El problema (encara més gran) que amaguen les avaries massives

BarcelonaNo va ser cap ciberatac. Els ciutadans tenim tan assumida la fragilitat de les infraestructures tecnològiques que ens atenen, que quan la matinada de dijous a divendres hem sabut que una incidència informàtica greu havia tombat serveis com els aeroports d’Aena, el telèfon 061 d’atenció sanitària i hospitals com el de Terrassa, molta gent ha pensat immediatament en l’enèsima intrusió dels ciberdelinqüents i s’han posat a esperar notícies sobre filtracions o segrestos de dades i exigències de pagament de rescat. Sobretot perquè en les primeres hores ni les autoritats ni les entitats afectades han donat cap detall sobre l’avaria.

El que ha passat és que desenes de milers de servidors i estacions de treball empresarials i corporatives, sempre amb el sistema operatiu Windows, han deixat de funcionar a tot el món i s’han quedat mostrant la fatídica pantalla blava (coneguda com a BSOD, sigles en anglès de pantalla blava de la mort) que indica que l’aparell és incapaç de continuar treballant i reclama la intervenció d’un tècnic especialitzat. El motiu d’aquesta caiguda massiva ha sigut molt més prosaic que un ciberatac: en realitat ha sigut un error d’actualització d’un programari que precisament serveix per evitar els ciberatacs. Es tracta del mòdul Falcon Sensor de l’empresa nord-americana CrowdStrike, amb què moltes empreses i institucions protegeixen les seves xarxes de dispositius Windows davant possibles intrusions; com un antivirus, però centralitzat i a escala industrial.

CrowdStrike és un dels tres proveïdors principals d’aquest mercat, i proporciona el servei des del núvol, per mantenir actualitzades les infraestructures dels clients. Aquesta nit els ha distribuït una nova versió del mòdul esmentat que era defectuosa, i a mesura que els aparells l’han anat executant s’han anat quedant penjats, i han obligat el personal a treballar a l’antiga: amb llapis, paper i telèfon.

Dues avaries, no una

L’avaria és relativament senzilla de resoldre, però no es pot fer de manera remota i generalitzada perquè els ordinadors no responen. Cal accedir-hi físicament un per un, reiniciant-los en el mode de recuperació que només carrega els mòduls de Windows imprescindibles, i desactivar manualment el mòdul defectuós fins a rebre’n una nova versió correcta. Per això algunes víctimes trigaran a recuperar la normalitat: una cosa és restaurar uns quants servidors i una altra els terminals de tots els usuaris. I a sobre ha passat just abans d’un cap de setmana. Assistirem, doncs, a un degoteig de notificacions per part de les nombroses organitzacions afectades, que van des d’empreses de gestió d’aeroports fins a serveis d’emergències, passant per mitjans de comunicació. En termes de volum, ja podem dir que aquesta avaria és probablement una de les més grosses dels últims anys.

Per complicar encara més les coses, l’avaria dels equips corporatius amb Windows ha coincidit amb la caiguda de diversos serveis que Microsoft ofereix mitjançant la seva plataforma Azure al núvol. En algunes regions, principalment al centre dels Estats Units, han deixat de funcionar aplicacions com Office 365, Teams, OneDrive, SharePoint i PowerBI, entre altres. Com que la incidència de CrowdStrike afecta només els ordinadors amb el sistema operatiu de Microsoft, en alguns llocs s’han barrejat les dues avaries, i s’ha arribat a publicar que el problema amb Falcon Sensor havia afectat fins i tot els ordinadors de la infraestructura de la mateixa Microsoft. No ha sigut així: la caiguda dels serveis als clients ha sigut conseqüència d’un error en la configuració d’Azure. L’empresa hi ha posat remei desviant el trànsit dels centres de dades afectats cap a altres instal·lacions.

Recentralització digital

Sigui com sigui, tots dos incidents han tornat a posar en relleu un problema estructural de l'internet actual. Si en la seva època fundacional, fa dècades, es tractava d’una xarxa descentralitzada i redundant, en els últims anys s’ha produït una recentralització general, gràcies a l’anomenat núvol format per centres de dades amb servidors als quals usuaris i empreses externalitzem determinades operacions. No és només que els consumidors tinguem el correu electrònic a Google, les fotografies a Instagram o els vídeos a TikTok, que poden caure i deixar-nos sense accés. És també que moltes funcions que abans s’executaven en mode local ara es confien, per economia d’escala, a servidors externs, que passen a ser punts febles generals. És el que ha passat amb CrowdStrike: mentre funciona bé, és pràctic perquè els atacs que atura per a un client permeten entrenar-lo per a tots els altres. Però si té una incidència afecta milers d’ordinadors.

Un altre exemple recent. Fa menys de dos mesos, empreses com el Banc Santander, Live Nation / Ticketmaster, Mastercard, PepsiCo, HP i l'operadora nord-americana AT&T van patir sengles robatoris massius de dades dels seus clients. En el cas d’AT&T, parlem entre altres dels CDR –no és el Consell de la República, sinó els call detail records, els registres de totes i cadascuna de les trucades entre centenars de milions d’usuaris, fossin o no abonats de la companyia–, que permetrien rastrejar l’activitat dels ciutadans amb un nivell esgarrifós de detall. Doncs bé, tot apunta que els delinqüents van obtenir aquestes dades introduint-se als servidors de Snowflake, un dels principals serveis d’emmagatzematge al núvol per a empreses.

Més enllà de si alguns responsables de TIC corporativa es plantegin si Windows és la millor plataforma possible –convé recordar que el gruix d’internet funciona amb sistema Linux, que no s’ha vist afectat–, potser ha arribat el moment de considerar si realment volem confiar la nostra informació a uns tercers que, amb tota seguretat, disposen de més recursos que nosaltres per protegir-la però que, de tant en tant, es demostra que no són invulnerables. Ni als atacs externs ni als errors propis.