[03/09/2022] El 8 de julio de 2022, una actualización de mantenimiento en la red del proveedor de servicios de Internet Rogers en Canadá interrumpió el acceso a Internet en todo el país durante al menos 12 horas, y algunos clientes tuvieron problemas durante días.
El impacto fue profundo. La interrupción nacional afectó al servicio telefónico y de Internet de unos 12,2 millones de clientes -alrededor del 25% de la capacidad de Internet de Canadá-, paralizando los pagos de débito en los puntos de venta de la red Interac, impidiendo a los usuarios de teléfonos móviles de Rogers acceder a los servicios 9-1-1, interrumpiendo los servicios de tránsito que dependían del pago en línea, e incluso causando estragos en las señales de tráfico de Toronto que dependían del GSM celular para los cambios de horario.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Para colmo de males, la interrupción obligó al músico canadiense The Weeknd a posponer la primera parada de su gira mundial en el Rogers Centre de Toronto.
¿La causa? Como se reveló posteriormente en la presentación de Rogers al regulador Comisión Canadiense de Radiotelevisión y Telecomunicaciones, la actualización "eliminó un filtro de enrutamiento y permitió que todas las rutas posibles a Internet pasaran por los routers. ... Ciertos equipos de enrutamiento de la red se inundaron, superaron sus niveles de capacidad y no pudieron enrutar el tráfico, provocando que la red central común dejara de procesar el tráfico".
Aunque Rogers -una de las principales empresas canadienses de Internet, radiodifusión y telefonía móvil- restableció el servicio a la mayoría de los clientes en un día, la catastrófica pérdida de servicio sobresaltó a las empresas canadienses. Algunos, como los aproximadamente 100 puntos de venta operados por el minorista de suministros agrícolas Peavey Mart, tenían acceso redundante a otros proveedores de Internet ya establecidos.
Como resultado, "solo dos tiendas se vieron directamente afectadas por la falta de conexión a Internet", señala Shaun Guthrie, vicepresidente senior de Tecnología de la Información de la empresa y vicepresidente de la Asociación de CIO de Canadá.
"Sin embargo, dependemos de los servicios de Interac para que nuestros clientes realicen sus transacciones, que dependen exclusivamente de Rogers, por lo que perdimos la posibilidad de realizar pagos con tarjeta de débito".
No es solo un problema doméstico
"Algunas de las organizaciones sin ánimo de lucro a las que presto servicio perdieron la capacidad de registrar la satisfacción de las necesidades de las personas vulnerables durante uno o dos días", comenta Helen Knight, CIO virtual y consultora estratégica de tecnología para organizaciones sin ánimo de lucro canadienses. "Personalmente, mis hijos y yo no teníamos forma de comunicarnos. Mi hija de 13 años estuvo fuera hasta las 10 de la noche y me preocupaba que no tuviera forma de llegar a casa".
Otros no fueron tan afortunados. "Como empresa global que produce toboganes y atracciones para parques acuáticos, la interrupción de la red de Rogers nos afectó más de lo que pensábamos en un principio", comenta Chris Palsenbarg, director de operaciones informáticas y soporte de mesa de ayuda de WhiteWater West Industries. "El personal que viajaba al extranjero no podía ni siquiera utilizar sus teléfonos".
Sapper Labs Group es una empresa canadiense de ciberseguridad y ciberinteligencia. "Aunque nuestra empresa no se vio afectada por la interrupción de Rogers, muchos de nuestros socios, clientes y competidores sí", afirma Dave McMahon, director de Inteligencia de Sapper Labs. "Algunas organizaciones aún no se han recuperado del todo. Esto ha tenido un efecto dominó en el mercado".
Tras la interrupción de Rogers, los CIO y los ejecutivos y expertos en TI canadienses están revisando su preparación para hacer frente a este tipo de fallas en el futuro. Sus conclusiones merecen ser tenidas en cuenta por los CIO de todo el mundo, todos los cuales corren el riesgo de encontrarse con cortes de servicio similares en sus propios países, ya sea por problemas del sistema, intrusiones o cortes de energía por causas ambientales o de otro tipo.
Construir la redundancia
La interrupción de Rogers puso de manifiesto el valor de tener un acceso redundante al ISP, aunque esto cueste más que depender de uno solo. Aunque algunas empresas se resisten a este gasto extra, Peavey Mart acepta el valor de pagar por un acceso a Internet redundante siempre que sea posible. La empresa fue recompensada por su previsión el 8 de julio del 2022.
La falla de la red de Rogers ISP tampoco sorprendió a la empresa, porque "supervisamos de forma proactiva el estado de nuestras comunicaciones de datos", sostiene Guthrie. "Como resultado, una vez que las tiendas se vieron afectadas por la interrupción, fallaron automáticamente a sus ISP secundarios a través de nuestra infraestructura habilitada para SD-WAN".
Las organizaciones sin ánimo de lucro, como el Ejército de Salvación de Canadá, no pueden permitirse el tipo de infraestructura que utiliza Peavey Mart. Pero sus CIO son expertos decididos y acostumbrados a "lograr hazañas increíbles utilizando software gratuito y hardware donado", anota Knight. "Están acostumbrados a que su vieja infraestructura informática falle, por lo que suelen tener un proceso manual al que recurrir", afirma.
En consecuencia, los CIO de las organizaciones sin ánimo de lucro canadienses pueden hacer frente a las fallas de los ISPs, al menos en el momento en que se producen. "La pérdida de datos por el corte les afectará más tarde, cuando no tengan registros correctos que muestren a cuántas personas atendieron para mostrar a sus donantes, lo que podría afectar a futuras subvenciones", indica Knight.
En este caso, Knight cree que la interrupción de Rogers podría cambiar la actitud de las organizaciones sin ánimo de lucro respecto al acceso redundante a los proveedores de servicios de Internet. "Después de todo, ha sido una práctica común durante años tener una conexión redundante para todos los componentes críticos del negocio, por lo que el lado positivo es que ahora las organizaciones sin ánimo de lucro entienden una nueva área de riesgo que pueden no haber considerado", señala.
"Así que, si este es el incidente que permite a las organizaciones sin ánimo de lucro reconocer la necesidad de tener un líder tecnológico de alto nivel en la mesa de toma de decisiones, alineando sus planes estratégicos con su hoja de ruta técnica, entonces esta podría ser la forma más barata y fácil de aprender esa lección. Es mucho mejor que enfrentarse a una brecha cibernética".
Compruebe los planes de seguridad de sus proveedores
Para Sapper Labs, "la interrupción de Rogers reforzó nuestra confianza en nuestra propia arquitectura y modo de funcionamiento", afirma McMahon. Pero esta sensación de confianza reforzó la idea de que la infraestructura informática de una empresa no existe de forma aislada. Por el contrario, es un eslabón en una cadena de ISP, plataformas en la nube y otros que se conectan a la empresa a través de Internet.
Por lo tanto, "lo que hay que aprender de la interrupción de Rogers es que hay que asegurarse de que la cadena de suministro, los socios y los clientes están igualmente preparados, y que hay contingencias para ayudarles a mantener las operaciones comerciales", sostiene. "Lo que resultó esclarecedor fue que la interrupción reveló inmediatamente quiénes eran clientes de Rogers, si tenían medios alternativos de comunicación, su nivel de madurez en materia de ciberseguridad, y las interdependencias críticas en todo el ecosistema".
Peavey Mart es igualmente diligente a la hora de comprobar las vulnerabilidades en su cadena de suministro de datos. "Preguntamos a todos nuestros proveedores de la nube si tienen redundancia", anota Guthrie. "¿Sus sistemas tienen incorporada la conmutación por error a los sistemas de copia de seguridad, y tienen cosas como planes de continuidad del negocio para que cuando se produzca una falla, su gente sepa qué hacer? Y nosotros hacemos esas preguntas desde el principio".
Desgraciadamente, los minoristas como Peavey Mart no tienen la influencia necesaria para exigir esas respuestas a los megacorps interbancarios canadienses como Interac. "Como resultado, no tenemos más remedio que suponer que Interac cuenta con esas medidas de seguridad, algo que claramente no hicieron", afirma.
Se esperan más fallas de los ISP
A la resolución de la interrupción de Rogers en Canadá le siguieron investigaciones del gobierno, informes negativos de los medios de comunicación y un montón de previsible indignación pública. Pero ninguna de estas reacciones podrá cambiar un hecho muy simple: las redes de los ISP son sistemas complejos y vastos, compuestos por muchas partes cuya respuesta a las actualizaciones de mantenimiento no puede modelarse completamente en simulaciones.
Como resultado, incluso después de todas las mejoras que Rogers ha prometido hacer, y que otros ISP canadienses podrían copiar por sentido de la prudencia, "no tengo ninguna duda de que probablemente veremos más fallas", anota Guthrie. "No sé quién será, pero creo que probablemente veremos un fracaso adicional dentro de un año".
Así las cosas, los CIO cuyas empresas dependen del acceso a los ISPs deben tomar medidas ahora para proteger a sus empresas contra estas fallas. Según Dave McMahon, el camino a seguir está claro: "Los proveedores duales y los sistemas independientes redundantes son las mejores prácticas de la industria", afirma.
"Es la definición misma de un sistema de alta disponibilidad. Por eso, todos los empleados de Sapper Labs disponen ya de múltiples medios de comunicación seguros y capacidad de colaboración en línea. Actualmente estamos evaluando la mejor manera de extender soluciones similares de alta seguridad a nuestros clientes y socios".
Al mismo tiempo, los CIO tienen que seguir siendo humildes y no sobreestimar su capacidad para planificar este tipo de eventos de antemano.
"La tecnología es tan omnipresente y tan compleja, con cada persona y cada organización experimentando nuevos y complejos desafíos técnicos en los últimos dos años, que -aunque es posible proteger a las empresas contra interrupciones al estilo de Rogers- no es posible ni rentable protegerse contra todos los riesgos", sostiene Knight. "En su lugar, se trata de cuantificar el impacto y la urgencia de cada riesgo, y priorizar los planes de continuidad de la organización para las áreas operativas más críticas".
El resultado final: Una interrupción del servicio de Internet al estilo de Rogers es una crisis que puede enfrentar, y probablemente lo hará, a los CIO de las empresas de todo el mundo en los próximos años. Por ello, es imprescindible potenciar los sistemas redundantes y preparar planes de contingencia ahora, para minimizar y mitigar el inevitable impacto de estas fallas de comunicación en la empresa.
Basado en el artículo de James Careless (CIO) y editado por CIO Perú
Puede ver también: