Segunda lección: honestidad y humildad
Tras el incidente, era importante buscar alguien que asumiera la responsabilidad de lo sucedido, y debemos hablar desde el punto de vista de Microsoft y de CrowdStrike.
Por la parte de Microsoft, es recurrente la pregunta, ¿por qué permite que software de terceros llegue tan lejos, siendo esto tan arriesgado para sus sistemas?
En las declaraciones al periódico The Wall Street Journal, un portavoz del gigante tecnológico acusó a la Comisión Europea de obligarle a hacerlo, a raíz de un acuerdo que ambas partes firmaron en 2009. Este acuerdo tenía como propósito promover la libre competencia. Microsoft había adquirido varios antivirus para prestar servicios de ciberseguridad con acceso directo al kernel de Windows, lo cual le daba una clara ventaja sobre los demás competidores. Por eso se acordó que la compañía debía permitir a los demás poder conocer el sistema operativo tanto como las soluciones propias de Microsoft.
Un representante de la comisión respondió que Microsoft debe adaptar su infraestructura de seguridad conforme al acuerdo firmado, ya que el problema no se limitó a los territorios de la UE. También afirmó que Microsoft nunca había mostrado ni planteado una preocupación sobre este aspecto de seguridad ni antes ni después del incidente.
Tras las declaraciones de Microsoft, muchos expertos han dado su opinión y aseguran que, a pesar del acuerdo, no hay ninguna buena razón para que la compañía tecnológica no pudiera cumplirlo con los “controles adecuados”. Dejando claro que el acuerdo no obliga a que todos los antivirus tengan que acceder al kernel, sino que simplemente les da la posibilidad de hacerlo. De hecho, no todos lo hacen, ya que buscan otras fórmulas e innovación propia para proteger el sistema.
Por la parte de CrowdStrike, tras el incidente ofreció a sus socios una tarjeta de regalo de Uber Eats por un valor aproximado de 9 euros como disculpa. Por si fuera poco, tras el aluvión de personas que lo quisieron canjear, la aplicación lo reconoció como fraude y canceló los cupones.
Como es normal, las críticas han sido abundantes. Una compensación de 9 euros no es ni por asomo proporcional al daño causado, llegando a ser insultante para entidades como ADIF, una de las más golpeadas por la situación.
Es imprescindible ser honesto y tener mucha humildad a la hora de afrontar públicamente un suceso de este calibre, y los departamentos de relaciones públicas deben de estar a la altura.
Tercera lección: no se debe depender de una única solución
Cada vez más se utilizan grandes softwares que centralizan los recursos, lo cual genera una gran dependencia de la tecnología. Esto es eficiente, pero también muy peligroso, ya que, si un componente crítico falla, puede provocar un efecto dominó. Y en esto pone mucho hincapié la regulación europea DORA (Digital Operational Resilience Act), que dedica un apartado a proponer soluciones para lo que denominan “riesgo de concentración”, invitando a que las empresas no dependan de únicamente 3 o 4 proveedores y distribuyan sus necesidades de servicios y productos entre más organizaciones, evitando así que se generen dependencias que les hagan perder el control.
El incidente sucedido solo pone en manifiesto este hecho y que el empeño actual de conectar todo (las infraestructuras críticas, las empresas, las administraciones públicas, todo tipo de gadgets, los electrodomésticos, etc.) genera más riesgo de ciberataques, ya que dependemos de Internet para casi todo. De hecho, no solo las empresas españolas fueron gravemente afectadas, sino que también afectó a unas 125 empresas de las Fortune 500. ¿Qué habría pasado si hubiera afectado a MacOS y Linux? ¿Y si hubiera afectado al 100% de las máquinas Windows del mundo? La situación habría pasado de ser caótica a ser apocalíptica.
Cuarta lección: ciberseguridad como prioridad
Hoy en día es más importante que nunca tener entre las máximas prioridades a la ciberseguridad, ya sea una empresa, una administración pública, una institución o un usuario. El número de ciberataques ha aumentado hasta límites nunca vistos y hay que estar a la altura de las circunstancias.
El apagón informático que afectó a Windows fue histórico y afecto a muchos sectores mundiales y, aunque no es el primer gran apagón sucedido, muchos expertos se siguen sorprendiendo de que las empresas de sectores críticos como la banca, las aerolíneas y/o los medios de comunicación, no tuvieran o no pudiesen abordar una mejor respuesta con sus planes de contingencia y recuperación ante incidentes. Además, a raíz del problema, algunos actores maliciosos se están aprovechando para realizar campañas de phishing con un fichero malicioso que supuestamente soluciona el problema. El malo nunca desaprovecha una buena oportunidad.
Por todo esto y por sucesos similares anteriores, es que la ciberseguridad debe de ser una prioridad en todo ámbito si de verdad no se quieren lamentar pérdidas, ya sean monetarias o de datos sensibles de las empresas o usuarios.