
Crowdstrike es una solución de protección empresarial ampliamente utilizada, diseñada específicamente para servidores y computadoras de organizaciones.
¿Qué tanto se pudo haber evitado el apagón informático que sacudió a varias empresas tras la actualización de Crowdstrike? La respuesta, como en muchos aspectos de la ciberseguridad, no es sencilla. En retrospectiva, siempre es fácil señalar lo que se pudo haber hecho de manera diferente, pero la realidad es que este tipo de situaciones son complejas y multifacéticas. La posibilidad de evitar un evento como este depende en gran medida de cómo cada organización maneja su gestión de riesgos, particularmente en lo que respecta a la cadena de suministro de ciberseguridad.
Crowdstrike es una solución de protección empresarial ampliamente utilizada, diseñada específicamente para servidores y computadoras de organizaciones. No se trata de un producto dirigido al público en general, sino de una herramienta que protege la infraestructura tecnológica de las empresas. Ese día, el 19 de julio de 2024, Crowdstrike lanzó una actualización en su motor de detección, el componente encargado de identificar y neutralizar amenazas. Esta actualización, que tenía la intención de mejorar la seguridad de los sistemasprovocó un apagón informático en varias empresas, deteniendo sus operaciones.
Además del impacto directo, uno de los principales temas de debate fue si Crowdstrike había realizado pruebas exhaustivas antes de lanzar la actualización. Muchas voces dentro de la comunidad tecnológica cuestionaron si se realizaron las validaciones necesarias en entornos controlados para asegurar que la actualización no causara problemas imprevistos en los sistemas de sus clientes. Este tipo de discusiones son fundamentales porque subrayan la importancia de los procesos de calidad y pruebas previas al despliegue de cualquier cambio en herramientas de ciberseguridad.
Para entender el impacto de lo sucedido, es importante considerar la cadena de suministro de ciberseguridad, un aspecto que a menudo se subestima en la gestión de riesgos. Los proveedores de software, como Crowdstrike, son parte esencial de esta cadena. Cuando uno de estos proveedores introduce un cambio en su producto, como una actualización de software, ese cambio impacta directamente en los sistemas y operaciones de sus clientes y, en casos como este, incluso en los clientes de sus clientes.
Por ejemplo, algunas empresas que no utilizaban directamente el software de Crowdstrike se vieron afectadas porque uno de sus proveedores dependía de esta herramienta. Cuando la actualización de Crowdstrike causó problemas en el entorno de ese proveedor, sus operaciones se vieron interrumpidas, lo que a su vez afectó la capacidad de las empresas clientes para cumplir con sus propias obligaciones. Esta situación no solo dañó la reputación de todas las partes involucradas, sino que también provocó pérdidas operativas significativas.
Entonces, ¿qué tanto se pudo haber evitado el apagón informático? En teoría, algunas medidas podrían haber mitigado el impacto. Por ejemplo, realizar pruebas más exhaustivas en entornos controlados antes de desplegar la actualización en producción podría haber identificado los problemas antes de que afectaran a las operaciones; pero también lo que pudo hacer Crowdstrike antes de lanzar la actualización para identificar el problema.
Sin embargo, en la práctica, la gestión de actualizaciones en sistemas críticos es un dilema constante. Las actualizaciones automáticas, aunque riesgosas, son una medida necesaria para proteger los sistemas contra las amenazas más recientes. Desactivarlas para evitar posibles interrupciones significa, por otro lado, que los sistemas podrían quedar expuestos a vulnerabilidades que estas actualizaciones pretenden corregir.
La clave para las empresas es encontrar un equilibrio en la gestión de estos riesgos. No se trata de si es bueno o malo permitir actualizaciones automáticas, sino de cómo se administra el riesgo que esto implica. Por un lado, las empresas deben asegurarse de que sus procesos de gestión de cambios incluyan pruebas y validaciones adecuadas. Por otro, deben estar preparadas para lidiar con las consecuencias de un fallo inesperado, con planes de contingencia bien definidos y un enfoque ágil para la recuperación.
Es importante no satanizar a Crowdstrike por lo sucedido. Tanto los proveedores de herramientas de ciberseguridad como las empresas que dependen de ellas tienen una responsabilidad compartida en la gestión de riesgos. Crowdstrike, como cualquier otro proveedor, debe aprender de esta experiencia y mejorar sus procesos para minimizar la posibilidad de que algo similar ocurra en el futuro. Al mismo tiempo, las empresas deben revisar cómo interactúan con sus proveedores y cómo manejan las actualizaciones en sus propios entornos. Finalmente, otros proveedores tendrán que revisar sus procesos para no caer en lo que le pasó a Crowdstrike. Todos aprenden.
Al final del día, la probabilidad de que suceda un evento como este es baja, pero no inexistente. En muchos casos, aceptar que este tipo de incidentes pueden ocurrir es parte de la gestión del riesgo. Intentar prevenir cada posible fallo podría llevar a implementar múltiples soluciones tecnológicas difíciles de administrar, gastos innecesarios en cubrir todo y tener planes alternativos, lo que a menudo no es práctico ni eficiente. En lugar de eso, es más sensato aceptar que, en ocasiones, e muy poco probable que suceda y tendremos que aceptar dicho riesgo. La gestión efectiva del riesgo no se trata de evitar cada posible problema, sino de estar preparados para manejar lo inesperado de manera efectiva y con la menor interrupción posible.