este año como parte de la solución.
Un pasajero observa pantallas de información en el aeropuerto de Delhi, India.
Los algoritmos de inteligencia artificial han demostrado ser grandes herramientas en el análisis de patrones. Entre otras cosas, son capaces de detectar más de 80 alteraciones eléctricas del corazón humano en electrocardiogramas. Igual que en medicina, en ciberseguridad prometen ser un escudo para los sistemas, dependiendo de quién use esta herramienta, ya que los ciberdelincuentes también están recurriendo a la IA para perfeccionar sus ataques.
En noviembre, Google anunciaba que su agente de inteligencia artificial había sido capaz de descubrir por primera vez un fallo de seguridad real, adelantándose a los posibles piratas informáticos que podrían hacer uso de esta brecha. Sin embargo, este tipo de tecnología también está al servicio del software de CrowdStrike que desembocó en este cataclismo.
"La inteligencia artificial puede ayudar, pero no es una solución generalista, se necesitan manos expertas y aplicada en ciertos contextos. En muchos contextos no se usará, en otros la IA empezará a dar problemas y en otros aportará un montón de ventajas", afirma el CEO de PandoraFM. "Ya no nos vale con tener un antivirus como antes, ahora hay que tener cinco soluciones de seguridad", recomienda.
Cuantas más herramientas se integren, más complejo será ese sistema y más probabilidades habrá de hacerlo caer. El riesgo de una nueva caída sigue siendo alto, a pesar de lo aprendido en este día histórico que ya tiene su propia página de Wikipedia.