¿Pueden 40 kilobytes poner en riesgo la continuidad de la sociedad digital? ¿Puede un incidente de seguridad afectar tanto como para que nuestras organizaciones tengan que volver al papel y al bolígrafo? ¿Realmente ese es el nivel de resiliencia digital que nuestra sociedad tiene? El incidente con Crowdstrike del 19 de julio de 2024 nos ha de hacer pensar en si realmente no estamos construyendo una sociedad digital con unos cimientos extremadamente débiles.
Llevamos bastantes años escuchando hablar de transformación digital, digitalización de las organizaciones y de la ciudadanía, de mercados digitales, de comercio electrónico, de criptomonedas, etc. En general, de aquello que bien podríamos llamar Sociedad Digital Global, cuyas bondades glosaban los voceros, donde ríos de leche y miel digital iban a inundarnos a todos.
En muchos de nuestros artículos hemos planteado que a esta Sociedad Digital Global la amenazan los cibercriminales de toda índole y nacionalidad, frente a los que las diferentes jurisdicciones tienen dificultades para actuar, por cuestiones de extraterritorialidad, por ejemplo, o por la dificultad en la atribución de los delitos, o porque se tratan de mafias organizadas, y en ocasiones, esponsorizadas por estados. Por todo ello, la necesidad de una adecuada ciberseguridad ha captado la atención por parte de las empresas, los poderes públicos y los ciudadanos, ignorantes de las amenazas a las que están expuestos, e indefensos en la mayoría de los casos, ante este tipo de actividades criminales, y deseosos de que nada destruya la confianza en los mercados digitales.
Una de las más recientes iniciativas europeas al respecto fue la aprobación, en 2022, de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, conocida popularmente como Directiva NIS2, y cuya transposición al derecho español debería hacerse antes de mediados de octubre de 2024. El espíritu de esa norma es lograr algo que, en ocasiones, los expertos en ciberseguridad tendemos a obviar, y es el concepto de ciberresiliencia, que podríamos definir como la capacidad de un sistema de información de resistir frente un determinado evento potencialmente catastrófico, aunque sea de forma degradada. Por la coyuntura actual, se ha tendido a reducir la ciberresiliencia a poder enfrentar ataques de tipo ransomware, virus, intrusiones en los sistemas o ciberestafas, por citar algunos, olvidando otras situaciones que pueden suponer un riesgo para los sistemas de información.
Sin embargo, el pasado 19 de julio de 2024 se produjo un evento que demostró con nítida claridad los problemas de ciberresiliencia que aquejan a esa Sociedad Digital Global, afectando a todo tipo de organizaciones por todo el planeta y paralizando sus operaciones. Y ello, con un simple fichero de 40 kilobytes, puesto en el lugar inadecuado en el momento incorrecto.
Poco después de las 6 de la mañana, hora española, AENA informaba de un fallo en sus sistemas que le impedía operar con normalidad. Se presumió rápidamente un posible ciberataque, pero en un muy breve espacio de tiempo, se desechó la teoría del ciberataque y comenzaron las sospechas de que algún componente de una actualización de algún producto ampliamente utilizado estaba provocando que sistemas basados en Microsoft Windows se reiniciaran continuamente. El primer señalado fue el propio sistema operativo Windows, pero pronto se vio que no era ese el origen del incidente, sino una actualización del producto antivirus Falcon, de la compañía estadounidense Crowdstrike, y que provocaba el reinicio de aquellos sistemas donde las actualizaciones de ese producto estaban configuradas para aplicarse automáticamente.
Los sistemas afectados fueron de todo tipo, y en organizaciones de muy variada naturaleza: compañías aéreas, bancos, hoteles, industrias, etc. Su ‘cadena del dolor’ quedó meridianamente clara poco antes de las 8 de la mañana, y entonces había que investigar cómo resolverlo con carácter urgente.
Los sistemas basados en otros sistemas operativos, o protegidos con otros antivirus, o simplemente, no teniendo activadas las actualizaciones automáticas de Falcon, no se vieron afectados, salvo quizá por el hecho de que dependiesen de sistemas que sí que hubieran resultado afectados por el incidente.