Microsoft: mira lo que me has hecho hacer

La seguridad es un asunto delicado en la Red. Si tardas demasiado en actualizar un sistema, los agujeros que intentas tapar podr¨ªan ser descubiertos y explotados por actores maliciosos. Si actualizas demasiado r¨¢pido o de manera autom¨¢tica, te arriesgas a cometer errores por haberte saltado protocolos. En entornos como Microsoft y Crowdstrike, la apuesta es mucho m¨¢s grande, debido a su tama?o, su poder y su opacidad. Tanto los ataques como los errores se propagan como un hongo venenoso por los hom¨®geneos campos del software de sus centros de datos, afectando empresas, aeropuertos, hospitales y otras infraestructuras cr¨ªticas, que quedan indefensas e impotentes frente a la crisis.

Cuando una actualizaci¨®n autom¨¢tica del software de seguridad de Crowdstrike para la ¡°detecci¨®n y respuesta de intrusiones¡± bloque¨® millones de terminales de Windows el viernes pasado, los aeropuertos, empresas y hospitales afectados tuvieron que esperar a que Crowdstrike y Microsoft identificaran el problema, seguir sus instrucciones y aceptar su explicaci¨®n. Esa es la relaci¨®n que tenemos con empresas que dominan nuestras infraestructuras cr¨ªticas. La delegaci¨®n de responsabilidad sobre un entorno que carece de transparencia produce una gran indefensi¨®n. Ahora Microsoft culpa a la Uni¨®n Europea por obligar a la empresa a abrir el acceso al n¨²cleo de su sistema a Crowdstrike.

Seg¨²n declaraciones de un portavoz de Microsoft al The Wall Street Journal, ¡°el acuerdo de 2009 da a los fabricantes de software de seguridad el mismo nivel de acceso a Windows que el que obtiene Microsoft¡±. Eso que dice es completamente cierto. Se refiere a un compromiso p¨²blico de interoperabilidad que la empresa firm¨® en 2009 para evitar una investigaci¨®n en la UE por abuso de su posici¨®n dominante en el mercado de sistemas operativos. Microsoft se comprometi¨® entonces a proporcionar la documentaci¨®n t¨¦cnica necesaria para que otros desarrolladores crearan productos compatibles con Windows y ofrecer licencias a precios razonables y no discriminatorios.

Gracias a este acuerdo, las empresas como Crowdstrike pueden ofrecer sus soluciones de software en un mercado dominado por Windows, y las empresas y organizaciones que usan Windows pueden comprar soluciones que no sean Microsoft Defender, incluido por defecto en Windows 10. Eso no significa que Microsoft est¨¦ obligada a abrir el n¨²cleo de su sistema. De hecho, podr¨ªa haber creado una capa extra de seguridad interponiendo una interfaz de programaci¨®n de aplicaciones que permite a los desarrolladores externos interactuar con el sistema operativo sin necesidad de acceder al n¨²cleo del sistema. Por otra parte, el buceo anti-malware de CrowdStrike habr¨ªa perdido eficiencia. Como dije al principio, la seguridad es un asunto delicado. No hay soluciones perfectas, solo compromisos flexibles y capacidad de reacci¨®n.

Con estas declaraciones, Microsoft argumenta que estar¨ªamos m¨¢s seguros dependiendo de un mercado digital m¨¢s centralizado, m¨¢s opaco y m¨¢s controlado por Microsoft. Es importante entenderlo, porque es el mismo que defiende Apple para controlar con un peaje el mercado de aplicaciones de iOS. La teor¨ªa de sistemas de la resiliencia aplicada a los entornos digitales argumenta exactamente lo contrario: la resiliencia de un sistema depende de su transparencia, experiencia, redundancia y diversidad.

El concepto de resiliencia tiene que ver con la cantidad de perturbaciones que pueden ser absorbidas por un sistema antes de ser destruido o reorganizado hasta el punto de cambiar de estructura, objetivo o funci¨®n. Tambi¨¦n tiene que ver con su habilidad para recuperarse r¨¢pidamente de fallos o ataques, restaurando su funcionamiento habitual. Desde ese punto de vista, la crisis del viernes fue relativamente corta, pero no porque la resiliencia del sistema fuese alta, sino porque Crowdstrike asumi¨® instant¨¢neamente la responsabilidad, identific¨® el error, encontr¨® la soluci¨®n y puso los medios para restaurar la normalidad lo antes posible. Este es el mejor de los mundos posibles. Sin una atribuci¨®n del origen y una soluci¨®n r¨¢pida y efectiva, el escenario habr¨ªa sido otro.

El Parlamento Europeo aprob¨® hace un a?o la Ley Europea de ciberresiliencia que busca proteger a Europa de errores, ciberataques y monopolios con una estrategia de est¨¢ndares abiertos, sistemas descentralizados, conocimiento compartido y una respuesta coordinada de todos los pa¨ªses de la uni¨®n. Es una visi¨®n opuesta a la de los gigantes tecnol¨®gicos, pero su trabajo es garantizar un ecosistema digital m¨¢s seguro para empresas y consumidores, muy especialmente los sistemas cr¨ªticos a gran escala, como los aeropuertos y los hospitales. No persigue los mismos objetivos que Microsoft.

Al mismo tiempo, la financiaci¨®n para iniciativas de software libre y de c¨®digo abierto est¨¢n desapareciendo del programa de ayudas europeas. Tanto el proyecto Horizon Europe para la investigaci¨®n e innovaci¨®n como el programa Next Generation, que ha apoyado el software libre y de c¨®digo abierto durante a?os, est¨¢n abandonando su apoyo al desarrollo de software libre, la construcci¨®n de proyectos y comunidades locales para la protecci¨®n de los bienes comunes y los derechos civiles. La resiliencia de las infraestructuras digitales merece una buena inversi¨®n.