TECNOLOGÍA Y CIENCIA |
|
Ciberseguridad - Legal Cálculos optimistas indican que las pérdidas mundiales como consecuencia del fallo de CrowdStrike se cifran en miles de millones, pero a la empresa no le supondrá más que unos pequeños pagos y una bajada temporal de las acciones. Para comenzar: ¡Ya sabes para que sirve el EULA ! ¿Hemos aprendido alguna lección esta vez? El fallo de seguridad de Crowdstrike ha tenido un impacto casi único en la historia a nivel mundial. Aunque no se ha proporcionado una cifra exacta del daño económico, los informes sugieren que las repercusiones han sido estratosféricas y aún se tardará mucho en evaluar las pérdidas reales, -en el caso que algún día se sepa, lo cual, por razones, estratégicas es probable que nunca ocurra-. El fallo, causado por una actualización corrupta subida por Crowdstrike. provocó que muchos ordenadores con Windows se bloquearan, causando estragos en gran parte del mundo, afectando a vuelos, empresas y hospitales. La propia Microsoft calcula que unos 8,5 millones de ordenadores en todo el mundo se vieron afectados. Aunque el fallo, en cifras, afectó a menos del uno por ciento de todos los ordenadores con Windows, las amplias repercusiones económicas y sociales reflejan el amplio uso de Crowdstrike por parte de empresas que gestionan muchos servicios críticos y eso no es una buena noticia. El incidente ha tenido un impacto en los mercados financieros. Las acciones de Crowdstrike se desplomaron un 11,1% y las de Microsoft bajaron apenas un 0,74%. Realmente unas cifras bajas para el descalabro real, pero que encajan con nuestra actual cultura de asumir las consecuencias de estas situaciones como si no se pudiera hacer nada y dar por hecho la impunidad con la que pueden salir las empresas responsables, tanto por no existir un reemplazo para cierto software y servicios o en el caso de local, unas instituciones Europeas fuertes capaces de pedir explicaciones y buscar alternativas a estos gigantes -al menos, de momento, pues la UE lleva ya tiempo intentando romper esta dependencia, aunque de momento sin éxito-. Es importante tener en cuenta que estos son solo algunos de los efectos inmediatos y visibles del fallo. Los costos a largo plazo, como la pérdida de confianza del cliente y los gastos de recuperación, pueden ser significativamente mayores. Sin embargo, hasta que no se realice un análisis más detallado, es difícil estimar el daño económico total con precisión. Si cualquier pequeña empresa hubiese subido una actualización sin comprobar que hubiese causado tan solo el 1% del daño causado por el error de CwodStrike probablemente iría directamente a los tribunales y la ruina (como mínimo, igual alguien podrá pisar la cárcel según el país) Pero si algo hay que tener en cuenta es que la responsabilidad de una empresa, en este aspecto (no nos adentraremos en cuestiones más turbias) no se mide más que por su capacidad económica para poder modelar un contrato a voluntad, acorde o no a la ley. Veamos: El documento que firmamos cuando hacemos un contrato con una empresa como Crowdstrike, el cual limita tu capacidad para demandar en caso de fallos del programa o servicio, se conoce como “Acuerdo de Licencia de Usuario Final” (EULA, por sus siglas en inglés). Este acuerdo, redactado por equipos legales que hacen parecer estudiantes a muchos jueces, establece los términos y condiciones bajo los cuales puedes usar el software. Estos incluyen cláusulas que limitan la responsabilidad de la empresa en caso de fallos del software o daños resultantes. Habitualmente contienen cláusulas de “limitación de responsabilidad”, que restringe el monto que puedes reclamar en daños. O incluso una cláusula de “indemnización”, que te obliga a asumir los costos de cualquier demanda legal contra la empresa relacionada con tu uso del software. Es importante leer y entender completamente estos acuerdos antes de aceptarlos, ya que pueden tener un impacto significativo en tus derechos legales pero casi nadie, obviamente lo hace, ni siquiera muchas empresas. ¿Porqué? ¿Cómo es posible? Para comenzar, las cláusulas en estos acuerdos a veces son abusivas o directamente ilegales, pero eso es lo de menos, obviamente se puede ir a juicio y ganar, pero para la mayoría de usuarios y empresas no tienen los recursos para ir a juicio o asumir los riesgos de perder. Suena bastante razonable entonces que muchos usuarios se unan para reclamar responsabilidades frente a estas grandes empresas ¿Verdad? pero para eso tienen solución: al firmar un contrato, una de las primeras cláusulas que se debe aceptar es desistir de acciones colectivas! O dicho de una manera sencilla, aceptas que no podrás unirte a otros damnificados para disponer de los recursos suficientes para poder garantizarte un juicio “igualado”. Las grandes empresas acostumbran a poner muchas cláusulas con finalidad similar. Ese es el caso de las cláusulas sobre jurisdicción, diseñadas para dificultarte la acusación, aumentar el gasto de tener que demandar en otro país, o “redirigir” demandas hacía países terceros con leyes más, digamos, “laxas” (comprueba cuantas empresas te dirigen a su filial de Irlanda) En el caso de empresas de “dudosa respetabilidad”, como es el caso de casas de apuestas, cripto casinos o “traders” decrriptomonedas, directamente son paraísos fiscales en repúblicas bananeras o lugares a un más difíciles de acceder y demandar, p.ej. ciertos países árabes, etc. Pero en el fondo, nada de esto importa, ya que a nivel judicial entramos en un punto muy delicado de expresar, aunque de todos conocido: hablamos muchas veces de grandes empresas estratégicas o de infraestructuras para ciertos países. Sin reemplazo, no se las puede dejar caer. ¿Se comprende, no? De aquí llegamos a la principal lección: Ciertos sistemas operativos y muchos servicios (incluidos de seguridad) han demostrado una vez más no tener el nivel para los propósitos destinados. Efectivamente, hablamos de la superioridad de Linux! (que no facilidad para implementarse) Resulta increíblemente sorprendente a estas alturas que no se comprenda la fragilidad de ciertos sistemas operativos, software y servicios que se utilizan de manera masiva pese a que se deberían usar opciones Linux con un mayor control sobre lo que una empresa tiene implementado. Por otro lado, ha quedado claro que las empresas no se preparan adecuadamente para la recuperación de desastres: deben tener planes de recuperación robustos y probados en caso de que ocurra un fallo. Esto incluye copias de seguridad regulares y capacidad de revertir rápidamente a una versión anterior del software. El día del incidente llegó a resultar casi “bochornoso” lo que algunas empresas tardaron en recuperar sus equipos a causa de no comprender el alto riesgo de que ocurran esta clase de eventos. Pues son terriblemente habituales, aunque no sea a esta escala. A nivel estratégico existe una ausencia preocupante de diversificación de proveedores de seguridad: lo ocurrido subraya la importancia de no depender de un solo proveedor de seguridad. La diversificación puede ayudar a mitigar los riesgos estructurales en caso de que un proveedor experimente un fallo. A estas alturas parece que no se comprenda la escala de lo ocurrido, hablamos de un caos general que ha afectado al 1% de la flota de ordenadores mundial con el sistema operativo Windows! por muy pequeño que parezca el porcentaje es enorme! Y esto ha llevado a aprender otra lección de algo que es un secreto a voces dentro de este mundo: Existe una importante falta de pruebas rigurosas orientadas a la reducción de costes, que incluye muchas veces una explotación de los trabajadores encargados de estas tareas. Antes de implementar cualquier actualización, es vital realizar pruebas exhaustivas para asegurar que no haya errores o problemas. Esto es vital para las empresas de seguridad cibernética como CrowdStrike, donde un fallo puede tener consecuencias devastadoras. Y en mitad de este caos, un punto ganador en la guerra tecnológica para China. La dependencia hiper-reducida de Microsoft en China crece ya que no depende tanto de Microsoft como otros países, utilizando principalmente servicios en la nube de Alibaba, Tencent y Huawei. El progresivo reemplazo de sistemas extranjeros a causa de la guerra tecnológica y su política estratégica de no de pender de terceros a significado que durante años organizaciones gubernamentales y negocios han estado sustituyendo sistemas informáticos exteriores por nacionales lo que ha llevado ahora a un “impacto limitado” donde los apagones en China afectaron principalmente a firmas u organizaciones extranjeras. Por ejemplo: Microsoft opera en China a través de un socio local, 21Vianet, aislando los servicios esenciales chinos de interrupciones globales. El problema es que las pruebas rigurosas se han sustituido por la habitual actualización del estilo “prueba y error” donde el usuario es utilizado contra su voluntad como conejillo de indias. ¿Cuándo perdimos la cuenta de la última actualización que empeoraba el rendimiento de nuestro ordenador? Actualmente hemos asumido con toda la normalidad del mundo que cuando el ordenador se actualiza (nos gusté o no, queramos o no) debemos encomendarnos a nuestra divinidad favorita y rezar para que el ordenador siga funcionando. Se ha instaurado esta cultura de la resignación. Y esa cultura de no exigir nuestros derechos -como consumidores o empresas- ha llevado a que la impunidad que sienten ciertas grandes entidades para reducir sus niveles de seguridad degenere en este desastre, del que probablemente, además, no aprendamos nada. Autor: Jose Francisco L. Alonso
Reconocimientos y más información sobre la obra gráfica ADVERTENCIA: En este foro, no se admitirán por ninguna razón el lenguaje soez y las descalificaciones de ningún tipo. Se valorará ante todo la buena educación y el rigor sobre el tema a tratar, así que nos enorgullece reconocer que rechazaremos cualquier comentario fuera de lugar.
0 Comentarios
Deja una respuesta. |