El 'viernes maldito' de CrowdStrike vaticina un mundo cada vez más vulnerable

El caos fue generalizado: las primeras incidencias se detectaron en sistemas de pago de Australia, donde el viernes ya estaba avanzado, y en Alaska, donde el sol aún alumbraba el jueves y los servicios de emergencia detectaron que había problemas en sus sistemas. Pronto comenzó a verse afectado el transporte aéreo de todo el mundo, uno de los sectores más frágiles ante este tipo de acontecimientos: más de 3.300 vuelos fueron cancelados a lo largo del día, los retrasos llegaron a afectar al 88% de las operaciones en grandes aeropuertos de tránsito como Ámsterdam, y en muchos otros se tuvo que facturar a mano, desde Hong Kong hasta Los Angeles.

Diferentes administraciones estadounidenses informaron de que el 'bug' afectó también a infraestructura urbana como el alumbrado y los semáforos de diferentes localidades, así como a redes de transporte y, más preocupante aún, el servicio de emergencias telefónicas 911 -equivalente al 112 europeo-. Incluso las pantallas publicitarias del centro de Nueva York mostraron la 'pantalla azul de la muerte' que se extendió por cientos de miles de terminales con el sistema operativo de Microsoft

En Europa, las consecuencias comenzaron a sentirse de noche y se hicieron patentes al amanecer, cuando incluso cadenas como la británica Sky News tuvieron que suspender sus programas matinales y sustituirlos por otros grabados. Algunos colegios decidieron cancelar las clases, en los centros de salud de todo el continente se produjeron problemas con las citas médicas y con la planificación de operaciones quirúrgicas, y 'cash only!' (solo pago en efectivo) fue una de las frases más escritas en los comercios anglosajones. El error informático se sintió también en infraestructuras como el puerto de Gdansk, el mayor de contenedores de Polonia, donde se detuvieron temporalemente las operaciones.

Ni siquiera la organización de los Juegos Olímpicos que arrancan el próximo día 24 en París se libró del desastre y el centro de acreditación tuvo que cerrar durante todo el día. «Llegaban cientos de voluntarios para hacer el recorrido de familiarización del pabellón y no han podido hacerlo», comenta a este diario un miembro del comité olímpico. También se vio afectado el servicio de entrega de uniformes, pero no la venta de entradas ni los preparativos en los estadios.

En nuestro país la afectación no fue menor. Al inicio de la jornada laboral, grandes empresas y diferentes administraciones vieron cómo era imposible acceder a sus sistemas. El mayor temor estaba en los de Sanidad. Desde Cataluña hasta Galicia, pasando por Aragón o el País Vasco, los sistemas de salud públicos y privados sufrieron problemas, aunque en su mayoría se limitaron a demoras en consultas y pruebas diagnósticas. Afortunadamente, la mayoría recuperó la normalidad por la tarde.

«Hemos estado bloqueados en todo el grupo un par de horas», reconoció Juan Abarca, presidente de HM Hospitales. «Toda la actividad urgente estaba garantizada gracias a nuestro plan de contingencia, que consiste básicamente en volver al papel, pero todas las actuaciones programadas se han visto retrasadas creando un perjuicio evidente tanto a los pacientes como a los profesionales», añadió.

Grandes fábricas como la de Mercedes-Benz en Vitoria se vieron obligadas a detener parte de la producción, e incluso en instituciones como el Ministerio de Asuntos Exteriores fueron incapaces de acceder a su puesto de trabajo virtual. «Cada cinco minutos introducía mi usuario y contraseña, pero no había manera. El sistema me decía que estaba fuera del dominio. Estos días han entrado funcionarios nuevos y no se les ha podido explicar asuntos de papeleo más allá de lo que se hace físicamente, que es residual», relata un funcionario.

Mucho más caos se vivió en los aeropuertos. Hasta que Aena logró restablecer todos sus sistemas, «se activaron los sistemas de contingencia y se gestionaron algunos procesos de manera manual para mantener las operaciones». A pesar de esos esfuerzos, hasta las 14:30 horas hubo que cancelar 105 vuelos en España, y se espera que los problemas no se resuelvan por completo hasta hoy, debido a la necesidad de reubicar a todos los pasajeros afectados. A ese respecto, la OCU recuerda que las aerolíneas están obligadas a ofrecer asistencia a los pasajeros -alojamiento y manutención- así como la reubicación en otro vuelo o la devolución del importe del viaje si así lo decide el cliente.

La banca también sufrió sudores fríos. «A primera hora ha habido un poco de pánico hasta que se ha descartado que fuese un ciberataque. Después, hemos visto que había operativas que no funcionaban y otras que iban a trompicones. Pero hemos conseguido ir recuperando la normalidad y a mediodía estaba casi todo en funcionamiento», comenta uno de los responsables de ciberseguridad de un importante banco español, que prefiere mantenerse en el anonimato. «La situación es preocupante porque, con la creciente digitalización de la banca y el menor uso de efectivo, este tipo de eventos pueden ser cada vez más disruptivos. Esto ha sido un toque de atención para que las empresas inviertan en sistemas alternativos. Muchas no tienen plan b», explica.

Ángel Vallejo, socio de Maio Legal y director de Relaciones Institucionales de THIBER, el mayor grupo de expertos de ciberseguridad de habla hispana, también señala esa falta de un plan alternativo como uno de los principales errores que cometen las empresas. «Se ha demostrado que tenemos tal dependencia de la tecnología que un mero parche de 'software' puede paralizar a miles de compañías que gestionan infraestructura crítica. Ese error en la comunicación con la plataforma de computación en la nube ha sido como si nos bloquearan la puerta de entrada a la oficina y tuviésemos que acceder por la ventana. Por eso es importante la redundancia en sistemas», explica.

China es un buen ejemplo de ello: allí el impacto del error de Crowdstrike ha sido limitado porque, aunque el de Microsoft es el sistema operativo más extendido, las empresas utilizan alternativas locales. No obstante, Vallejo avanza que estas caídas masivas continuarán produciéndose. «De hecho, se suceden a menudo y solo trascienden los que afectan a sistemas vitales o tienen una repercusión masiva», apunta. El experto prevé una avalancha de reclamaciones contra CrowdStrike y, en menor medida, contra Microsoft. «Sus clientes tendrán que calcular el perjuicio, y es evidente que la empresa de ciberseguridad verá afectada su credibilidad. Pero sus competidores no harán leña del árbol caído porque saben que les puede pasar algo similar, y el sistema no se va a poner en entredicho porque la de la nube es actualmente la tecnología más eficaz. Como mucho, habrá algún ajuste», prevé, subrayando que la rápida reacción de Crowdstrike ha sido clave para reducir los daños. «Los sistemas están encadenados y los problemas se suceden en cascada. Cuánto más se tarda en pararlos, más difícil es cerrar el círculo vicioso», apostilla.

El propio consejero delegado de CrowdStrike, George Kurtz, reconoció un error «que no ha impactado a los usuarios de Mac y Linux», afirmó que había sido «identificado, aislado y corregido», y descartó que fuese un ciberataque. Porque, como señala Vallejo, esa posibilidad que sobrevoló cuando se detectó el problema podría provocar efectos similares: «Estos sistemas reciben miles de ataques, y esto es algo muy preocupante a nivel global».