Organizaciones de diversos sectores a nivel mundial, incluyendo aerolíneas, bancos, telecomunicaciones, medios de comunicación y sanidad, están lidiando con las consecuencias de un corte tecnológico global atribuido a CrowdStrike. Esta empresa de ciberseguridad proporciona software crucial para proteger contra ataques cibernéticos y brechas de seguridad en estas industrias.
Según el análisis de los expertos de WTW, las empresas australianas fueron las primeras en detectar problemas, pero el corte rápidamente se extendió a otras regiones del mundo. Este incidente provocó la cancelación y retraso de cientos de vuelos. Muchos médicos en hospitales que dependían del sistema de CrowdStrike para la programación de cirugías tuvieron que posponer o cancelar procedimientos. Además, compañías de producción y envío, como General Motors, experimentaron interrupciones en ventas y programación, y algunas transmisiones en vivo se vieron interrumpidas. En Estados Unidos, líneas de emergencia 911 en varios estados se vieron afectadas. Asimismo, ciertos bancos reportaron retrasos en el procesamiento de operaciones debido a que los empleados no podían acceder a sus redes.
Según la evaluación de CrowdStrike de que el corte no fue causado por un incidente de seguridad ni un ciberataque, desde la perspectiva del seguro cibernético, este incidente probablemente se considerará un fallo del sistema (definido comúnmente en muchas pólizas como un fallo no intencional y no planificado de un sistema o red informática). Además, el error de software podría clasificarse como un error operacional o de programación, dependiendo de los hechos específicos, y cubrirse bajo la póliza.
Muchas pólizas cibernéticas ofrecen cobertura completa o sublimitada para la pérdida de ingresos y gastos adicionales causados por una interrupción en la red del asegurado o en las redes de terceros proveedores. Las principales cuestiones a considerar son: si el software de CrowdStrike se incluye en la red del asegurado o en la red de un negocio dependiente, y cómo responde la póliza a un fallo del sistema o error operativo.
Es fundamental determinar cuánto tiempo debe durar el evento asegurado para que se otorgue la cobertura de interrupción del negocio, y si el evento ha superado el período de espera, lo cual está sujeto al lenguaje específico de la póliza.
Las metodologías para calcular la pérdida por interrupción del negocio pueden variar significativamente entre pólizas. Algunas pólizas calculan la pérdida desde el momento en que la red fue interrumpida una vez superado el período de espera, mientras que otras solo indemnizan las pérdidas incurridas después de que expire el período de espera.
Es crucial mantener registros detallados de los sistemas impactados, las fechas de restauración parcial y total, y los impactos en las operaciones y generación de ingresos. También se deben registrar notas sobre cualquier solución manual implementada y horas adicionales trabajadas por los empleados.
Se recomienda a los clientes que hayan sido afectados o sospechen haber sido impactados por este evento que contacten a su equipo de corretaje de WTW para discutir la notificación del incidente según los términos y condiciones de su póliza. La notificación es un requisito fundamental para activar la cobertura del seguro y debe investigarse y completarse rápidamente.
Aunque se ha identificado y aislado el problema inicial y se ha implementado una solución, las interrupciones continuarán en las próximas semanas. Inmediatamente después del incidente, los ciberdelincuentes intentarán explotar la situación mediante correos electrónicos de phishing que aparenten ser de CrowdStrike o Microsoft. Es crucial que las organizaciones y su personal permanezcan atentos a cualquier comunicación sospechosa.
Desde una perspectiva más amplia, identificar, comprender y gestionar las vulnerabilidades relacionadas con la ciberseguridad y la red debería formar parte de la estrategia de resiliencia operativa de cada organización. El incidente de CrowdStrike refuerza que, aunque una organización puede desarrollar una estrategia efectiva de ciberseguridad, la dependencia de terceros es un riesgo difícil de gestionar. Prepararse con antelación es una de las mejores maneras de reducir el costo de enfrentar un incidente cibernético o de red similar al descrito.
