¿Qué lecciones deja la interrupción de Microsoft-Crowdstrike y qué significa para Latinoamérica?

La interrupción global del servicio de TI causada por una actualización de software de la firma de ciberseguridad Crowdstrike en los sistemas Windows de Microsoft es un evento extraordinario, que será ampliamente debatido y analizado.

El incidente se describe como una importante experiencia de aprendizaje sobre relaciones corporativas con proveedores de tecnología en un mundo cada vez más virtualizado y digitalizado, con crecientes niveles de dependencia tecnológica y de subcontratación de proveedores.

Según los expertos, los principales efectos probablemente se percibirán en áreas como protección de datos, responsabilidad civil, seguros contra daños y se analizará la dependencia de un solo proveedor y los sistemas de respuesta a incidentes.

“Este caso es paradigmático, porque expone la responsabilidad civil de los fabricantes de software. Las demandas que las aerolíneas recibirán de los consumidores, por ejemplo, se traspasarán. Estas empresas recurrirán contra Crowdstrike, y potencialmente contra Microsoft, para que respondan”, dijo a BNamericas Francisco Camargo, vicepresidente de directorio de la asociación brasileña de empresas de software ABES.

“En varios años en el mercado, nunca había visto algo de esta magnitud”, añadió.

Según Crowdstrike, el problema está relacionado con una actualización de su software Falcon y se limitó a Windows.

La tarde del viernes, las acciones de Microsoft habían caído alrededor de 1%, mientras que las de Crowdstrike se desplomaron casi 10% en el mercado estadounidense.

En Brasil, se informó que las aplicaciones de grandes bancos, como Bradesco y otras tres grandes entidades digitales, se habían visto afectadas. La Corte Suprema de Brasil también informó de problemas tecnológicos.

“La gran lección que se puede sacar de este episodio es que se deben hacer más pruebas internas antes de lanzar una actualización al mercado. Incluso cuando el fabricante autoriza el proceso”, dijo a BNamericas Marcelo Mendes, miembro del Instituto Brasileño de Seguridad, Protección y Privacidad de Datos (IBRASPD).

Según Mendes, existe cierta diversidad en las capas de infraestructura y en la plataforma de datos de las empresas y, en última instancia, en un mundo ideal, las empresas no deberían poner todos sus huevos en una sola canasta. Por otro lado, tratar con múltiples sistemas y múltiples proveedores crea más complejidad para ellas, sostiene.

“Es como un rompecabezas. La empresa tiene un sistema de un proveedor, una solución de nube de otro, infraestructura de datos de otro y una orquestación de seguridad de otro. ¿Qué tienen todos ellos en común? El sistema operativo, físico o en la nube”, indicó Mendes.

En 2023, aproximadamente el 88% de los dispositivos de escritorio en Brasil operaban con Microsoft Windows y la mayor parte del resto estaba repartido entre OS X (3,7%) y Linux (2,6%).

NUBE, SISTEMA OPERATIVO, DEPENDENCIA Y GOBERNANZA

En un sentido más amplio, el episodio podría sacudir la creciente confianza de las empresas en el uso de sistemas de nube pública, o posiblemente la concentración de estos en nubes específicas.

Geraldo Pires, ciberespecialista y director ejecutivo de la empresa de seguridad Rox Partner, sostiene que se repensarán los procesos de gobernanza.

“La responsabilidad de Crowdstrike es clara. Como proveedor de soluciones, debería haber validado la actualización en múltiples versiones de sistemas operativos y escenarios antes de lanzarla. Sin embargo, las empresas también son corresponsables. No podemos delegar toda la estrategia de seguridad a una herramienta, y es esencial que las organizaciones tengan procesos de gobernanza para cada actualización de software”, aseguró Pires en un comunicado.

Alexander Coelho, socio de Godke Advogados y especialista en derecho digital y protección de datos, plantea que Microsoft también podría ser considerada responsable.

“Si la falla del software se considera un incumplimiento de los términos de servicio o del contrato entre Microsoft y las empresas usuarias, las empresas pueden demandar por daños y perjuicios. Además, pueden alegar negligencia con el argumento de que Microsoft no implementó medidas adecuadas para garantizar la estabilidad y seguridad del software”, señaló en un comunicado.

Umberto Rosti, CEO de Safeway, empresa que integra la plataforma Stefanini Cyber, señaló que Crowdstrike es una de las herramientas endpoint más utilizadas en el entorno empresarial.

“Como procedimiento, recomendamos que cada actualización se pruebe en un entorno controlado antes de ponerla a disposición en el entorno de producción. Lo importante es que las grandes empresas tengan procedimientos para identificar y resolver problemas, es decir, medidas para recuperarse y afrontar incidentes”, dijo el ejecutivo a BNamericas.

INCIDENTES EN LATINOAMÉRICA

En América Latina, Crowdstrike no es una plataforma adoptada tan ampliamente, comparada con otras soluciones endpoint de Cisco, Trend Micro o Sophos, por ejemplo.

Sin embargo, la empresa ha estado invirtiendo para ampliar su presencia en la región.

En junio, anunció asociaciones con los principales distribuidores tecnológicos latinoamericanos Ingram Micro, M3Corp y Tecnología Especializada Asociada de México (TEAM México) para su plataforma de ciberseguridad Falcon con IA nativa.

Fue una actualización en esta plataforma la que causó los problemas en los sistemas Windows.

En general, América Latina estuvo menos expuesta al incidente que otras geografías, posiblemente debido a la presencia aún limitada de Crowdstrike a nivel regional.

Sin embargo, los efectos sí se sintieron. Además, existe un efecto dominó relacionado con la interconexión de economías y sistemas en una base más amplia.

El aeropuerto Arturo Merino Benítez de Santiago, la capital chilena, recomendó a los pasajeros verificar el estado de sus vuelos con las aerolíneas antes de acudir a las terminales, debido al impacto que el mal funcionamiento global de las computadoras con Microsoft está causando en los sistemas de registro de pasajeros de algunas aerolíneas.

Aunque la falla global no afectó los servicios informáticos del aeropuerto, sí obligó a realizar los procesos de facturación de forma manual en 12 vuelos. Los aeropuertos y aerolíneas brasileños adoptaron recomendaciones similares.

En Brasil, la plataforma Downdetector Dashboard identificó fallas en los servicios de Microsoft (Azure, Teams, Xbox Live, Office 365, MS Store), de bancos y entidades financieras (Bradesco, Neon, Next, Itaú, Caixa, Banco do Brasil, Nubank, XP), en servicios de streaming (Sky+, Globo), y en entidades públicas como Sefaz y el Banco Central.

En Costa Rica, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) informó que había comunicado a toda su red de instituciones vinculadas sobre la falla en uno de los elementos de configuración de la solución de seguridad de Crowdstrike.

“Para abordar esta situación, hemos enviado una solución a todas la red de enlace del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) y realizado un análisis de impacto de todas las instituciones que tienen implementada esta solución de seguridad. Por el momento la afectación es mínima y estamos en constante monitoreo”, dijo Micitt en un comunicado.

El Grupo de Respuestas a Emergencias Cibernéticas de Colombia (ColCERT) indicó que había evaluado posibles afectaciones en diferentes entidades públicas y empresas privadas y que más del 95% de ellas no presentaban problemas en sus servicios tecnológicos.

El Ministerio de TIC y ColCERT señalaron que seguirán monitoreando la situación del país y estarán atentos para “reaccionar ante cualquier eventualidad”.