El apagón global que el mes pasado impidió a McDonald’s aceptar pagos llevó a la compañía a publicar una extensa declaración que debería servir como una clase magistral sobre cómo no para informar un problema de TI. Era vago, engañoso y, sin embargo, la empresa utilizó un lenguaje que aún permitía descubrir muchos de los detalles técnicos.
(Sabes que te has mudado lejos de tu base cuando Burger King Reino Unido se burla de ti; en respuesta a la noticia del apagón de McDonald’s, Burger King utilizó su propio eslogan al publicar en LinkedIn: «No me encanta»).
La declaración de McDonald’s fue vaga sobre lo sucedido, pero optó por criticar al proveedor del punto de venta (POS) de la cadena, sin identificar a qué proveedor se refería. De buen tono.
La declaración, emitida poco después de que comenzara la interrupción, pero antes de que terminara, decía: “En particular, este problema no fue causado por un evento de ciberseguridad; más bien, fue causado por un proveedor externo durante un cambio de configuración”. Unas horas más tarde, cambió silenciosamente esa oración agregando la palabra «directamente», como en «no fue directamente causado por un evento de ciberseguridad”.
Ese inserto planteó todo tipo de cuestiones. Técnicamente, significaba que hubo absolutamente un “evento de ciberseguridad” en alguna parte (presumiblemente sin afectar a McDonald’s ni a su proveedor de POS) que de alguna manera jugó un papel en la interrupción. El escenario más probable es que McDonald’s o el proveedor de POS se enteraran de un ataque en otro lugar (muy posiblemente ataques múltiples) que aprovechara un agujero de POS que también existía en el entorno de McDonald’s.
Uno de los dos decidió implementar una solución de emergencia. Y debido a pruebas insuficientes o inexistentes del parche, los sistemas de la empresa fallaron. Eso explicaría cómo la interrupción podría haber sido causada indirectamente por un evento de ciberseguridad.
Volvamos a la declaración, donde encontramos más migas de pan sobre lo que probablemente sucedió. En él, el CIO global de McDonald’s, Brian Rice, dijo: “Aproximadamente a la medianoche CDT del viernes, McDonald’s experimentó una interrupción del sistema tecnológico global, que fue rápidamente identificada y corregida. Muchos mercados han vuelto a estar en línea y el resto está en proceso de volver a estar en línea. Estamos trabajando estrechamente con aquellos mercados que todavía están experimentando problemas”.
En principio, esas frases parecen contener una contradicción. Una frase decía que la interrupción fue “rápidamente identificada y corregida” y la siguiente dice que muchos mercados todavía están desconectados. Si en realidad se había corregido rápidamente, ¿por qué tantos sistemas seguían fuera de línea en el momento de la declaración?
La respuesta que parece explicar la contradicción es DNS. Eso explicaría cómo se podría haber “corregido” el problema, pero la corrección aún no había llegado a todos. El DNS necesita tiempo para propagarse y, dadas las extensas geografías afectadas (incluidos Estados Unidos, Alemania, Australia, Canadá, China, Taiwán, Corea del Sur y Japón), el retraso de uno a dos días que afectó a algunas áreas es casi lo que se esperaría con un problema de DNS.
En cuanto a arrojar a un proveedor debajo del autobús, considere la segunda actualización de la cadena, que decía: «En los próximos días, analizaremos el problema y exigiremos responsabilidad entre nuestros equipos y proveedores externos». Está bien. Pero el día anterior, el comunicado decía que la interrupción «fue causada por un proveedor externo durante un cambio de configuración».
El incidente ocurrió hace sólo unas horas y la empresa quería dejar claro que fue culpa del proveedor. Creo, Ronald, que protestas demasiado. ¿Quién contrató al vendedor? ¿De quién era el equipo de TI que gestionaba ese proveedor? ¿El equipo de TI de McDonald’s le dijo al proveedor que lo solucionara de inmediato? ¿Hubo una implicación de que si tomaban algunos detalles procesales para que esto sucediera, nadie haría preguntas?
Esta línea podría estar justificada si el tercero se volviera renegado e hiciera cambios sin consultar a McDonald’s. Pero eso parece muy improbable. Y si fuera cierto, ¿no lo habría dicho McDonald’s directamente? Además, resulta algo extraño criticar a alguien manteniendo en secreto la identidad de la empresa. No obtienes puntos por culpar a alguien y luego no decir a quién se culpa.
Luego está el factor franquiciado en juego aquí. McDonald’s no es propietario de muchos de sus restaurantes, pero impone requisitos estrictos, que incluyen el uso del sistema POS elegido por McDonald’s. (♩ ♪ ♫ ♬Te mereces un descanso hoy, así que rompimos nuestro POS, ¡no puedes pagar! ♩ ♪ ♫ ♬)
Nota: Mundo de la informática contactó a McDonalds para hacer comentarios horas después de que se emitiera la declaración inicial. Nadie respondió.
Mike Wilkes, director de operaciones cibernéticas de La Agencia de Seguridadfue una de las varias personas de seguridad que vieron al DNS como el culpable más probable.
«Parece que fue una falla de DNS que se convirtió en una interrupción global, un error de configuración», dijo. «Probablemente se trataba de un parche insuficientemente probado o de un parche con dedos gruesos». Wilkes señaló que la interrupción no afectó la aplicación móvil de McDonald’s, lo cual, de ser cierto, es otra pista de lo sucedido.
Parte del retraso no se debió simplemente a que el DNS necesita tiempo para propagarse, sino que McDonald’s habría necesitado enviar el cambio a través de diferentes solucionadores de DNS. «Esto probablemente fue un cambio de DNSSEC (Extensiones de seguridad del sistema de nombres de dominio) destinado a mejorar su seguridad».
Wilkes también sospechaba que una configuración TTL (tiempo de vida) desempeñaba un papel. «Probablemente nadie tuvo tiempo de reducir el TTL para tener un tiempo de recuperación de cinco minutos», dijo, lo que explicaría aún más los largos retrasos.
Terry Dunlap, cofundador y socio director de Academia Sombrero Gris, también creía que la interrupción de McDonald’s parecía ser un intento de bloquear rápidamente un ataque potencialmente inminente. “Me decían: ‘Dame un chaleco salvavidas. No quiero que me ahogue la ola que viene’”.
Más estratégicamente, a Dunlap no le gustaban las declaraciones que emitió McDonald’s.
«Es mucho mejor ser proactivo y tan detallado como sea posible desde el principio», dijo. «No creo que las declaraciones transmitieran el nivel de calidez y confusión necesarios. Recomendaría entrar en más detalles. ¿Cómo respondiste? ¿Por qué sucedió? ¿Qué impactos han ocurrido que no me estás contando? (Las declaraciones de McDonald’s) generan más preguntas que respuestas”.
Esto plantea apropiadamente una vez más el riesgo empresarial proveniente de terceros, especialmente aquellos que, como podría Como es el caso de McDonald’s, actúan por sí solos y causan problemas al equipo de TI de la empresa.
“En este momento, todas las empresas están siendo criticadas por su gestión de riesgos de terceros”, dijo Brian Levine, director general de Ernst & Young (EY). “Hoy en día, los tribunales, los reguladores y las empresas ponen cada vez más bajo el microscopio la gestión de riesgos de terceros”.
Inicialmente, McDonald’s no presentó un informe a la SEC sobre el incidente. Dado que Wall Street no reaccionó de manera seria ante el apagón de McDonald’s, es poco probable que McDonald’s considere el apagón material. En cuanto al proveedor externo de POS, no está claro si presentó un informe ya que su identidad aún no se ha confirmado.
Una de las lecciones importantes para toda la TI empresarial es la de pensar detenidamente en las declaraciones de interrupciones. Cualquier cosa más allá de: “Algo pasó. Estamos investigando y informaremos más una vez que se conozcan y verifiquen los hechos” va a dejar pistas.
Las implicaciones vagas no son tus amigas. Si estás listo para decir algo, dilo. Si no es así, no digas nada. Dividir por la mitad, como lo hizo McDonald’s, probablemente no sirva a sus intereses a largo plazo (al igual que comer comida de McDonald’s). Pero al menos un cuarto de ponderación sabe bien y sacia.
La declaración sobre el apagón de McDonald’s no fue ninguna de las dos cosas.
Copyright © 2024 IDG Communications, Inc.