En cuestión de unas horas, el viernes 19 de julio de 2024, cientos de las mayores empresas del mundo se detuvieron en seco. La gente de todo el mundo empezó a preguntarse: “¿Otra vez un ransomware? ¿O (Dios no lo quiera) un ataque nuclear?”.
Resulta que todo lo que hizo falta para paralizar gran parte de la infraestructura informática mundial fue una actualización rutinaria de software de una empresa de software de ciberseguridad líder en el mercado.
Los operadores informáticos de todo el mundo se vieron obligados a luchar durante los días siguientes para parchear manualmente las máquinas afectadas, provocando entretanto cortes generalizados. En total, los daños económicos superarán probablemente los 10.000 millones de dólares en todo el mundo, y gran parte de ellos no están asegurados (es decir, porque no se trató de un acto malicioso ni de un ciberdelito).
En este artículo, examinaremos algunas de las lecciones fundamentales que deben aprender los proveedores de tecnología y los equipos de operaciones informáticas encargados de mantener operativos los sistemas.
Primero, lo que ocurrió
CrowdStrike, proveedor líder de software de ciberseguridad, lanzó una actualización de software defectuosa(véase el análisis de la causa raíz) para su producto Falcon, que provocó que unos 8,5 millones de ordenadores Windows afectados experimentaran errores BSOD y dejaran de funcionar.
Aunque CrowdStrike proporcionó rápidamente un parche/corrección manual para la actualización, el gran volumen de ordenadores afectados supuso cortes generalizados de los sistemas que duraron varios días (y semanas en algunos casos) en cientos de países de todo el mundo.
El precio de las acciones de CrowdStrike experimentó un descenso inmediato de casi el 50%, y la empresa se enfrenta a demandas de renumeración por parte de sus clientes y a probables demandas judiciales en el futuro. El daño a sus clientes empresariales afectados también ha sido considerable.
Delta, por ejemplo, sufrió más de 7.000 cancelaciones de vuelos y ahora se enfrenta a 176.000 solicitudes de reembolso/devolución y a unas pérdidas totales estimadas entre 350 y 500 millones de dólares.
Dada la magnitud de las pérdidas económicas que esta interrupción ha ocasionado tanto a CrowdStrike como a sus clientes, es importante aprender del incidente para poder mitigar futuras incidencias.
Lecciones para los equipos informáticos
El hecho de que la actualización de un software defectuoso de un único proveedor fuera capaz de causar tantos trastornos es un poderoso recordatorio sobre la capacidad de recuperación de las TI.
He aquí algunas consideraciones y consejos pertinentes:
- No sólo los ciberataques pueden poner en peligro tus sistemas. Con tanta atención organizativa (y presupuesto) dedicada a prevenir el ransomware y otras ciberamenazas, este grave incidente nos recuerda que los ciberataques no son el único vector de riesgo que amenaza la continuidad empresarial y la resistencia de los datos de una organización.
- Gestiona las vulnerabilidades del software de terceros. ¿Tu software de terceros está configurado para “actualizarse automáticamente”? ¿Se ha investigado el software de terceros (y existe un plan para supervisarlo continuamente en busca de vulnerabilidades)? ¿Utiliza tu organización software no compatible o EOL/EOSL (fin de vida / fin de vida útil)?(Aprende por qué utilizar software EOL/EOSL es una mala idea.) Prioriza y corrige las vulnerabilidades potenciales en tu pila de software de terceros.
- Evita la dependencia del proveedor. Dado que muchas organizaciones de TI se están consolidando en uno o unos pocos proveedores para funciones clave como la ciberseguridad, la copia de seguridad y recuperación, la computación en la nube y la supervisión de TI, la interrupción de CrowdStrike podría hacerles reconsiderar la situación. Al diversificarse en varios productos/plataformas, las organizaciones de TI pueden diversificar sus riesgos y protegerse en el futuro contra fallos específicos de un producto.
- Garantizar la excelencia en copias de seguridad y recuperación. Con la amplia gama de vectores de riesgo que amenazan a las organizaciones modernas, la excelencia en las copias de seguridad y recuperación es aún más importante para la resiliencia de los datos. Automatiza la supervisión de las copias de seguridad y la corrección de sus fallos con una herramienta de supervisión de copias de seguridad de eficacia probada, como Bocada, para garantizar el cumplimiento de los mandatos RPO/RTO (objetivo de punto de recuperación / objetivo de tiempo de recuperación) de tu organización.
Lecciones para los proveedores de software
Al igual que otros proveedores del espacio de la ciberseguridad, CrowdStrike se encarga de abordar las nuevas vulnerabilidades y amenazas a medida que surgen. La rapidez es esencial en su línea de trabajo. Es probable que esta necesidad de responder con rapidez a los nuevos riesgos/vulnerabilidades haya creado concesiones o atajos en los procesos que CrowdStrike utiliza para desplegar sus actualizaciones de software.
He aquí algunas cosas que los proveedores de software (no sólo en el ámbito de la seguridad) deben tener en cuenta:
- Equilibra la velocidad y el control de calidad. Por poderosa que pueda ser la motivación para publicar una actualización de software a tiempo, es importante garantizar unas pruebas y un control de calidad adecuados, aun a riesgo de incumplir un plazo. Por ejemplo, desplegar una actualización en un entorno de ensayo interno antes de llevarla a los entornos de producción puede garantizar que la actualización funcione según lo previsto antes de enviarla a los clientes.
- Implementa actualizaciones continuas. En muchas organizaciones, las actualizaciones de software se proporcionan a los clientes por lotes (de forma continua). Cuando se combina con la supervisión activa y los bucles de retroalimentación de los usuarios, esto da a los proveedores la capacidad de detener y revertir una actualización defectuosa antes de que el daño se generalice.
Todo es cuestión de resiliencia
A medida que las organizaciones y los equipos informáticos navegan por un panorama informático cada vez más complejo y globalizado, la resiliencia debe ocupar un lugar destacado en sus estrategias.
Para los equipos informáticos, esto significa adoptar una visión holística de los riesgos, no sólo centrándose en las ciberamenazas, sino también en las vulnerabilidades operativas. La diversificación de proveedores, la gestión rigurosa de las actualizaciones de software (y la migración del software EOL/EOSL) y la garantía de operaciones sólidas de copia de seguridad y recuperación son fundamentales para mitigar futuras interrupciones de este tipo.
En última instancia, la resiliencia tiene que ver con la preparación y la adaptabilidad. Aprendiendo de la interrupción de CrowdStrike, tanto los equipos de TI como los proveedores de software pueden construir operaciones más fuertes y resistentes que soporten lo inesperado, salvaguardando la continuidad de la empresa y protegiéndola de pérdidas económicas potencialmente devastadoras.