CrowdStrike: La importancia de evaluar riesgos a largo plazo en sistemas técnicos

En julio de 2024, el mundo tecnológico se estremeció con un fallo informático global causado por una actualización defectuosa del software de seguridad CrowdStrike Falcon. Este incidente no solo reveló vulnerabilidades técnicas, sino que también expuso las complejas consecuencias a largo plazo de decisiones regulatorias tomadas años atrás.

El incidente CrowdStrike: Un vistazo rápido

• Causa: Una actualización errónea del software CrowdStrike Falcon provocó un bucle de arranque en dispositivos Windows.
• Impacto: Afectó a aproximadamente 8,5 millones de dispositivos Windows en todo el mundo.
• Consecuencias: Interrupciones en múltiples industrias, incluyendo aerolíneas, bancos, hospitales y medios de comunicación.
• Pérdidas: Se estiman en al menos $500 millones solo para Delta Airlines.

La raíz del problema: Regulación antimonopolio de 2009

El origen de este incidente se remonta a 2009, cuando la Unión Europea y Microsoft llegaron a un acuerdo antimonopolio que:

1. Permitía a empresas de seguridad tener el mismo acceso al código del kernel de Windows que Microsoft.
2. Imponía restricciones a Microsoft en materia de cambios de seguridad.
3. Impedía a Microsoft realizar cambios esenciales en el software de terceros instalado en el núcleo de Windows.

El debate sobre la responsabilidad

Microsoft argumenta que, sin estas limitaciones, hubiera podido evitar inmediatamente la actualización defectuosa de CrowdStrike. Por su parte, la Comisión Europea niega cualquier responsabilidad, afirmando que corresponde a Microsoft adaptar su infraestructura de seguridad de acuerdo con la legislación de la UE en materia de competencia.

Lecciones clave sobre la evaluación de riesgos a largo plazo

1. Consecuencias imprevistas de la regulación: Los reguladores de la UE probablemente no anticiparon que una empresa de seguridad pudiera ser un actor incompetente en el campo de la seguridad.
2. El peligro de los procesos de auditoría inadecuados: Las agencias gubernamentales y los auditores tienden a desarrollar procesos de evaluación simplificados para empresas conocidas y establecidas. Esto significa que, en lugar de realizar una revisión exhaustiva y detallada, se basan en la reputación de la empresa y en evaluaciones previas. Como resultado:Esta práctica puede llevar inadvertidamente a la concentración del mercado en unos pocos actores, creando un "monopolio de facto" en términos de confianza y adopción, aunque no necesariamente en términos legales.
   • Los CTO's y CIO's se ven incentivados a elegir sistemas de empresas reconocidas, ya que estos pasan por procesos de auditoría más rápidos y menos rigurosos.
   • Se crea una falsa sensación de seguridad, asumiendo que las empresas grandes o conocidas son inherentemente más seguras.
   • Se reduce la posibilidad de detectar vulnerabilidades o problemas potenciales en los sistemas de estas empresas.
3. Equilibrio entre competencia y seguridad: Este incidente reaviva el debate sobre cómo balancear la promoción de la competencia con la necesidad de mantener sistemas informáticos seguros.

Hacia un futuro más robusto

Para mejorar la robustez de nuestros sistemas técnicos, es crucial:

1. Considerar las consecuencias a largo plazo de las decisiones regulatorias y técnicas.
2. Repensar los procesos de auditoría para evitar la creación involuntaria de monopolios.
3. Mejorar nuestra capacidad para evaluar y prepararnos para riesgos de baja probabilidad pero alto impacto.
4. Fomentar un diálogo continuo entre reguladores, empresas tecnológicas y expertos en seguridad.

El incidente de CrowdStrike nos recuerda que en un mundo hiperconectado, las decisiones tomadas hoy pueden tener repercusiones inesperadas décadas después. La capacidad de anticipar y mitigar estos riesgos a largo plazo no es solo una ventaja competitiva, sino una necesidad crítica para la estabilidad y seguridad de nuestros sistemas tecnológicos.