La ciberseguridad es a menudo cuestión de velocidad; un actor de amenaza crea una técnica o código de ataque malicioso, las empresas de ciberseguridad reaccionan ante la nueva amenaza y, si es necesario, ajustan y adoptan métodos para detectar la amenaza. Esa adopción puede requerir la actualización de los sistemas de detección en la nube y/o la actualización de los dispositivos de punto final para proporcionar la protección necesaria contra la amenaza. Y la velocidad es esencial, ya que el sector de la ciberseguridad está ahí para proteger, detectar y responder a las amenazas a medida que se producen.
Los procesos que las empresas de ciberseguridad ponen en marcha para evitar conflictos entre una actualización y el sistema operativo u otros productos suelen ser importantes, con entornos de prueba automatizados que simulan escenarios reales de distintos sistemas operativos, distintas variantes de controladores de sistema y similares.
Esto, en algunos casos, puede ser supervisado por humanos, una firma final de que todos los procesos y procedimientos se han seguido y no hay conflictos. También puede haber terceras partes, como un proveedor de sistemas operativos, en esta mezcla que prueban independientemente del proveedor de ciberseguridad, tratando de evitar cualquier interrupción importante, como estamos viendo hoy.
En un mundo perfecto, un equipo de ciberseguridad tomaría la actualización y la probaría en su propio entorno, asegurándose de que no hay incompatibilidad. Una vez que esté seguro de que la actualización no causa problemas, comenzaría un despliegue programado de la actualización, tal vez de un departamento a la vez. De este modo, se reduce el riesgo de que se produzca un problema importante en las operaciones de la empresa.
Este no es ni puede ser el proceso para las actualizaciones de productos de ciberseguridad, ya que deben desplegarse a la misma velocidad a la que se distribuye una amenaza, normalmente de forma casi instantánea. Si el proceso de actualización falla puede ser catastrófico, como está ocurriendo hoy con una actualización de software de CrowdStrike, con pantallas azules de la muerte e infraestructuras enteras caídas.
Esto no significa incompetencia del proveedor, es probable que sea un escenario de mala suerte, una tormenta perfecta de actualizaciones o configuraciones que crean el incidente. Eso, por supuesto, a menos que la actualización haya sido manipulada por un actor malintencionado, lo que no parece ser el caso en esta ocasión.
¿Qué debemos extraer de este incidente?
En primer lugar, es probable que todos los proveedores de ciberseguridad revisen sus procesos de actualización para asegurarse de que no hay lagunas y ver cómo pueden reforzarlos. Para mí, la verdadera enseñanza es que cuando una empresa alcanza una posición significativa en el mercado, su dominio puede provocar un acontecimiento semi-monocultural: un problema afectará a muchos.
Cualquier profesional de la ciberseguridad utilizará términos como “defensa en profundidad” o “capas de defensa”, que se refieren al uso de múltiples tecnologías y, en la mayoría de los casos, múltiples proveedores para frustrar posibles ataques.
No debemos perder de vista quién tiene la culpa cuando se produce un incidente como este, si los ciberdelincuentes y los atacantes de los estados nación no crearan ciberamenazas, entonces no necesitaríamos protección en tiempo real.