Un ‘viernes negro’ que despertó la mayor pesadilla de un responsable de seguridad de una gran empresa. El fallo causado por una actualización defectuosa de la empresa de ciberseguridad Crowdstrike a nivel global causó la caída masiva de servicios de Microsoft 365, servidores de Azure y ordenadores con Windows en centenares de empresas en todo el mundo, lo que paralizó durante horas infraestructuras críticas como aeropuertos, hospitales y otros centros de trabajo y que causó pérdidas de cientos de millones de euros. Este caos causado por un error en cadena ha aflorado de nuevo los temores de los expertos ante la fragilidad de una infraestructura tecnológica interconectada y dependiente de un ‘oligopolio’ de un puñado de empresas que no ayuda a tener ‘planes b’ ante un problema similar y que puede generar cuellos de botella.
El balance de daños inicial es uno de los más duros en el campo de la seguridad informática. En España, el fallo puso en guardia al Ibex 35 aunque lo más relevante se ha vivido en los transportes, con Aena como la más afectada en áreas como la facturación y los puntos de información al pasajero y que llevaron a retrasos en vuelos, y algunos medios de pago. También se vieron afectados varios centros hospitalarios en Galicia y otras comunidades. A nivel internacional ha habido incidencias relevantes también en los aeropuertos -el de Berlín suspendió temporalmente todos sus vuelos- y en aerolíneas. Más de 2.800 vuelos han sido cancelados y más de 27.000 retrasados. Varias entidades bancarias alemanas se enfrentaban a “perturbaciones” mientras que hubo incidencias en servicios de emergencia y atención sanitaria en Australia, Países Bajos o Reino Unido. Desde mediodía empezó a recuperarse cierta normalidad. Todavía es pronto para definir las pérdidas económicas generadas.
Crowdstrike es una compañía que ha ido ganando mucho peso en el mercado de la ciberseguridad. La estadounidense, que en 2023 generó más de 2.000 millones de euros de ingresos vendiendo su software de seguridad, controla cerca del 20% del mercado de lo que se conoce como ‘Endpoint Detection and Response’, según los últimos datos de la consultora Canalys de finales del año pasado. Esta es una modalidad centralizada de seguridad desde la nube que permite reducir riesgos en los sistemas de empresas -lo que le obliga a meterse hasta las ‘tripas’ de las plataformas- para evitar que se transmitan a los diferentes dispositivos (ya sea ordenadores, móviles o cualquier otro) y reducir los tiempos de detección. Se ejecutan en segundo plano en servidores y ordenadores de las empresas, llamados ‘endpoints’.
Acaba de superar a Microsoft que con su división Defender ha tratado de ganar más mercado y se sitúa en algo más del 15%. Apenas hay algún nombre más para las grandes compañías, como Palo Alto Network. La causante del caos de este viernes tiene a buena parte del Fortune 500 y una parte muy relevante de la élite de la gran empresa de todos los grandes mercados occidentales en su portfolio. Su posición es muy relevante, especialmente en el segmento de gran empresa, y esto ha llevado a una concentración muy relevante del riesgo de una potencial caída o error como el que se acaba de vivir. Además la tendencia de mercado, también entre las corporaciones, es centralizar los servicios y reducir los proveedores en un intento por reducir complejidad en el día a día pero que abre la puerta a más riesgos. La digitalización progresiva de gobiernos y compañías, especialmente después de la pandemia, ha llevado a la contratación masiva de este tipo de servicios.
Alta concentración en la nube
Esa concentración del mercado de seguridad informática desde la nube se ha hecho aún más relevante si se habla de la propia computación en la nube. La dependencia de estos servicios es muy alta para la práctica totalidad de las empresas, incluso las menos digitalizadas (los pagos móviles, los correos electrónicos...). Según los datos de Canalys, el año 2023 se cerró con Amazon Web Services, Microsoft Azure y Google Cloud repartiéndose el 66% de todos los ingresos del sector -crecieron un 21% respecto al año anterior-. Una caída o un traspiés de cualquier de los tres, como ha pasado en este caso con Azure -a través de las máquinas virtuales ejecutadas en esta plataforma para dar servicio a redes corporativas-, tiene implicaciones que cada vez preocupan más a los expertos y a las grandes empresas.
Esa alta concentración en la nube ya ha puesto en guardia a algunos reguladores, que tratan de reducir el riesgo y de introducir la mayor competencia. La CMA, es decir la CNMC británica, ya inició a finales del año pasado una investigación a fondo de este sector ante la preocupación de esa posición dominante de los grandes jugadores. Ya el organismo público del país Ofcom identificó una serie de características en el suministro de estos servicios que hacen que sea más difícil para los clientes cambiar y utilizar múltiples proveedores de nube para así poder reducir los riesgos. En este mercado, Microsoft y AWS tenían entre el 70 y el 80% de cuota, según sus propios datos. En España, la CNMC inició en noviembre -un mes después de la investigación por parte de la CMA- un estudio sobre estos servicios.
El fallo más duro
Esta tendencia, y la dificultad intrínseca de cambiar de operador o de utilizar varios para mitigar riesgos, se suma a la interconexión entre los servicios y a la complejidad de los mismos. En el caso de Crowdstrike, se trata de un proveedor de seguridad relevante también de Google o de la propia Amazon. De hecho, el pasado mes de mayo Amazon anunció una “asociación estratégica” con la firma para ir reemplazando otras herramientas defensivas por las suyas en su plataforma de la nube Web Services. Esa interdependencia entre relativamente pocos actores también ha alertado a los técnicos.
Pese a todo, el de este viernes ha sido uno de los fallos técnicos más relevantes por su afección de los últimos años. Ha habido otros pero su impacto fue mucho más limitado. En diciembre de 2020, algunos de los servicios más populares de Google -como Youtube, Gmail o Google Drive- dejaron de funcionar durante algo más de una hora. El más significativo fue el de AWS un año más tarde, en diciembre de 2021, que provocó la caída de muchos sitios webs y servicios populares o de sistemas de organismos públicos y universidades. "Esto no es algo sin precedentes, pero me cuesta pensar en una interrupción del servicio de esta magnitud. Ha ocurrido a lo largo de los años, pero esta es una de las más importantes. Posiblemente durará poco porque la naturaleza del fallo es bastante simple, pero es muy, muy, muy grande”, apuntaba este viernes a Reuters Ciaran Martin, exdirector ejecutivo del Centro Nacional de Ciberseguridad de Reino Unido.
La pugna Crowdstrike vs Microsoft
Como telón de fondo está la pugna que viven precisamente los dos protagonistas de este problema de seguridad. Una pugna que vivió el año pasado uno de sus puntos más álgidos. Crowdstrike siempre tuvo un lema que todos los riesgos de ciberseguridad acababan con ellos. Pero lo cambiaron para golpear a Microsoft: “El riesgo que empieza con Microsoft... acaba en Crowdstrike”. Señalaba directamente al propietario del sistema operativo Windows de problemas en sus herramientas de protección. Su consejero delegado, George Kurtz, se empleó a fondo durante meses en las diferentes entrevistas para señalar con el dedo a su competidor. Hoy se enfrenta a una crisis reputacional y seguramente a una batalla legal contra ellos.
Este viernes 19 de julio estará marcado en rojo en el calendario de la seguridad informática global. Una pequeña actualización de un software -que generaba conflicto con el sistema operativo Windows- acabó con una caída global de un servicio y cientos de miles de ordenadores bloqueados. Durante el día afectados reportaron que con reinicios continuados pudieron recuperar máquinas. Pero la realidad es que muchos expertos señalan que los problemas tardarán días, sino semanas, en resolverse completamente debido a que en muchos casos se tendrán que recuperar los ordenadores uno a uno. Será el recordatorio de un fallo que ha vuelto a aflorar los riesgos de un ecosistema tecnológico cada vez más complejo, más interconectado y más concentrado.
Comentarios