Qué nos puede enseñar el error de CrowdStrike de 2024 sobre el ciberriesgo

El 19 de julio de 2024, una sola actualización de contenido de CrowdStrike, una empresa de software de ciberseguridad, provocó la caída de más de 8,5 millones de sistemas, lo que interrumpió las operaciones durante días en miles de organizaciones de todo el mundo, incluidas cientos de empresas de la lista Fortune 1000. La «falla» de CrowdStrike, como se le conoció, provocó pérdidas se estima en más de 5000 millones de dólares. Se estima que el incidente de CrowdStrike costó a las aseguradoras alrededor de 1500 millones de dólares en pagos, con coberturas de interrupción de la actividad, ciberseguridad y fallos del sistema. Representa uno de los principales ejemplos del impacto adverso de la acumulación agregada de ciberriesgos. En octubre de 2024, Delta, una de las muchas empresas afectadas por el incidente, presentó una demanda contra CrowdStrike afirmando que el corte fue «catastrófico». Afirmaron que fue el resultado de «actualizaciones forzadas no probadas para sus clientes» de CrowdStrike y provocó la interrupción de 7 000 vuelos y 1,3 millones de clientes en 5 días. La aerolínea alegó una pérdida de más de 500 millones de dólares.

CrowdStrike en respuesta, aunque admitió que la causa principal fue un fallo en la actualización del software, afirmó que «las afirmaciones de Delta se basan en información errónea refutada, demuestran una falta de comprensión de cómo funciona la ciberseguridad moderna y reflejan un intento desesperado de echar la culpa de su lenta recuperación a la falta de modernización de su anticuada infraestructura de TI».

En este artículo examinamos lo que los gerentes y ejecutivos pueden aprender de este incidente. Hablamos de las secuelas de la interrupción en el estado mundial de la gestión del ciberriesgo y detallamos lo que las organizaciones deberían hacer de forma diferente para evitar interrupciones similares.

Las empresas no están preparadas

El número total de ciberincidentes y la magnitud de su impacto siguen aumentando y empeorando, a pesar de los avances en las soluciones de ciberseguridad y del aumento del gasto en ciberseguridad por parte de las organizaciones.

Según el «Informe sobre el costo de la violación de datos de 2024» de IBM, el coste medio de una violación de datos en 2024 fue de 4,88 millones de dólares, un 10% más. El informe anual sobre violaciones de datos de 2024 de Verizon analizó 30 458 incidentes de ciberseguridad, de los cuales 10.626 fueron filtraciones de datos confirmadas — un récord.

Un estudio de mercado de ciberriesgo realizado recientemente por Milliman identificó brechas importantes con importantes implicaciones en el mercado:

• Un mercado de ciberseguridad muy fragmentado: Varias direcciones de solución con capacidades limitadas para unificarlas y lograr una gestión global y creíble del ciberriesgo.
• Las decisiones de ciberseguridad se basan en puntos de datos inconexos: Una variedad de puntuaciones cibernéticas, evaluaciones locales y cuestionarios con perspectivas insuficientes de ciberriesgo de principio a fin.
• Evaluaciones ineficaces de la concentración del ciberriesgo: Capacidades limitadas para captar las ciberdependencias necesarias para identificar el ciberriesgo sistémico y la agregación de riesgos.
• Un mercado de ciberseguros débil: Los métodos de cibersuscripción son difíciles de conciliar debido a la falta de datos históricos, a la rápida evolución de las amenazas y a la excesiva subjetividad a la hora de hacer las evaluaciones.
• Transparencia limitada sobre el ciberriesgo en las organizaciones: La gestión del ciberriesgo de la cadena de suministro es un desafío grande y creciente, y la falta de visibilidad está afectando a las decisiones sobre el ciberriesgo.
• Nuevos desafíos de ciberriesgo introducidos por las nuevas tecnologías emergentes: La IA, la computación cuántica, la computación en nube y otras innovaciones conducen a la evolución de los requisitos reglamentarios y a un aumento de la incertidumbre sobre el ciberriesgo.

El incidente de CrowdStrike es una importante demostración de todas estas brechas de mercado. A continuación, utilizamos el evento CrowdStrike para presentar cuatro preguntas fundamentales que deberían formar parte de sus análisis periódicos de ciberriesgo. CrowdStrike y otras partes afectadas no solo no abordaron adecuadamente estas preguntas, sino que el sector carece de los métodos adecuados para abordarlas adecuadamente.

Cuatro preguntas abiertas sobre el ciberriesgo

1. ¿Cuál es el nivel de riesgo de una actualización de contenido de CrowdStrike? (¿Reduce o aumenta el riesgo general?)

El software Falcon de CrowdStrike es una de las principales soluciones de ciberseguridad del mercado. Las actualizaciones de contenido son el mecanismo de CrowdStrike para mejorar rápidamente todos sus despliegues de terminales a fin de reflejar los patrones emergentes de nuevas ciberamenazas. Están diseñados para mejorar la protección general.

Debido a la rápida aparición de nuevas ciberamenazas, CrowdStrike puede publicar varias actualizaciones de contenido de este tipo al día. Desde la introducción en el mercado de la solución Falcon en junio de 2013, CrowdStrike ha publicado muchos miles de actualizaciones de contenido para sus clientes de todo el mundo, sin casi ningún problema.

Pero el riesgo asociado a una actualización de contenido nunca es cero. Siempre hay alguna probabilidad de que los errores de software queden expuestos y provoquen interrupciones u otros efectos adversos. Por lo tanto, el riesgo asociado a la implementación de una actualización de contenido debe evaluarse en relación con los riesgos que eliminan las protecciones mejoradas incluidas en la actualización. Los enfoques eficaces para realizar este tipo de análisis sistemáticos y cuantificables no están disponibles actualmente.

En su demanda contra CrowdStrike, al hacer referencia a la actualización de contenido, Delta hizo afirmaciones como:

• «Al instalar su exploit en los sistemas de Delta sin el permiso o el conocimiento de Delta, CrowdStrike obstruyó, interrumpió e interfirió con el uso de Delta de sus programas de ordenador y redes informáticas».
• Y, como resultado, «Delta sufrió más de 500 millones de dólares en pérdidas de bolsillo a causa de una actualización defectuosa, además de un daño a la reputación y una pérdida de ingresos futura».

No se hizo referencia al hecho de que CrowdStrike haya instalado con éxito miles de estos «exploits» (cambios de contenido) en los sistemas Delta desde que se convirtió en cliente en 2022. No se hizo referencia al valor empresarial general que estos «exploits» proporcionaron a Delta durante ese período, en forma de una mayor protección contra posibles ciberataques.

2. ¿Cómo se debe mitigar de forma óptima el riesgo de una actualización de CrowdStrike? (¿Debería aplicarse inmediatamente o retrasarse?)

La respuesta depende de la naturaleza de la actualización y de la naturaleza del sistema objetivo (y de su posible impacto empresarial). Exige un equilibrio matizado, sistemático y cuantificable entre el riesgo de consecuencias empresariales adversas en el futuro debido a una posible actualización defectuosa de ese sistema (el riesgo se reduce a medida que aumenta el retraso) y las oportunidades de riesgo empresarial y escalamiento en caso de que este sistema sufra un ciberataque sin protección adicional (el riesgo aumenta a medida que aumenta el retraso).

En su demanda de octubre de 2024, Delta alegó:

«Cuando CrowdStrike implementó la actualización defectuosa, CrowdStrike incluso obligó a actualizar a los clientes que tenían las actualizaciones automáticas deshabilitadas, como Delta. Delta no había activado la configuración de actualización automática porque Delta quería mantener el tipo adecuado de controles de gestión de cambios sobre la forma en que las actualizaciones podían afectar a sus sistemas y redes informáticos».

De hecho, CrowdStrike trató sus actualizaciones de contenido como eventos de riesgo cero. Tras el incidente de 2024, CrowdStrike se dio cuenta de su error de gestión de riesgos y cambió su proceso de despliegue para que las actualizaciones de contenido reflejen el hecho de que están asociadas a un nivel de riesgo que debe gestionarse adecuadamente. Esta mejora de la transparencia y el control de los clientes es claramente necesaria. Sin embargo, el sector se ha esforzado por determinar qué información adicional se debe proporcionar y cómo pueden utilizarla los clientes para tomar las decisiones adecuadas y alineadas con los riesgos empresariales.

3. ¿Cómo garantizar un nivel óptimo de resiliencia empresarial cuando una actualización de contenido es defectuosa?

Esta pregunta requiere un análisis sutil y sistemático de la gestión de riesgos que abarque todas las ciberdependencias implicadas. La industria carece de métodos eficaces de razonamiento sistemático y gran parte de los debates actuales son vagos y ambiguos. Por ejemplo, en su demanda, Delta afirma que CrowdStrike sabía que sus acciones podían dañar a Delta, sus ordenadores, sus redes informáticas y sus programas informáticos. Pero incluso los procesos de desarrollo, pruebas y certificación de la más alta calidad pueden provocar de vez en cuando algún tipo de salida defectuoso.

Delta no dio detalles específicos en su demanda sobre la configuración de resiliencia de su infraestructura, más allá de algunas declaraciones muy generales, como: «Como parte de su planificación e infraestructura de TI, Delta ha invertido miles de millones de dólares en conceder licencias y crear algunas de las mejores soluciones tecnológicas del sector de las aerolíneas» o «Delta es conocida por su servicio de atención al cliente, su fiabilidad y su eficiencia operativa».

Por otro lado, CrowdStrike y Microsoft han hecho afirmaciones generales y controvertidas que sugieren que Delta podría haber tenido una configuración de resiliencia inferior a la de otras compañías aéreas líderes, lo que se ha traducido en un mayor tiempo de recuperación tras el incidente: «Nuestra revisión preliminar sugiere que Delta, a diferencia de sus competidores, aparentemente no ha modernizado su infraestructura de TI, ni en beneficio de sus clientes ni de sus pilotos y azafatas», según la demanda de CrowdStrike.

No se proporcionan detalles específicos, pero estos análisis y comparaciones de la ciberresiliencia deben realizarse de manera sistemática y rigurosa para garantizar conclusiones creíbles y comparaciones entre manzana y manzana. Además, tanto Microsoft como CrowdStrike hicieron algunas declaraciones inusuales relacionadas con la resiliencia, indicando que, en respuesta al incidente, sus respectivos directores ejecutivos intentaron ponerse en contacto con el CEO de Delta para ofrecerle ayuda para la recuperación.

CrowdStrike afirmó que el CEO George Kurtz contactó con el CEO de Delta, Ed Bastian, para «ofrecerle asistencia in situ, pero no recibió respuesta». Del mismo modo, Microsoft afirmó que «se ofreció inmediatamente a ayudar a Delta sin coste alguno y que su CEO, Satya Nadella, envió un correo electrónico a Bastian, pero nunca recibió respuesta».

Si bien es encomiable, no está nada claro qué tan valiosas son las interacciones a nivel de CEO una vez que se deberían haber activado los procesos automáticos de resiliencia y recuperación (ni siquiera si el CEO de Delta tenía acceso a su sistema de correo electrónico en ese momento o si no funcionaba debido a una actualización defectuosa de CrowdStrike).

4. ¿Cómo podemos garantizar la rendición de cuentas por las pérdidas?

CrowdStrike rápidamente asumió la responsabilidad por su actualización defectuosa y pidió disculpas al mercado_._ Con respecto a su responsabilidad financiera en disputas particulares como la de Delta, CrowdStrike indicó que «su responsabilidad contractual tiene un límite de millones de un dígito», lo que implica que no es responsable de la mayoría de las pérdidas financieras que se deben a la ineficacia de las medidas de ciberresiliencia de sus clientes.

Si bien estas disputas específicas se resolverán en las demandas pendientes, observamos que los límites del flujo de información cibernética y las implicaciones para la responsabilidad generalmente están mal definidos y, a menudo, son ambiguos. Además, hay ciberdependencias de varios terceros que introducen cuestiones adicionales de responsabilidad. Pensemos, por ejemplo, en el papel de Microsoft en la disputa entre Delta y CrowdStrike. ¿Cuál es la relación precisa entre el compromiso de Microsoft de probar y certificar todo el software de acceso al núcleo de Windows y la actualización defectuosa de CrowdStrike?

Delta indicó que «tiene motivos para creer que Microsoft no ha cumplido con los requisitos contractuales y que, por lo demás, actuó de manera gravemente negligente, incluso deliberada, en relación con la actualización defectuosa». Microsoft sugirió que la ineficaz ciberrecuperación de Delta podría deberse a que dependía, de diversas maneras, de proveedores de infraestructura como IBM y Amazon. Está claro que sacar las conclusiones sobre la responsabilidad por el ciberriesgo de manera sistemática y creíble entre las partes respectivas requiere marcos de análisis eficaces que aún no existen.

El camino por delante: una gestión explicable del ciberriesgo

Aunque el incidente de CrowdStrike no fue un ciberataque real, hay muchas características comunes y lecciones importantes para todas las organizaciones relacionadas con estos escenarios de riesgo digital, ya sean accidentales o deliberados.

Las organizaciones deben desarrollar las capacidades adecuadas para realizar lo siguiente:

• Determine el posible impacto empresarial posterior (directo e intensificado) de un ciberevento en cualquier socio de la cadena de suministro (compromisos o errores cibernéticos). Puede que Delta y muchas otras organizaciones no hayan considerado a priori escenarios de riesgo potenciales importantes, como las actualizaciones defectuosas de CrowdStrike y sus posibles implicaciones.
• Establezca los objetivos y procesos empresariales de ciberresiliencia adecuados para cualquier ciberevento impactante en un socio de la cadena de suministro. Las grandes variaciones en los tiempos de recuperación y las pérdidas comerciales en el incidente de CrowdStrike implican que varias organizaciones no contaban con las medidas de ciberresiliencia adecuadas para esos escenarios.
• Evalúe continuamente los niveles de probabilidad y la interdependencia de los cibereventos (internos y externos) y haga los ajustes oportunos cuando sea necesario. Al parecer, CrowdStrike no evaluó adecuadamente la probabilidad de posibles fallos en sus procesos de actualización de contenido y, por lo tanto, no pudo tomar las medidas correctivas adecuadas a tiempo.
• Garantizar una comunicación eficaz (interna y externa) para ofrecer la transparencia adecuada como base para las decisiones adecuadas de gestión del ciberriesgo. La decisión posterior de CrowdStrike para permitir a los clientes controlar cuándo aplicar las actualizaciones de contenido es un paso en la dirección correcta. Pero también es necesario compartir información adicional sobre los atributos de riesgo digital de cada actualización para que los clientes puedan tomar decisiones óptimas en cada caso.
• Especifique límites de responsabilidad bien definidos entre las partes pertinentes en relación con los posibles escenarios de ciberriesgo y sus implicaciones empresariales. El incidente de CrowdStrike pone de relieve importantes ambigüedades e inconsistencias entre las contrapartes con respecto a los respectivos compromisos y expectativas relacionados con el ciberriesgo.

La mayoría de las soluciones cibernéticas actuales de las organizaciones se centran en objetivos locales específicos, pero no llegan a proporcionar información integral sobre los ciberriesgos de manera sistemática, creíble y justificable. Se necesita un nuevo paradigma de gestión explicable del ciberriesgo. Debe permitir el análisis de ciberriesgos de extremo a extremo basados en escenarios y mapas entre los cibereventos y los resultados empresariales. Por ejemplo, con respecto a incidentes como CrowdStrike, un nuevo enfoque permitiría evaluar sistemáticamente los escenarios de resultados empresariales de las actualizaciones potencialmente defectuosas y equilibrar los procesos de mitigación y recuperación en consecuencia, de una manera sistemática y optimizada para el ciberriesgo.

En general, necesitamos mejores métodos para desarrollar niveles más altos de confianza entre los usuarios y los proveedores de servicios. Los fallos tecnológicos ocasionales e involuntarios son inevitables. Los ciberataques malintencionados seguirán aumentando en escala, alcance e impacto con la creciente dependencia mundial de las tecnologías digitales emergentes. Por lo tanto, se necesitan con urgencia enfoques de gestión del ciberriesgo mucho más eficaces y deben ser transparentes, estructurados, justificables y ágiles.