CrowdStrike, antimonopolio y el monocultivo digital

English

El fallo informático mundial sin precedentes del mes pasado debería ser una llamada de atención. Décadas de inacción antimonopolio han hecho que muchas industrias dependan peligrosamente de las mismas herramientas, lo que hace que este tipo de crisis sean inevitables. Debemos exigir a los reguladores que acaben con los monocultivos digitales que están creando un mundo digital menos competitivo, menos seguro y menos libre.

La Comisión Federal de Comercio (FTC) solicitó comentarios públicos el año pasado sobre el estado del mercado de la computación en nube. La EFF dejó claro que la consolidación de los proveedores de servicios ha creado nuevos peligros para todos e instó a la comisión a fomentar la la interoperabilidad para que los clientes puedan cambiar y combinar servicios en la nube más fácilmente. Microsoft advirtió contra la intervención, pregonando las ventajas de los servicios centralizados en la nube para la seguridad informática.

Un año después, una importante empresa de ciberseguridad basada en la nube publicó un fallo exclusivo de los sistemas de Microsoft. Millones de personas en todo el mundo vieron interrumpidos sus sistemas informáticos vitales.

Esta fragilidad va más allá de los problemas de una empresa concreta, es el resultado de una concentración excesiva de poder en torno a unas pocas grandes empresas.

Lo que ocurrió

El perturbador y generalizado apagón tecnológico del mes pasado se produjo gracias a una dependencia excesiva de una herramienta concreta, el software de sensores Falcon de CrowdStrike. Aunque no es un monopolio, esta herramienta es la más popular en las plataformas de protección de puntos finales.

Este servicio de nicho utilizado a menudo por las empresas se entiende mejor como una herramienta antivirus para dispositivos, controlada por una plataforma en la nube. Los ordenadores de "punto final" ejecutan el agente con permisos de sistema muy profundos para buscar problemas de seguridad, y la empresa CrowdStrike envía regularmente actualizaciones remotas de software a esta herramienta. Esta configuración significa que muchos dispositivos dependen de una única fuente para su seguridad, aprovechando los conocimientos compartidos aprendidos a través de los dispositivos. También significa que muchos dispositivos comparten un único punto de fallo.

En lugar de un inconveniente para unas pocas empresas, se parecía más a un cierre del gobierno o a un desastre natural.

Una primera señal de este problema se produjo el pasado mes de abrilcuando una actualización de CrowdStrike afectó a los dispositivos con sistemas operativos Debian y Rocky Linux. Los dispositivos Linux de "punto final" son poco comunes, por no hablar de los que ejecutan estas distribuciones específicas con el software CrowdStrike. Lo que debería haber sido una señal de alarma en abril fue apenas un parpadeo.

El mes pasado, CrowdStike perturbó otros dos sistemas operativos con una mala actualización: Windows 10 y 11. Esta vez provocó un colapso colapso de crucialesinformáticos sistemas en todo el mundo. Aerolíneas, hospitales, instituciones financieras, escuelas, emisoras de radio y televisión, entre otros, se vieron paralizados porque una actualización errónea de la plataforma de CrowdStrike provocó caídas del sistema. En lugar de un inconveniente para unas pocas empresas, se asemejó más a un cierre del gobierno o a un desastre natural.

Ambos casos tuvieron repercusiones similares en los dispositivos, pero el último fue un desastre absoluto para las infraestructuras debido a un panorama digital dominado por unos pocos actores clave. El hecho de que tantos sectores dependan de un puñado de servicios para los mismos sistemas operativos hace que todos sean susceptibles a los mismos fallos, con incluso sistemas con versiones absurdamente obsoletas de Windows tienen ventaja por ofrecer cierta diversidad.

Lo que salió mal en CrowdStrike fue sólo una chispa. El mes pasado encendió el polvorín de los monocultivos digitales.

Monocultivo digital

Todos los ordenadores están rotos. Cada pieza de software y hardware está a punto de fallar de forma inesperada y, aunque los hackers e investigadores de tu barrio pueden evitar algunos de los peores problemas detectándolos e informando sobre ellos, tenemos que mitigar los fallos inevitables. Un futuro digital resistente y seguro no puede construirse sólo con esperanza.

Sin embargo, eso es exactamente lo que estamos haciendo. Estados Unidos no sólo ha tolerado, sino que ha fomentado una industria tecnológica monopolística con muy poca competencia en mercados clave. Décadas de política antimonopolio se han basado en la idea errónea de que el mero tamaño hará que las empresas tecnológicas sean eficientes y puedan servir mejor a los clientes. En lugar de eso, tenemos aeropuertos, hospitales, escuelas, sistemas financieros, etc., todos dependientes del mismo software, vulnerables a los mismos fallos y hackeos. Hemos creado una industria tecnológica demasiado grande para fracasar.

La falta de diversidad hace que todo el ecosistema sea más frágil

Vivimos en la era del monocultivo digital, en la que una sola vulnerabilidad puede desgarrar los sistemas a escala mundial, saboteando hospitales y gobiernos municipales con ransomware; sistemas eléctricos con ataques patrocinados por el estado; y la violación de asombrosas cantidades de datos privados. Nombra una clase de dispositivo o software, y la mayoría de las veces la mayor parte del mercado está controlada por unas pocas empresas, a menudo las mismas: Android y iPhone; Windows y Mac; Gmail y Outlook; Chrome y Safari. Cuando se trata de productos de seguridad para puntos finales tres empresas controlan la mitad del mercado siendo las mayores Microsoft y CrowdStrike.

Al igual que los monocultivos en la agricultura, la falta de diversidad hace que todo el ecosistema sea más frágil. Una nueva plaga o enfermedad puede provocar un colapso generalizado sin un plan de respaldo. La solución, por el contrario, es aumentar la diversidad en el mercado tecnológico mediante una aplicación más estricta de las leyes antimonopolio, y que las organizaciones hagan de la diversidad de los sistemas informáticos una prioridad.

Permitir una dependencia excesiva de un número cada vez menor de empresas como Microsoft sólo garantizará daños más frecuentes y devastadores en el futuro.

Cómo hemos llegado hasta aquí

Antimonopolio roto

Como ha señalado la EFF y argumentado la FTC el antimonopolio no ha abordado las realidades de la Internet del siglo XXI.

Considerar a los consumidores como algo más que carteras andantes, sino como individuos que merecen vivir libres de los intereses de los monopolios.

Desde la década de 1980, la teoría antimonopolio estadounidense ha estado dominada por la teoría del "bienestar del consumidor", que sugiere que los monopolios corporativos están bien, e incluso son preferibles, siempre que no suban los precios. Los daños económicos más sutiles del monopolio, junto con los daños a la democracia, los derechos laborales y el medio ambiente, se ignoran en gran medida.

Durante los últimos años, la FTC ha presionado para que se vuelva a la intención original de la legislación antimonopolio: considerar a los consumidores como algo más que carteras andantes, sino como individuos que merecen vivir libres de la carga de los intereses monopolísticos.

Pero nos queda mucho camino por recorrer. Seguimos teniendo menos opciones y menos adecuadas, basadas en una industria tecnológica que subvenciona los precios al consumidor comprometiendo la privacidad y disminuyendo la propiedad mediante suscripciones y DRM restrictivos. Los imperios de la industria ejercen cada vez más influencia en nuestro día a día, creando una mayor dependencia de su monocultivo. Cuando fracasan, la escala y el impacto rivalizan con los de un cierre gubernamental.

Nos merecemos un futuro digital más estable y seguro, en el que un código de error ponga vidas en peligro. Las infraestructuras vitales no pueden construirse sobre un monocultivo digital.

Para ello, las autoridades antimonopolio, como la Comisión Federal de Comercio (FTC), el Departamento de Justicia (DOJ) y los fiscales generales de los estados deben aumentar el escrutinio en todos los rincones de la industria tecnológica para evitar niveles peligrosos de centralización. Un primer paso importante sería perseguir las prácticas de bloqueo de los proveedores de TI.

Adquisiciones y bloqueo de proveedores

La mayoría de las organizaciones dependen de sus equipos de soporte informático, aunque ese equipo sea sólo el de un amigo "bueno con los ordenadores". Es bastante habitual que estos equipos estén significativamente infradotados de recursos, obligados a satisfacer necesidades cada vez más complejas de la organización con un presupuesto estancado o en retroceso.

El bloqueo duplica el poder de un monopolio y lo consolida en diferentes mercados.

Esta escasez crea la necesidad de soluciones listas para usar que centralicen esa experiencia entre proveedores y consultores. Alquilar estas soluciones informáticas a grandes empresas como Microsoft o Google puede ser rentable, pero confía buena parte del control a esas empresas.

Sin embargo, con demasiada frecuencia los proveedores de software se aprovechan de esta dinámica. Agrupan muchos servicios por un precio inicial bajo, haciendo que una organización dependa totalmente de ellos, y luego obstaculizan la capacidad de la organización para adoptar herramientas alternativas mientras que suben los precios después. Se trata de un viejo juego manipulador de jaula del proveedor..

Una vez enjaulada, una empresa descubrirá que cambiar a alternativas es costoso tanto en dinero como en esfuerzo. Supongamos que quiere cambiar de proveedor de correo electrónico. En lugar de una forma sencilla de transferir datos y configuraciones, su empresa tendrá que recurrir a esfuerzos manuales o a costosos grupos de consultores. Esto también suele ir acompañado de una interoperabilidad selectiva, como tener un cliente de correo electrónico que funciona sin problemas con un sistema de calendario incluido, mientras que el servicio de un competidor se enfrenta a un soporte inestable o deliberadamente roto.

El bloqueo duplica el poder de un monopolio y lo consolida en distintos mercados. Por eso la EFF reclama interoperabilidad para acabar con la dependencia de un proveedor y permitir a los equipos informáticos elegir las herramientas que reflejen los valores y prioridades de su organización.

Comprar o crear sistemas más personalizados tiene sentido en un mercado competitivo. Es improbable que un único proveedor de nube sea el mejor en todos los servicios y, con la interoperabilidad, resulta más viable desarrollar y alojar alternativas internas. Fomentar más esa experiencia interna sólo puede reforzar la resistencia de las instituciones más grandes.

Las consecuencias de la nube

Permitir que la economía y el bienestar de innumerables personas dependan de unos pocos servicios en la nube es censurable. El incidente de CrowdStrike Falcon es sólo el último y más grande de una creciente lista de hackeos, brechas y colapsos que vienen a definir la era. Pero cada vez son más las personas que sufren daños reales.

Cada vez, vemos a las personas más pobres y marginadas enfrentarse a consecuencias costosas o incluso mortales. Un vuelo en tierra puede significar tener que gastar dinero en un hotel, y puede significar perder un trabajo. La escasa capacidad de los hospitales hace que menos personas reciban cuidados vitales. Cada vez estos impactos agravan más las desigualdades existentes, y cada vez ocurren con mayor frecuencia.

Debemos rechazar este status quo. La interrupción de CrowdStrike es una llamada de atención multimillonaria para hacer del antimonopolio una prioridad inmediata. No se trata solo de evitar la próxima caída, sino de construir un futuro en el que nuestro mundo digital sea tan diverso y resistente como las personas que dependen de él.x

Related Issues

Competition

Big Tech

Security

Join EFF Lists

Related Updates

Deeplinks Blog by Cory Doctorow | October 30, 2024

No Matter What the Bank Says, It's YOUR Money, YOUR Data, and YOUR Choice

The Consumer Finance Protection Bureau (CFPB) has just finalized a rule that makes it easy and safe for you to figure out which bank will give you the best deal and switch to that bank, with just a couple of clicks. We love this kind of thing: the coolest...

Deeplinks Blog by Cory Doctorow | October 29, 2024

Court Orders Google (a Monopolist) To Knock It Off With the Monopoly Stuff

A federal court recently ordered Google to make it easier for Android users to switch to rival app stores, banned Google from using its vast cash reserves to block competitors, and hit Google with a bundle of thou-shalt-nots and assorted prohibitions.Each of these measures is well crafted, narrowly tailored, and...

Deeplinks Blog by Cory Doctorow | October 24, 2024

Disability Rights Are Technology Rights

During Disability Employee Awareness month, we call out the medical tech industry for fighting disabled people's right to repair or modify the tech that they own.

Deeplinks Blog by Katharine Trendacosta | October 18, 2024

Un Internet próspero depende de la competencia

La legislación antimonopolio reconoce desde hace tiempo que los monopolios ahogan la innovación y perjudican a los consumidores en materia de precios. En el caso de las grandes empresas tecnológicas, el daño a la innovación, en forma de "zonas letales donde las grandes empresas compran a los nuevos participantes...

Deeplinks Blog by Bill Budington | October 8, 2024

Las conclusiones de la FTC sobre la vigilancia comercial pueden conducir a mejores alternativas

La importancia del informe del personal de la FTC no sólo radica en los abusos que han documentado meticulosamente, sino en las posibilidades políticas y tecnológicas que pueden derivarse de la voluntad de adoptar alternativas.

Deeplinks Blog by Rory Mir | September 13, 2024

NextNav’s Callous Land-Grab to Privatize 900 MHz

The 900 MHz band, a frequency range serving as a commons for all, is now at risk due to NextNav’s brazen attempt to privatize this shared resource. Left by the FCC for use by amateur radio operators, unlicensed consumer devices, and industrial, scientific, and medical equipment, this spectrum has become...

Deeplinks Blog by Josh Richman | July 2, 2024

Podcast Episode: Fighting Enshittification

The early internet had a lot of “technological self-determination" — you could opt out of things, protect your privacy, control your experience. The problem was that it took a fair amount of technical skill to exercise that self-determination. But what if it didn’t? What if the benefits of online privacy,...

Deeplinks Blog by Cory Doctorow | June 28, 2024

How the FTC Can Make the Internet Safe for Chatbots

No points for guessing the subject of the first question the Wall Street Journal asked FTC Chair Lina Khan: of course it was about AI.Between the hype, the lawmaking, the saber-rattling, the trillion-dollar market caps, and the predictions of impending civilizational collapse, the AI discussion has become as...

Deeplinks Blog by Rory Mir, Ross Schulman | June 18, 2024

¿Cuál es la diferencia entre Mastodon, Bluesky y Threads?

El éxodo de Twitter ha dado vida a una nueva forma de hacer redes sociales. En lugar de que un puñado de plataformas intente controlar tu vida en Internet, la gente está recuperando el control mediante la creación de enfoques más abiertos y empoderadores de las redes sociales. Puede que...

Deeplinks Blog by Aaron Jue | June 18, 2024

Ah, Steamboat Willie. It’s been too long. 🐭

Did you know Disney’s Steamboat Willie entered the public domain this year? Since its 1928 debut, U.S. Congress has made multiple changes to copyright law, extending Disney’s ownership of this cultural icon for almost a century. A century.Creativity should spark more creativity.That’s not how intellectual property laws are...