WannaCry y las lecciones que el mega ataque le deja a los CIOs

Productividad, seguridad y costos suelen estar en la misma oración. Gracias WannaCry, todos esos conceptos se ha resemantizado.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Frente al horror del ataque a más de 150 países en el mundo y unos 200.000 equipos y mientras los índices se levantan buscando a donde apuntar, algunos expertos lo hacen hacia los CIO.

Sí, es cierto que el gobierno estadounidense tiene responsabilidad por guardar vulnerabilidades y herramientas de hacking como armas, olvidando que puede (y seguramente) serán usados en su contra.

Y, ciertamente, Microsoft no puede desprenderse del todo: mientras haya equipos viejos funcionando, los soportes de seguridad son necesarios.

Pero, sin embargo, muchos analistas le dan la razón a la creadora de Windows cuando intenta esquivar la bala: ella emitió un parche de seguridad en MARZO, incluyendo inclusive a al descontinuado XP.

Así de grave era la amenaza que incluyó a equipos a los que había dejado de su suerte desde 2014. La empresa no tiene la culpa de que la postergaran. O la ignoraran…

La actualización, la actualización, la actualización

Un reciente informe presentado por la consultora PwC a sus clientes en México para presentar los resultados de su investigación “Estudio de la Privacidad en México 2016: más allá de los compromisos”, ya anticipaba lo que el ataque de WannaCry dejo en claro:

Pero, ¿por qué rayos lo hace? Aunque a simple vista no lo parezca, esto tiene que ver más los procesos que las empresas tienen para decidir si van a aplicar o no un parche de seguridad en un momento determinado.

Y es que, antes de desplegar parches, los departamentos de TI realizan pruebas de regresión para asegurar que su software personalizado desarrollado internamente seguirá funcionando con el nuevo código.

Mal si no haces, mal si no lo haces

¿Son estás pruebas tan importantes? Sin duda, según el director regional de Microsoft que realizó varias actualizaciones de SO y de navegador mientras trabajaba en Pfizer, Troy Hunt.

“Una de las partes más dolorosas y costosas del parche era garantizar la compatibilidad con el software existente. El último que recuerdo fue simplemente una actualización de Internet Explorer y el costo de la rectificación de las aplicaciones web no funcionales dentro de la organización era una cantidad de siete cifras“, recordó.

Por otro lado, dejar de hacer estas pruebas tampoco es una opción, según CTO de la firma de seguridad cibernética Carbon Black y ex analista de la NSA, Mike Viscuzo.

“La falta de pruebas de parches para las incompatibilidades es arriesgado. Por ejemplo, si una empresa de servicios financieros rompe una aplicación crucial de alta velocidad al realizar una actualización, tendrá que cerrar la aplicación y arreglar el código, lo que costará a la compañía decenas de millones de dólares de tiempo de inactividad”, destacó

Así que esto explica la decisión de demorar el parcheo de una exploit crítico. No obstante, los expertos reconocen que, en el caso de la vulnerabilidad que permitió el ataque de WannaCry, la gravedad de la misma y lo que se había anticipado sobre ella ameritaba un parcheo inmediato.