Nueva York
CNN
—
El mundo se enteró con relativa rapidez de que la empresa de ciberseguridad CrowdStrike estaba detrás de una interrupción tecnológica global que paralizó el servicio el viernes. Pero determinar quién pagará la factura de los daños podría llevar mucho más tiempo.
Lo que dijo un experto en ciberseguridad parece ser “La mayor interrupción de TI de la historia” provocó la cancelación de más de 5.000 vuelos de aerolíneas comerciales en todo el mundo e interrumpió actividades comerciales que abarcaban desde las ventas minoristas hasta las entregas de paquetes y los procedimientos en hospitales, lo que costó ingresos, tiempo y productividad del personal.
El problema fue causado por algunos fragmentos del código erróneo de CrowdStrike en una “actualización de contenido” de software. Desafortunadamente, corregir el error llevó mucho más tiempo que causarlo, y podría ser Días antes de que todos los sistemas están volviendo a la normalidad.
Aunque CrowdStrike se ha disculpado, no ha mencionado si tiene intención de indemnizar a los clientes afectados. Y cuando CNN le preguntó si planeaba hacerlo, su respuesta no abordó esa cuestión.
Los expertos dicen que esperan que haya demandas de remuneración y muy posiblemente demandas judiciales.
“Si eres abogado de CrowdStrike, probablemente no disfrutarás el resto de tu verano”, dijo Dan Ives, analista tecnológico de Wedbush Securities.
Los expertos coinciden en que es demasiado pronto para calcular con exactitud el costo de la interrupción global del servicio de Internet del viernes, pero esos costos podrían superar fácilmente los mil millones de dólares, dijo Patrick Anderson, director ejecutivo de Anderson Economic Group, una firma de investigación de Michigan que se especializa en estimar el costo económico de eventos como huelgas y otras interrupciones comerciales.
Su firma estima que Un hackeo reciente de CDK Globaluna empresa de software que presta servicios a concesionarios de automóviles de Estados Unidos, alcanzó esa marca de costo de 1.000 millones de dólares. Si bien esa interrupción duró mucho más tiempo, alrededor de tres semanas, se limitó a una industria específica.
“Esta interrupción está afectando a muchos más consumidores y empresas de una manera que va desde inconvenientes hasta interrupciones graves y resultó en costos de bolsillo que no pueden recuperar fácilmente”, dijo. Anderson agregó que los costos podrían ser particularmente significativos para las aerolíneas, debido a la pérdida de ingresos por vuelos cancelados y costos excesivos de mano de obra y combustible para los aviones que sí volaron pero enfrentaron retrasos significativos.
A pesar del dominio de CrowdStrike en el campo de la ciberseguridad, sus ingresos son apenas menos de 4 mil millones de dólares anuales.
Pero podría haber protecciones legales para CrowdStrike en sus contratos con clientes para protegerlo de responsabilidad, según un experto.
“Supongo que los contratos los protegen”, dijo James Lewis, investigador del Centro de Estudios Estratégicos e Internacionales.
Lewis mencionó el caso decidido el jueves a favor de SolarWinds, otra empresa de software. Un juez desestimó los cargos de la Comisión de Bolsa y Valores contra SolarWinds relacionados con un El hackeo ruso a las agencias del gobierno federal a finales de 2020. Lewis dijo que en ese caso SolarWinds solo enfrentaba cargos por no revelar las vulnerabilidades de su sistema a un ataque externo, no por daños causados por sus propias acciones. Pero aun así logró que se desestimara el caso.
Tampoco está claro cuántos clientes podría perder CrowdStrike a causa del viernes.
Ives, de Wedbush Securities, estima que menos del 5% de sus clientes podrían irse a otra parte.
“Son un actor tan arraigado que alejarse de CrowdStrike sería una apuesta arriesgada”, dijo.
Para muchos clientes será difícil, y no sin costes adicionales, cambiar de CrowdStrike a un competidor. Pero el verdadero golpe para CrowdStrike podría ser el daño a su reputación, lo que le dificultará conseguir nuevos clientes.
“Hoy CrowdStrike se ha convertido en un nombre conocido, pero no en el buen sentido, y llevará tiempo asentarse”, dijo Ives.
El director ejecutivo de CrowdStrike, George Kurtz, dijo en una entrevista el viernes por la mañana en CNBC que la empresa se ha centrado en solucionar los problemas persistentes y que hasta ahora, creía que la mayoría de los clientes habían sido comprensivos.
“Mi objetivo ahora es asegurarme de que todos los clientes vuelvan a estar en funcionamiento”, afirmó. “Creo que muchos de los clientes comprenden que se trata de un entorno complejo y que para mantenerse un paso por delante de los malos es necesario actualizar el contenido”.
Pero incluso si los clientes se muestran comprensivos, es probable que los rivales de CrowdStrike intenten utilizar los acontecimientos del viernes para intentar alejarlos.
“Es un negocio muy competitivo. Habrá vendedores de todas las demás empresas que se lanzarán a decir: ‘Esto nunca nos ha pasado a nosotros’”, dijo Eric O’Neill, experto en ciberseguridad y ex agente de contrainteligencia del FBI. “Son una empresa excelente que realiza un trabajo importante. Espero que sobrevivan a esto. Si no lo hacen, los únicos ganadores serán los cibercriminales”.
