Microsoft: mira lo que me has hecho hacer

La seguridad es un asunto delicado en la Red. Si tardas demasiado en actualizar un sistema, los agujeros que intentas tapar podrían ser descubiertos y explotados por actores maliciosos. Si actualizas demasiado rápido o de manera automática, te arriesgas a cometer errores por haberte saltado protocolos. En entornos como Microsoft y Crowdstrike, la apuesta es mucho más grande, debido a su tamaño, su poder y su opacidad. Tanto los ataques como los errores se propagan como un hongo venenoso por los homógeneos campos del software de sus centros de datos, afectando empresas, aeropuertos, hospitales y otras infraestructuras críticas, que quedan indefensas e impotentes frente a la crisis.

Cuando una actualización automática del software de seguridad de Crowdstrike para la “detección y respuesta de intrusiones” bloqueó millones de terminales de Windows el viernes pasado, los aeropuertos, empresas y hospitales afectados tuvieron que esperar a que Crowdstrike y Microsoft identificaran el problema, seguir sus instrucciones y aceptar su explicación. Esa es la relación que tenemos con empresas que dominan nuestras infraestructuras críticas. La delegación de responsabilidad sobre un entorno que carece de transparencia produce una gran indefensión. Ahora Microsoft culpa a la Unión Europea por obligar a la empresa a abrir el acceso al núcleo de su sistema a Crowdstrike.

Según declaraciones de un portavoz de Microsoft al The Wall Street Journal, “el acuerdo de 2009 da a los fabricantes de software de seguridad el mismo nivel de acceso a Windows que el que obtiene Microsoft”. Eso que dice es completamente cierto. Se refiere a un compromiso público de interoperabilidad que la empresa firmó en 2009 para evitar una investigación en la UE por abuso de su posición dominante en el mercado de sistemas operativos. Microsoft se comprometió entonces a proporcionar la documentación técnica necesaria para que otros desarrolladores crearan productos compatibles con Windows y ofrecer licencias a precios razonables y no discriminatorios.

Gracias a este acuerdo, las empresas como Crowdstrike pueden ofrecer sus soluciones de software en un mercado dominado por Windows, y las empresas y organizaciones que usan Windows pueden comprar soluciones que no sean Microsoft Defender, incluido por defecto en Windows 10. Eso no significa que Microsoft esté obligada a abrir el núcleo de su sistema. De hecho, podría haber creado una capa extra de seguridad interponiendo una interfaz de programación de aplicaciones que permite a los desarrolladores externos interactuar con el sistema operativo sin necesidad de acceder al núcleo del sistema. Por otra parte, el buceo anti-malware de CrowdStrike habría perdido eficiencia. Como dije al principio, la seguridad es un asunto delicado. No hay soluciones perfectas, solo compromisos flexibles y capacidad de reacción.

Con estas declaraciones, Microsoft argumenta que estaríamos más seguros dependiendo de un mercado digital más centralizado, más opaco y más controlado por Microsoft. Es importante entenderlo, porque es el mismo que defiende Apple para controlar con un peaje el mercado de aplicaciones de iOS. La teoría de sistemas de la resiliencia aplicada a los entornos digitales argumenta exactamente lo contrario: la resiliencia de un sistema depende de su transparencia, experiencia, redundancia y diversidad.

El concepto de resiliencia tiene que ver con la cantidad de perturbaciones que pueden ser absorbidas por un sistema antes de ser destruido o reorganizado hasta el punto de cambiar de estructura, objetivo o función. También tiene que ver con su habilidad para recuperarse rápidamente de fallos o ataques, restaurando su funcionamiento habitual. Desde ese punto de vista, la crisis del viernes fue relativamente corta, pero no porque la resiliencia del sistema fuese alta, sino porque Crowdstrike asumió instantáneamente la responsabilidad, identificó el error, encontró la solución y puso los medios para restaurar la normalidad lo antes posible. Este es el mejor de los mundos posibles. Sin una atribución del origen y una solución rápida y efectiva, el escenario habría sido otro.

El Parlamento Europeo aprobó hace un año la Ley Europea de ciberresiliencia que busca proteger a Europa de errores, ciberataques y monopolios con una estrategia de estándares abiertos, sistemas descentralizados, conocimiento compartido y una respuesta coordinada de todos los países de la unión. Es una visión opuesta a la de los gigantes tecnológicos, pero su trabajo es garantizar un ecosistema digital más seguro para empresas y consumidores, muy especialmente los sistemas críticos a gran escala, como los aeropuertos y los hospitales. No persigue los mismos objetivos que Microsoft.

Al mismo tiempo, la financiación para iniciativas de software libre y de código abierto están desapareciendo del programa de ayudas europeas. Tanto el proyecto Horizon Europe para la investigación e innovación como el programa Next Generation, que ha apoyado el software libre y de código abierto durante años, están abandonando su apoyo al desarrollo de software libre, la construcción de proyectos y comunidades locales para la protección de los bienes comunes y los derechos civiles. La resiliencia de las infraestructuras digitales merece una buena inversión.