La empresa de ciberseguridad CrowdStrike se enfrentó a su mayor interrogatorio hasta ahora sobre su papel en la interrupción masiva de la IT global en julio en el Congreso el martes. Adam Meyers, un ejecutivo senior de la empresa, compareció ante un comité del Congreso de los EE.UU. para responder preguntas sobre su actualización de software defectuosa que inhabilitó millones de PC el 19 de julio. El incidente dejó fuera de servicio los servicios de pago, retrasó vuelos y obligó a algunos hospitales a cancelar citas y retrasar operaciones. El Sr. Meyers dijo que la empresa estaba “profundamente arrepentida” por la interrupción que afectó a millones de personas y está “decidida a evitar que vuelva a ocurrir”. CrowdStrike describió la interrupción como el resultado de una “tormenta perfecta”. Los legisladores del subcomité de ciberseguridad de la Cámara de Representantes presionaron al Sr. Meyers sobre cómo ocurrió en primer lugar. “Una interrupción global de la IT que impacta todos los sectores de la economía es una catástrofe que esperaríamos ver en una película”, dijo Mark Green, presidente del Comité de Seguridad Nacional de la Cámara, en sus comentarios de apertura. El representante de Tennessee comparó el impacto generalizado de la actualización de contenido defectuosa de CrowdStrike con un ataque “que esperaríamos que fuera cuidadosamente ejecutado por un actor malicioso y sofisticado de un estado-nación”. En lugar de eso, “la mayor interrupción de la IT en la historia se debió a un error”, dijo. El Sr. Meyers dijo que la empresa seguirá actuando y compartiendo “lecciones aprendidas” del incidente para asegurarse de que no vuelva a ocurrir. Entre las preguntas dirigidas al Sr. Meyers durante la audiencia de 90 minutos hubo consultas técnicas sobre si el software de la empresa debería tener acceso a partes centrales de los sistemas operativos de los dispositivos. Pero también hubo preguntas más generales sobre inteligencia artificial (IA) y su impacto potencial en la ciberseguridad. El congresista Carlos Gimenez preguntó sobre la amenaza de la IA escribiendo código malicioso. El Sr. Meyers dijo que pensaba que la tecnología “no está ahí todavía”, pero añadió que cada día “mejora”. En respuesta a la línea de preguntas de un representante, el Sr. Meyers reiteró que la IA, que la empresa utiliza para detectar amenazas a los sistemas, no fue responsable de lanzar la actualización errónea que causó la caída de computadoras en todo el mundo. Dijo que CrowdStrike publica entre 10 y 12 actualizaciones de configuración al día. Los legisladores del comité expresaron preocupaciones sobre el impacto de los eventos cibernéticos a gran escala en la seguridad nacional, añadiendo que también podrían ser explotados por actores malintencionados que buscan aprovechar la confusión o el pánico. Pero en general, el Sr. Meyers no enfrentó el mismo nivel de escrutinio que otros altos ejecutivos de tecnología cuando fueron llamados a testificar en el Congreso por fallos aparentes. El congresista Eric Swalwell dijo que el comité no se había reunido para “difamar” a la empresa, mientras que el Sr. Green dijo que el Sr. Meyers mostró un grado “impresionante” de humildad. En cambio, se hizo hincapié en trabajar juntos con el comité y el gobierno para prevenir la posibilidad de incidentes similares en el futuro. La empresa todavía enfrenta una serie de demandas de personas y empresas que se vieron afectadas por la interrupción masiva de julio. Algunas de las personas afectadas le dijeron a BBC News que “arruinó totalmente” sus vacaciones, o les hizo perder negocios. La empresa ha sido demandada por sus propios accionistas, así como por los pasajeros de Delta Airlines que quedaron varados por miles de cancelaciones de vuelos. Delta dijo que perdió $500 millones (£374 millones) debido a la “negligencia” de CrowdStrike.
