Los frágiles monocultivos digitales

Dice Microsoft que la actualización defectuosa de CrowdStrike afectó a 8.5 millones de sistemas Windows el pasado viernes, “menos del 1% del total”. Probablemente es verdad: Windows constituye el 75-80% del mercado global en sistemas operativos de escritorio, y no todo el mundo contrata CrowdStrike Falcon. No todos necesitan ese alto nivel de seguridad y análisis de amenazas en tiempo real, pero aquellos que lo hacen suelen ser infraestructura...

Dice Microsoft que la actualización defectuosa de CrowdStrike afectó a 8.5 millones de sistemas Windows el pasado viernes, “menos del 1% del total”. Probablemente es verdad: Windows constituye el 75-80% del mercado global en sistemas operativos de escritorio, y no todo el mundo contrata CrowdStrike Falcon. No todos necesitan ese alto nivel de seguridad y análisis de amenazas en tiempo real, pero aquellos que lo hacen suelen ser infraestructuras críticas: bancos, aeropuertos, hospitales, ejércitos y gobiernos. Y todos usan el mismo sistema operativo: Windows, de Microsoft.

El monocultivo es una estrategia de las grandes empresas agrícolas para maximizar la producción de un cultivo específico con alta demanda de mercado. Simplifica la gestión, optimiza los recursos y reduce los costes, pero hace que los ecosistemas sean más vulnerables a plagas, enfermedades y cambios climáticos, que gestionamos con el uso intensivo de pesticidas, herbicidas y fertilizantes y otros tratamientos que degradan el suelo, perjudican la salud y aceleran la crisis climática. La homogeneidad del entorno tecnológico no es diferente. Un fallo en el servicio, un error en la actualización, un ataque malicioso o un cambio de política es capaz de afectar grave, opaca y unilateralmente a millones de empresas, organizaciones y personas.

Contratamos a empresas como CrowdStrike precisamente para identificar y sofocar algunos de esos problemas. Un alto nivel de seguridad requiere un alto nivel de acceso. Las actualizaciones como la que produjo el fallo son una pieza fundamental de su misión, y “ocurren varias veces al día en respuesta a nuevas tácticas, técnicas y procedimientos descubiertos por CrowdStrike”. Como en todas las empresas, el error es inminente e inevitable. Cuando sucede, la opacidad del sistema y la uniformidad y escala del monocultivo garantizan su proliferación.

Windows no es el único monocultivo que conecta nuestras infraestructuras críticas. El 80% de los smartphones usa Android como sistema operativo; el resto usa Apple iOS. La mitad de los servicios de nube son de Amazon Web Services, seguido muy de lejos por Azure (Microsoft) y Google Cloud Platform (GCP), por no mencionar las redes sociales.

Hace 20 años, internet era una infraestructura diversa llena de consorcios de operadoras y proveedores de servicios locales. La nueva generación de cables submarinos de fibra óptica está siendo desarrollada exclusivamente a Google, Facebook y Microsoft. OpenAI está integrando su modelo de IA generativa en servicios, aplicaciones y empresas de todo el mundo, incluyendo aquellas destinadas a atender las necesidades de los ciudadanos, como la administración, la educación y la salud. SpaceX domina absolutamente la infraestructura de internet satelital.

Una sola actualización del software de una empresa que casi nadie ha contratado directamente ha bloqueado aeropuertos en todo el mundo en un viernes de julio. Podemos culpar a CrowdStrike. Pero, cuando es inevitable que la escena se repita, sería más sensato reconocer el síntoma de un error sistémico: nuestra dependencia de la infraestructura corporativa opaca, centralizada y monolítica de empresas como Microsoft. Sería el primer paso para desarrollar infraestructuras digitales más resilientes y sostenibles, capaces de garantizar la estabilidad del sistema, la competitividad del mercado y la protección del ciudadano.