Dígitos y Andróminas

El problema (aún mayor) que esconden las averías masivas

Muchas funciones que antes se ejecutaban en modo local ahora se confían en servidores externos que pueden fallar

BarcelonaNo fue ningún ciberataque. Los ciudadanos tenemos tan asumida la fragilidad de las infraestructuras tecnológicas que nos atienden, que cuando la madrugada del jueves al viernes hemos sabido que una incidencia informática grave había tumbado servicios como los aeropuertos de Aena, el teléfono 061 de atención sanitaria y hospitales como el de Terrassa, mucha gente ha pensado de inmediato en la enésima intrusión de los ciberdelincuentes y se han puesto a esperar noticias sobre filtraciones o secuestros de datos y exigencias de pago de rescate. Sobre todo porque en las primeras horas ni las autoridades ni las entidades afectadas han dado detalle alguno sobre la avería.

Lo que ha pasado es que decenas de miles de servidores y estaciones de trabajo empresariales y corporativas, siempre con el sistema operativo Windows, han dejado de funcionar en todo el mundo y se han quedado mostrando la fatídica pantalla azul (conocida como en BSOD, siglas en inglés de pantalla azul de la muerte) que indica que el aparato es incapaz de seguir trabajando y reclama la intervención de un técnico especializado. El motivo de esa caída masiva ha sido mucho más prosaico que un ciberataque: en realidad ha sido un error de actualización de un software que precisamente sirve para evitar los ciberataques. Se trata del módulo Falcon Sensor de la empresa estadounidense CrowdStrike, con las que muchas empresas e instituciones protegen sus redes de dispositivos Windows frente a posibles intrusiones; como un antivirus pero centralizado ya escala industrial.

Cargando
No hay anuncios

CrowdStrike es uno de los tres proveedores principales de este mercado, y proporciona el servicio desde la nube, para mantener actualizadas las infraestructuras de los clientes. Esta noche les ha distribuido una nueva versión del mencionado módulo que era defectuosa, ya medida que los aparatos la han ido ejecutando se han ido quedando colgados, obligando al personal a trabajar a la antigua: con lápiz, papel y teléfono .

Dos averías, no una

La avería es relativamente sencilla de resolver, pero no se puede realizar de forma remota y generalizada porque los ordenadores no responden. Es necesario acceder físicamente uno por uno, reiniciándolos en el modo de recuperación que sólo carga los módulos de Windows imprescindibles, y desactivar manualmente el módulo defectuoso hasta recibir una nueva versión correcta. Por eso algunas víctimas tardarán en recuperar la normalidad: una cosa es restaurar varios servidores y otra los terminales de todos los usuarios. Y encima ha pasado justo antes de un fin de semana. Así pues, asistiremos a un goteo de notificaciones por parte de las numerosas organizaciones afectadas, que van desde empresas de gestión de aeropuertos hasta servicios de emergencias, pasando por medios de comunicación. En términos de volumen, ya podemos decir que esta avería es probablemente una de las mayores de los últimos años.

Cargando
No hay anuncios

Para complicar aún más las cosas, la avería de los equipos corporativos con Windows ha coincidido con la caída de varios servicios que Microsoft ofrece a través de su plataforma Azure en la nube. En algunas regiones, principalmente en el centro de Estados Unidos, han dejado de funcionar aplicaciones como Office 365, Teams, OneDrive, SharePoint y PowerBI, entre otros. Dado que la incidencia de CrowdStrike afecta sólo a los ordenadores con el sistema operativo de Microsoft, en algunos sitios se han mezclado las dos averías, y se ha llegado a publicar que el problema con Falcon Sensor había afectado incluso a los ordenadores de la infraestructura de la misma Microsoft. No ha sido así: la caída de los servicios a sus clientes ha sido consecuencia de un error en la configuración de Azure. La empresa ha puesto remedio desviando el tráfico de los centros de datos afectados hacia otras instalaciones.

Recentralización digital

Sea como fuere, ambos incidentes han vuelto a poner de relieve un problema estructural del internet actual. Si en su época fundacional, hace décadas, se trataba de una red descentralizada y redundante, en los últimos años se ha producido una recentralización general, gracias a la llamada nube formada por centros de datos con servidores a los que usuarios y empresas externalizamos determinadas operaciones. No es sólo que los consumidores tengamos el correo electrónico en Google, las fotografías en Instagram o los vídeos en TikTok, que pueden caernos y dejarnos sin acceso. Es también que muchas funciones que antes se ejecutaban en modo local se confían ahora, por economía de escala, a servidores externos, que pasan a ser puntos débiles generales. Es lo que ha ocurrido con CrowdStrike: mientras funciona bien, es práctico porque los ataques que detiene para un cliente permiten entrenarlo para todos los demás. Pero si tiene una incidencia afecta a miles de ordenadores.

Cargando
No hay anuncios

Otro ejemplo reciente. Hace menos de dos meses, empresas como Banco Santander, Live Nation/Ticketmaster, Mastercard, PepsiCo, HP y la operadora estadounidense AT&T sufrieron sendos robos masivos de datos de sus clientes. En el caso de AT&T, hablamos entre otros de los CDR –no es el Consejo de la República, sino los call detail recuerdos, los registros de todas y cada una de las llamadas entre cientos de millones de usuarios, fueran o no abonados de la compañía–, que permitirían rastrear la actividad de los ciudadanos con un escalofriante nivel de detalle. Pues bien, todo apunta a que los delincuentes obtuvieron estos datos introduciéndose en los servidores de Snowflake, uno de los principales servicios de almacenamiento en la nube para empresas.

Más allá de si algunos responsables de TIC corporativa se planteen si Windows es la mejor plataforma posible –conviene recordar que el grueso de internet funciona con sistema Linux, que no se ha visto afectado–, quizás ha llegado el momento de considerar si realmente queremos confiar nuestra información a unos terceros que, con toda seguridad, disponen de más recursos que nosotros para protegerla pero que, de vez en cuando, se demuestra que no son invulnerables. Ni a los ataques externos ni a los propios errores.