En ciberseguridad, todavía estamos en las nubes
En los primeros tiempos de la energía eléctrica, cada fábrica producía su propia electricidad, mediante un salto de agua o una máquina de vapor. Con ella, alimentaba un motor eléctrico que, mediante un sistema de correas transmitía el movimiento a todas las máquinas herramientas. Conforme los motores eléctricos se hicieron más eficientes y económicos, cada máquina herramienta tenía el suyo propio. Poco después, aparecieron empresas que fabricaban electricidad localmente y la suministraban a las fábricas situadas en los alrededores, en los precursores de los “polígonos industriales”. Con el tiempo y con redes de distribución adecuadas, las empresas productoras de energía empezaron a construir centrales eléctricas más grandes y a producir electricidad que podían vender a muchos más clientes que estaban mucho más lejos, a través de las redes de transporte de alta tensión. Ya nadie generaba su propia energía eléctrica. Ya nadie lo hace hoy en día: no tiene sentido… ¿o sí?
Bueno, por una parte, hay fábricas cuyos procesos les permiten recuperar energía de sus residuos y generar con ella electricidad. Hay empresas que utilizan energías renovables, placas solares, principalmente. Lo hacen porque resulta rentable económicamente y porque es más sostenible. Por último, muchas empresas disponen de grupos electrógenos y de sistemas de alimentación ininterrumpida (SAI), porque quieren estar seguras de que, si hay un problema de suministro, sea por un microcorte o por un fallo de servicio de mayor duración, no van a quedarse sin energía que les impida, por ejemplo, seguir utilizando sus redes de ordenadores, aunque sea en una configuración más limitada. Porque quieren mantener en marcha sus sistemas críticos.
Hace unos años, empezaron a popularizarse los sistemas en la nube. Al principio, quienes nos dedicamos a la ciberseguridad, no recomendábamos su utilización, precisamente por los posibles problemas de seguridad. Con el tiempo, la tendencia ha resultado imparable y las plataformas en la nube han mejorado mucho sus características. Parecería lógico que, si se pueden contratar recursos informáticos en la nube, desentendiéndose de gran parte de las tareas de configuración tanto del hardware como de los sistemas operativos, e incluso de servicios de uso común, resulte absurdo dedicar recursos especializados a hacer el equivalente TIC de generar nuestra propia electricidad.
Y, sin embargo…
El reciente incidente con Crowdstrike, que ha provocado que casi 8,5 millones de dispositivos con Windows quedaran bloqueados por un fallo en una actualización, nos ha demostrado que la concentración de los recursos informáticos en unas pocas plataformas gestionadas por tres o cuatro multinacionales crea enormes vulnerabilidades en nuestra estructura económica. Es de destacar que este incidente no ha sido consecuencia de un ciberataque, sino de un error humano ¿hay errores no humanos? Por un error en la actualización de un software de sistema – básicamente un antivirus – y debido a una cierta vulnerabilidad de un sistema operativo, muchas de las aplicaciones de muchas empresas en todo el mundo han dejado de funcionar durante unas horas.
¿Qué podría haber pasado si se hubiera producido un ciberataque, con una estrategia organizada, con el objetivo de causar el mayor impacto posible? Un ataque coordinado a infraestructuras críticas de nuestra economía, podría haber tenido un efecto catastrófico.
Creo que se pueden extraer dos conclusiones de este incidente: en primer lugar, dado que estamos concentrando nuestras aplicaciones en un número reducido de plataformas y, por tanto, aumentando su criticidad, debemos ser mucho más cuidadosos con los aspectos de ciberseguridad. En segundo lugar, quizás sea el momento de empezar a trabajar en el equivalente TIC de los grupos electrógenos y así disponer de infraestructuras de emergencia que nos permitan mantener los procesos esenciales cuando todo empiece a fallar a causa de un ciberataque.
Miguel Ángel Juan - Socio Director, S2 Grupo