CrowdStrike y el efecto mariposa
- Pau Vila
- BARCELONA. Martes, 23 de julio de 2024. 05:30
- Actualizado: Martes, 23 de julio de 2024. 10:06
- Tiempo de lectura: 3 minutos
En la teoría del caos, una de las aportaciones más conocidas es el llamado efecto mariposa. Según este fenómeno, un pequeño cambio en un contexto de equilibrio sensible puede crear un efecto de bola de nieve que genere consecuencias sobre geografías o sectores que poco o nada tienen que ver con el origen del desequilibrio. El efecto mariposa es un gran ejemplo para recordar la fragilidad del mundo que nos rodea: lo vivimos durante la pandemia del Coronavirus, cuando una intoxicación alimentaría por un pangolín infectado en un mercado de Wuhan acabó provocando el mayor choque sanitario, social y económico de las últimas décadas. También con la invasión de Ucrania por parte de Rusia: una escalada diplomática en torno a determinados territorios como Crimea, que la mayoría de nosotros no habría sabido ubicar en un mapa ni consideraba relevantes en ninguna dimensión, acabó añadiendo un cero detrás de nuestras facturas de gas y electricidad.
El pasado viernes vivimos un nuevo recordatorio de esta fragilidad. Un programador de la empresa de seguridad informática norteamericana CrowdStrike se equivocó en el código de una actualización: en el lenguaje de programación utilizado por este antivirus, llamado 'C', cuando se quiere leer un determinado contenido grabado en la memoria del ordenador hay que comprobar primero que aquella dirección no esté vacía. Si la dirección está vacía, el sistema no sabe resolverlo y colapsa: no me puedes pedir que acceda a una dirección que no existe, donde está la nada. Esta limitación del lenguaje C es bien conocida, y se explica en la primera clase del primer curso de programación. Pero todos somos susceptibles de cometer un error humano. Por razones que habrá que dirimir a lo largo de las próximas semanas, este error de programación humano no fue supervisado por nadie más, ni se testeó a pequeña escala: la actualización defectuosa se propagó directamente en todos los dispositivos, con la poca fortuna que los clientes de CrowdStrike son, en gran medida, industrias de infraestructura crítica: aeropuertos, defensa, bolsas, instituciones bancarias y médicas… así pues, el caos estaba servido.
A medida que nuestras sociedades se han ido globalizando, los riesgos que antes habrían afectado a un país, ahora también son globales
El impacto económico, social y operativo de lo que pasó el viernes es extenso. Miles de vuelos cancelados en varios países de todo el mundo —entre los cuales los operados por Aena, que tuvo que hacer los embarques y facturación de pasajeros con una libreta y un bolígrafo—. La bolsa de Londres no podía actualizar el valor de las cotizaciones, el teléfono de CatSalut 061 no podía atender llamadas, la televisión Sky News perdió la señal de emisión… Algunas geografías, como Australia, estaban tan expuestas a este sistema de seguridad sobre infraestructuras críticas que acabaron convocando el gabinete de emergencia del gobierno para valorar si había que activar algún protocolo de crisis de estado.
La gravedad de las consecuencias hace difícil pensar que el gigante de seguridad informática CrowdStrike pueda superar este resbalón —las acciones de la empresa auguran un colapso absoluto en la apertura del mercado el próximo lunes, y su desaparición a partir de estos hechos no sería ninguna exageración—. No ayuda que su director general tenga un pasado profesional como director técnico del antivirus McAffee entre los años 2007 y 2011, periodo en el cual hubo un gravísimo incidente con reminiscencias en lo que ha pasado ahora.
La volatilidad actual solo se puede afrontar con valentía y pragmatismo, asumiendo que somos vulnerables a que una organización caiga de un día para otro
Como decíamos, no estamos ante la primera materialización de un riesgo que ni siquiera habíamos contemplado. Con mayor o menor gravedad, llevamos un ritmo casi de incidente anual: el Coronavirus, Rusia y el Nord Stream, la situación de CrowdStrike… Son escenarios absolutamente exógenos, que dependen de terceros; también imprevisibles, para los cuales no tiene sentido que nos preparemos o tratamos de anticipar porque ni siquiera imaginábamos que serían posibles. Esta dinámica no es casual: a medida que nuestras sociedades han evolucionado en el proceso de globalización e integración de los flujos comerciales, pero también intelectuales y de servicios (por ejemplo, de estrategia de seguridad informática, como hemos visto ahora), ponemos en común los riesgos que hace unas décadas habrían causado un quebradero de cabeza interno de un determinado país, ahora a nivel global.
Este contexto nos tendría que hacer reflexionar sobre la actitud de nuestras organizaciones e instituciones sobre la gestión de riesgos: ¿tiene sentido hacer microgestión de riesgos, dedicando tiempo y recursos a ligar pequeñas exposiciones económicas de decenas de miles de euros con garantías y avales? ¿Tiene sentido mirar con lupa las cuentas empresariales para intentar hacer una proyección esmerada del plan de negocio, cuando estas cuentas pueden saltar por los aires la próxima vez que una mariposa mueva las alas en la otra punta del mundo? La volatilidad de nuestro presente solo se puede afrontar con valentía y pragmatismo, asumiendo que efectivamente somos vulnerables a que una organización caiga de un día para otro por un acontecimiento exógeno e imprevisible, y que aspirar a una previsibilidad detallada de lo que pasará a nuestras organizaciones forma parte de otra época.