Solucionar, estabilizar y analizar: así reaccionan los 'guardianes de la nube' cuando una 'update' desata el caos
DISRUPTORES recoge cómo han vivido el incidente los responsables de Información, Tecnología o Sistemas de empresas como Cola-Cola o ING. Apelan a la tranquilidad, pero también a reforzar el aprendizaje continuo.
20 julio, 2024 01:39Uno de los mayores ejemplos que manifiestan hasta qué punto existimos en un mundo hiperconectado se ha vivido este 19 de julio. A primera hora de la mañana saltaban las alarmas ante un fallo de la solución de ciberseguridad CrowdStrike que ha afectado a los sistemas de Microsoft y que ha dejado en jaque desde la aplicación de la empresa municipal de alquiler de bicicletas de Madrid, BiciMad, hasta la emisión de la televisión australiana ABC.
Una y otra, cada una en una punta del mundo, son solo dos casos de la multitud de corporaciones y firmas afectadas por esta incidencia, cuyo principal impacto se ha notado en los aeropuertos. Solo en la red de aeropuertos que gestiona Aena (46 en España, 60 en total), estaban programadas ayer alrededor de 7.400 operaciones, según fuentes de la firma.
Aena, de hecho, vio ayer como la caída de sus sistemas dejaba estampas dignas del recuerdo, entre ellas, realizar el check-in de los pasajeros a mano, como se hacía hace décadas, desde primera hora de la mañana hasta las diez, cuando se recuperó la conexión a la red.
A pesar de que las compañías aéreas han sido uno de los sectores más afectados, el incidente tecnológico trastocó en mayor o menor medida lo que parecía iba a ser una 'tranquila' jornada de viernes a mediados de un mes de julio.
Miles de empresas de múltiples sectores, ya sea porque utilizan el programa afectado o porque tienen proveedores que lo hacen, vieron su operativa de este pasado viernes alterada.
Incluso los que no se vieron impactados de forma directa, tuvieron que realizar controles internos para certificar que todo funcionaba de forma correcta como estrategia preventiva y, en la mayoría de los casos, siguiendo los protocolos preestablecidos para ello.
Desde el Santander, Movistar, Kutxabank, Unicaja o Bizum, pasando por el medio de comunicación británico Sky News, que no pudo retransmitir en vivo o, incluso, la Bolsa de Londres.
Incluso las empresas que no se han visto afectadas por el incidente de forma directa, han activado controles internos para certificar que todo funcionaba de forma correcta como prevención
Asimismo, otros ámbitos críticos como el sanitario también notaron los estragos de este fallo e incluso el Centro Médico Universitario alemán de Schleswig-Holstein (UKSH) canceló algunas intervenciones previstas.
En medio de este panorama, DISRUPTORES - EL ESPAÑOL ha pulsado con los CIO de diferentes compañías que operan en España cómo han vivido esta situación, cuáles son los pasos para recuperar la total normalidad en las operaciones y qué aprendizajes o enseñanzas se pueden extraer de cuando ha acontecido a escala mundial.
Coca-Cola: primero solucionar, luego analizar
Coca-Cola es una de las empresas que se ha visto afectada la actividad en algunas de sus fábricas. Fuentes en España de la multinacional destacan la "rapidez con la que se ha puesto solución" a los fallos detectados en el sistema, lo que ha permitido reanudar casi de inmediato las operaciones.
Según explican, el primer paso una vez detectada esta caída ha sido desplegar toda una serie de mecanismos de soporte que permitiesen encontrar un remedio momentáneo.
Tras estabilizar la situación y haber evitado el impacto, desde Cola-Cola se centran ahora en discernir si podrían haber hecho algo mejor tanto por su parte como por la de sus proveedores
Ahora, apuntan, una vez controlado, lo siguiente será "analizar qué ha pasado específicamente para tomar las medidas pertinentes que eviten que vuelva a ocurrir".
Así, resumen, su prioridad era estabilizar y evitar el impacto, y ahora lo es discernir si podrían haber hecho algo mejor, tanto por su parte como por la de sus proveedores.
ING: aprendizaje continuo y resiliencia
Rocío López, CIO de ING España, es otra de las fuentes consultadas por esta redacción para conocer la radiografía de cuanto sucedió este 19 de julio en las empresas españolas.
Afortunadamente, ING ha quedado al margen de la incidencia. "Nuestra máxima prioridad es mantener el banco seguro y disponible y para ello contamos con equipos y tecnología muy preparada para responder y ser resilientes, además de ser capaces de prevenir, detectar y reaccionar tanto en nuestros propios servicios como en las posibles dependencias con terceros".
La experta insiste en la necesidad actual de que las empresas, ante una transformación digital que pisa el acelerador, tengan "el foco puesto en la innovación y una adecuada adaptación al cambio".
"No es algo nuevo, y las compañías estamos preparadas para que la seguridad abarque los procesos y objetivos del negocio basándose en el análisis de riesgos TIC como piedra angular y guía para una mejora continua", añade.
"Estamos en continuo aprendizaje porque el entorno lo requiere, nos hace más resilientes y eficientes para responder ante cualquier situación"
Al final, los clientes son la prioridad de la compañía y para responder de forma rápida y eficiente, "ya contamos con protocolos de actuación muy definidos que activamos en el caso de ser necesarios".
Además, la comprobación de los equipos es una práctica habitual en ING para garantizar que, ante sucesos como los vividos este 19 de julio, todo está preparado para afrontarlos reduciendo los riesgos.
"Nos sometemos a ejercicios periódicos para que nuestros equipos estén preparados para reaccionar de forma precisa y adecuada en la gestión de cualquier crisis. Estamos en continúo aprendizaje porque el entorno lo requiere".
En este sentido, "contar con una buena estrategia de seguridad y disponibilidad desde la base, transversal a toda la organización, nos hace más resilientes y eficientes para responder ante cualquier situación y, sobre todo, proteger y garantizar la seguridad de nuestros clientes", concluye López.
Tensa calma en los próximos días
Por otra parte, los mensajes de responsables de empresas de todo el mundo se han sucedido desde ayer por la mañana, con claros mensajes hacia sus clientes y hacia el ecosistema tecnológico que invitan a la reflexión.
El CISO de Acronis, Kevin Reed, ha comentado que "este incidente pone de relieve la importancia de realizar pruebas rigurosas y actualizaciones escalonadas de los agentes EDR".
"De cara al futuro, recomendamos a todas las empresas que se aseguren de contar con soluciones de copia de seguridad sólidas y que aboguen por mejores protocolos de prueba por parte de sus proveedores de seguridad".
En esta línea, Omer Grossman, CIO de CyberArk, apunta a que la recuperación de la normalidad en muchos clientes tardará, cuando menos, días.
Y apunta a otra cuestión no menos importante sobre la causa de la avería: "El abanico de posibilidades va desde el error humano -por ejemplo, un desarrollador que descargó una actualización sin el suficiente control de calidad-, hasta el complejo e intrigante escenario de un ciberataque profundo, preparado con antelación y en el que un atacante activó un 'comando del día del juicio final' o kill switch".
El análisis y las actualizaciones de CrowdStrike en los próximos días serán claves para la resolución del problema, precisa el CIO. El episodio todavía no ha dicho su última palabra.
Intervención del INCIBE
La situación de este 19 de julio registró tal alcance que el propio Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Transformación Digital y de la Función Pública, tuvo que salir al paso con una comunicación en la que explicaba, paso por paso, cómo intervenir de forma manual para solucionar este fallo.
El organismo nacional ha precisado que los primeros logs se detectaron el jueves por la noche y se replicaron en todo el mundo. ¿El motivo? Una actualización de un componente de ciberseguridad de la empresa Crowdstrike que está generando problemas en su interacción con las plataformas de Microsoft. El problema, explican, se refleja en la generación de un pantallazo azul de bloqueo del sistema e impide su correcto funcionamiento.
El INCIBE ha puntualizado en dicha comunicación que está en contacto con las entidades involucradas, así como con los operadores "críticos y estratégicos" para ofrecerles apoyo en la adopción de estas medidas de mitigación.