Hola,
He recibido una crítica en forma de mensaje de contacto. Es anónima (bueno, está firmada por alguien apodado tup), pero eso no le resta valor, porque es educada y porque el debate siempre es bienvenido.
Antes de ayer hablé sobre Downadup/Conficker, y me expresé en términos de masacre (no soy el único, por cierto). También opiné que este tipo de amenazas causa impacto real en los bolsillos de empresas y de usuarios. Este usuario anónimo me viene a decir que, respetando mi opinión, no cree que los impactos económicos sean relevantes. Que no es para tanto.
A este usuario y a los que piensen igual no voy a tratar de convencerlos, porque no es mi misión. Este blog no es un púlpito para correligionarios, ni tampoco hago comentarios orientados y tendenciosos ni para mejorar mi posición ni para satisfacer a nadie. Tampoco me untan el bolsillo con regularidad a cambio de dar opiniones pactadas, así que cuando comento y opino lo hago siempre a título estrictamente personal, lo que inexorablemente conduce a que puedo equivocarme (de hecho, me equivoco con frecuencia), pero siempre lo haré defiendiendo lo que creo que es cierto anteponiendo mi criterio a las interferencias de intereses de terceros.
Tampoco seré yo el que saque a la luz los números definitivos que permitan traducir las amenazas digitales y las deficiencias en la tecnología en efectos directos en la tesorería de las empresas o en el patrimonio de los usuarios. Entre otras cosas, porque no tengo los datos suficientes para hacer una valoración suficientemente rigurosa de esta traducción para todos y cada uno de los miles de casos que existen, y que bastante tengo ya con 8 horas al día dedicándome precisamente a eso. A lo que me puedo limitar es a realizar una estimación basada en mi experiencia y en lo que yo puedo considerar como sentido común, y por tanto, como cualquier otra estimación, será mejor o peor, pero en ningún caso debería ser para nadie el credo definitivo a enarbolar.
Haciendo una estimación muy básica
Imaginemos un entorno empresarial compuesto de 50,000 máquinas a parchear. Puede resultar un número elevado, pero además de ser un número redondo que facilita cálculos, no es un disparate en el mercado empresarial, donde hay muchas organizaciones donde ese número es perfectamente factible. El primer error en la calibración de amenazas es siempre la suposición de que todo el mundo tiene en sus oficinas 8 PCs y que las labores de parcheo las hace el informático de turno paseándose con un pendrive por las instalaciones. No haríamos mal en situar los problemas un poco mejor en ese sentido.
Supongamos que en ese entorno, precisamente por ser masivo, tiene herramientas de despliegue de actualizaciones automatizadas. Sí, puede resultar trivial, pero os aseguro que hay personas que creen que 50,000 puestos se actualizan a mano tecleando en todos y cada uno de ellos http://www.windowsupdate.com. Me da igual el producto, paquetería Tivoli, SMS, el que prefiráis. Normalmente, estos gestores saltan al iniciar sesión, y considerando las normativas y directrices energéticas actuales, la mayoría de las personas apagan sus máquinas o reciben señales de apagado cuando no están en las oficinas (sí amigos, 50,000 PCs funcionando sin nadie delante consumen MUCHA energía y no está el horno para bollos). Vamos, que por la mañana lo normal es encender el ordenador porque está apagado, y que si hay parches pendientes de aplicar, los gestores saltan antes de iniciar sesión.
Supongamos también que hemos trabajado alguna vez conectados a una red de muchos puestos. Esto es importante, porque quien no lo hemos hecho tiende a pensar que las cosas en redes masivas funcionan como en casa, y no, no es así. Presuponer que la descarga de un par de paquetes de seguridad de un servidor de actualización, la aplicación de esos parches, los reinicios necesarios y volver a conectarse a un dominio es algo que se puede llevar fácilmente 5 minutos. Incluso más. Adicionalmente, como estas tareas saltan al inicio, suele haber una elevada concurrencia que enlentece los procesos de actualización.
Hagamos una cuenta de sentido común. Si tenemos 50,000 máquinas, y cada una de ellas requiere 5 minutos de inactividad para ser parcheada ante una vulnerabilidad como la que ha posibilitado que Conficker se extienda rápidamente, parece sensato pensar que se consumen 250,000 minutos de tiempo en actualizar los equipos.
Imaginemos que la empresa paga a sus empleados a razón de 10 euros la hora. Sí, no son los más estirados del planeta, pero gente cutre y malos pagadores hay en todos lados. Las hay que pagan más, y las hay que pagan menos, pero hay que partir de una suposición inicial. Haciendo las conversiones necesarias, el coste del tiempo improductivo de en la aplicación del parche masivo es de 41,666 euros.
Sí, tranquilos, no saltéis. Cuando se reinicia la máquina se puede llamar por teléfono, tirar de PDA y trabajar, de modo que no se pierden siempre los 5 minutos completos ni existe concurrencia en 50,000 personas mirando la pantalla como bobos a la espera de poder meter su usuario y su clave. Repito, esto es una estimación que pretende ofrecer un ejemplo simplificado, no un cálculo real, así que tómese el supuesto con las debida cautela.
Jugando con los distintos parámetros, se podría construir una tabla similar a la que sigue:
Faltan por añadir, entre otras cosas:
- Todos los costes que derivan de las amenazas consumadas (equipos infectados, personal de soporte en edificios, personal de análisis de seguridad lógica, personal de gestión antifraude, el uso de telecomunicaciones para notificaciones, la pérdida o corrupción de datos críticos comprometidos o dañados, el trabajo que hay que rehacer porque el cafre de turno ha eliminado el virus y todo lo que había en los discos de red, los gastos en servicios jurídicos para hacer reclamaciones y/o atenderlas, y un largo etcétera, tan largo como podáis imaginar.
- Coste de oportunidad (negocio cesante por no atenderlo)
- Daños de imagen y legales derivados de la inactividad
- Coste de los productos de actualización (licencias, mantenimiento, consultoría) y los procesos de puesta en producción de un parche (pruebas, validaciones, certificaciones, generación de paquetes …) (que de veras os lo digo, que esto no va de sale-un-parche-me-lo-bajo-y-lo-instalo-y-que-feliz-me-quedo)
- Coste del hardware de la infraestructura de actualización masiva (siempre que no uses el pendrive, que sale barato)
- Coste de los anchos de banda consumidos en el transporte de paquetes. Cuando estamos a 10,000 kilómetros de la sede no sale rentable enviar al informático con el pendrive a dar vueltas con la Iberia Plus bajo el brazo.
- Costes indirectos repercutibles a la inactividad, porque aunque no trabajes, los impuestos, seguros sociales, alquileres, servicios, etc. se siguen pagando. En el país de las maravillas no hay problema, pero en la vida real todo cuenta a la hora de completar una cuenta de gastos.
- Daños provocados por el malware que se instala por acción y mediación de este gusano. Aquí que cada cual le eche imaginación que quiera.
- En general, otros gastos que impliquen consumo de recursos por tener que actuar ante una amenaza. Las empresas funcionan para dar servicios, no para consumir tiempo parcheando. En el país de las maravillas tampoco hay problema por esto, todo sea dicho.
Como véis, el ejemplo es trivial e infantil, pero creo que la idea está clara: valorar el impacto de una amenaza exige estudiar con mucha profundidad cada caso en particular, siendo muy complicado traducir problemas a euros. Lo que es obvio es que ante este tipo de eventos, si no se tiene la capacidad de valoración suficiente, al menos hay que evitar ser una persona corta de miras incapaz de razonar que los procesos de cambio en infraestructuras de tecnología consumen MUCHÍSIMOS recursos. Y si a mí como empresa me cuesta muchísimo, a 1000 empresas les costará 1000*muchísimo.
Lo que puede parecer una chorrada (pues yo en mi casa me bajo el parche y en 15 minutos tengo mi mésenyer y mi Facebook otra vez a tono) puede acabar costando y de hecho, cuesta, una cantidad brutal de dinero en las redes profesionales de empresas y organizaciones. Y a los usuarios, les cuesta tiempo. Y el tiempo es oro.
Para profundizar sobre la comprensión del tema de costes, podéis ojear este documento, que aún siendo un FUD como un piano en su planteamiento, tiene una estructura fácilmente comprensible y arroja cifras interesantes. Entre 1,500 y 2,000 USD por máquina y año en concepto de costes de gestión de parches.
Observar los problemas a distintas escalas
Ahora pensemos en las miles de empresas que emplean soluciones Microsoft. Y no digo que sean miles porque ellos mismos dediquen el 90% de su tiempo a vanagloriarse a los cuatro vientos de las elevadas cuotas que tienen, es que a poco que uno se mueva y vea redes, se dará cuenta de que tienen razón: son la solución mayoritaria para el escritorio, y con una fortísima presencia en servidores de pequeño y medio alcance. ¿Puede resultar que la simple acción de parchear acabe costando millones de euros en términos globales? Pues parece que sí.
¿Carnicería?
Por estos factores que comento (me importan más que los números) considero que Donwadup/Conficker es una masacre. El otro día cité a F-Secure, que están realizando un excepcional seguimiento a esta carnicería, y hoy voy a citar a Panda Labs, que estiman en un 6% del parque mundial de ordenadores (se dice pronto) el volumen de PCs infectados por Donwadup/Conficker. Cito a Luis Corrons, uno de estos que tiene poca idea, y lleva poco en la industria del malware:
Que de cada dos millones de ordenadores que se analicen, cerca de 115.000 estén infectados con un mismo ejemplar de malware es algo que no se veía desde los tiempos de las grandes epidemias como las de Kournikova o Blaster”, afirma Luis Corrons, director técnico de PandaLabs. «Estamos ante una auténtica epidemia y lo peor es que este gusano aún puede hacer mucho daño, ya que en cualquier momento puede comenzar a descargar más malware en los equipos o propagarse por otros medios.
Otro de Panda, Ryan Sherstobitoff, aclara que el 6% puede quedarse corto:
El 6% del que se habla eran personas que venían a nuestro sitio y decidían analizar sus navegadores. Teniendo en cuenta esto, los datos reales podrían ser aterradores”, señala Shertobitoff. “Si estuviéramos analizando la base de usuarios general, todas las personas que no tienen antivirus o que los tienen pero no han actualizado sus definiciones… podríamos estar hablando de niveles de infección de entre un 20 y un 30%
El mensaje está bastante claro. También quiero citar a otros de esos que no tienen ni idea, Sophos, que ha elaborado una encuesta sobre Conficker. Me alegro de que la mayoría culpe a los creadores del gusano, y no al fabricante, que insisto una vez más ha actuado de modo ejemplar.
Volviendo a los orígenes de este texto, creo que doy por zanjada mi argumentación de por qué creo que este asunto es grave. Y más grave que se va a tornar, porque los gusanos de hoy no son como los de antaño, llevan cual huevo Kinder, regalito. Y cuando hablamos de regalitos, hay que pensar en troyanos y phishing, ransomware, accesos indebidos que pueden dejar tu documentación confidencial a la venta en maleteros de coches …
Muchos son los medios que discuten si estamos ante un hype o no. Que cada cual piense, haga y diga lo que quiera. Yo mientras siga viendo grifos non stop que manan euros destinados a combatir estas amenazas y sus colaterales, tengo bastante clara mi postura.
Un saludo,
Cualquiera de los que hemos trabajado alguna vez en grandes entornos como el que tu describes sabe que, incluso, te estás quedando corto en tu descripción Sergio. Por un lado nadie en su sano juico en un gran entorno aplica directamente los parches sin antes evaluar su impacto. Eso supone un coste proporcional a la complejidad y variabilidad de la actividad que se desempeñe y, de nuevo, a la heterogeneidad del hardware y del software de que se disponga. Por otro lado y relacionado con esto, es absolutamente imposible mantener homogeneo un entorno de, no ya 50.000 equipos, sino apenas 500. Eso hace que aunque consumas recursos en estas pruebas de impacto, siempre habrá un porcentaje de equipos en los que los parches fallen. En el mejor de los casos simplemente no se aplicaran, pero habrá que investigar que pasa para solventarlo y aplicarlos manualmente. En el peor de los casos tendremos equipos indisponibles o con problemas en su funcionalidad tras la aplicación. O sea: más gastos.
Hola Sergio, excelente disertación aunque discrepo de lleno en los cálculos realizados. Concretamente en el coste imputable al personal propio en la modalidad que sea (tanto por falta de actividad como por exceso de actividad). La única excepción que siempre he contemplado en los análisis de impacto son las «horas extras» (cantidad perfectamente cuantificable). Cualquier otro cálculo, especialmente por falta de «productividad», me resulta totalmente estéril. No tanto, como acertadamente mencionas, por la inactividad absoluta del usuario (que no es tal!) sino por pura y simple coherencia. Cuantas empresas hay que se preocupen del tiempo de inactividad de los empleados por ir a tomar un cafelito, la típica charla de pasillo, las llamadas telefónicas «personales», etc. Dicho esto, me parece totalmente fuera de lugar que en situaciones como la que se plantean (una disrupción de larga duración es otro tema) se tengan en cuenta estos «costes» cuando el importe que representaría es ridículo comparado con el «tiempo perdido» a lo largo de, por ejemplo, un año. Mi discrepancia no va tanto por tu exposición sino por auténticos sinsentidos que he podido vivir en algunos proyectos.
josemaria,
Efectivamente, es un suma y sigue. Me alegro de que compartas esa visión, porque nos ha tocado lidiar con un tema en el que las personas creen que todo funciona como en su casa.
Yo a todos les hago el mismo símil. ¿Cuesta lo mismo mantener la caldera de tu casa que la de un edificio o un complejo industrial? Pensar que en una gran organización todo queda en bajarse el parche e instalarlo es tan ridículo como pensar que en un complejo industrial se revisa todo el agua caliente sanitaria y la calefacción mandando a un técnico a que apriete 4 tornillos.
Edgard,
Precisamente por eso yo mismo bauticé el ejemplo como trivial e infantil. Imputar costes a inactividad no es una actividad trivial, ni todo es blanco, ni todo es negro, pero creo que era una buena manera de ejemplificar.
Si queremos hilar fino, te puedo comentar que no hace falta que haya 50,000 usuarios parados para causar un agujero. Basta con que 20 usuarios de una mesa de tesorería en pleno fragor de intradía se queden sin poder operar para causar una debacle, y cuando hablo de debacle, hablo de pérdidas cuantificables no en miles, sino en millones de euros.
De todos modos, por trivial que sea el ejemplo, los número están ahí: entre 1500 y 2000 USD por año y máquina en gastos relacionados con la actualización, y eso sin tener en cuenta las verdaderas disrupciones, como el negocio cesante, que siempre es la principal fuente de pérdidas. Lo que me cansa es ver una y otra vez opiniones limitadas en las que se menosprecia el coste de mantenimiento bajo la falsa creencia que aplicar parches a un parque de máquinas es «coser y cantar», con lo que emergencias y amenazas que hacen requerir estas actualizaciones, son fuente de gastos y cuantiosos. Y a lo largo de un año, hay mucha pasta por medio.
Un saludo para los dos :)
Efectivamente, yo también he vivido experiencias en backoffices de mercado de valores internacionales 24×7 con los sistemas clavados, mesas de tesoreria sin conexión a Bloomberg, call centers de contratación de pólizas de seguros sin comunicaciones al exterior, etc. Casos en los que sólo 15 minutos de inactividad representan muchos millones de ¤ y hasta alguna cabeza que otra por los suelos…… A eso me refería en cuanto a los costes por usuario, aún siendo los mejor pagados del planeta el coste de tenerlo quieto mirando el techo (aunque así fuera) es ridículo comparado con la pasta, hablando en plata, que realmente te está costando directamente la broma (cuantificable por pérdida de negocio, sin entrar en temas no tan tangibles….).
En cuanto a solventar incidentes de este estilo en instalaciones «de verdad» (en nuestro caso aún da los últimos coletazos) está claro que la solución no pasa nisiquera por la calidad y capacitación de los técnicos sino de la magnitud de lo que tienes enfrente y como puedes/debes arreglar eso sin causar un mayor impacto todavía. En ocasiones el remedio es peor que la enfermedad. Por poner un ejemplo práctico, como actualizas 3000 máquinas sin afectar la actividad del usuario ? (el proceso implica reinicios de la máquina). Solución fácil= de noche, cuando no esté el usuario !! jajajaj ok, dejamos los 3000 PC’s encendidos toda la noche repartidos en 200 dependencias y nos quedamos tan anchos …… con lo fácil que sería todo con terminales tontas de verdad…….. ;-)
Muy bueno tu trabajo.
Esto me confirma algo de lo que he mencionado con muchas personas: el antagonismo entre la productividad y los costos y la seguridad, en donde generalmente es la seguridad la que lleva las de perder. Hasta que es muy tarde.
Tengo la impresión de que aquellos que creen que exageras tratan de defender a los de la empresa de Redmond, cuando la verdad, esta vez ellos son los menos responsables del problema. Administro una pequeña red (10) y gracias a la política de actualizaciones en W y antivirus, parece que no he encontrado problemas. Pero también es cierto que tuve problemas para convencer a colegas y jefes de la importancia de las actualizaciones y las seguridades. Fueron discusiones fuertes en donde más de una vez, cuando querían que ya no permitiera las actualizaciones, avíse que en consecuencia me lavaba las manos de las consecuencias. Y no fue una cuestión de costes, al menos de manera directa, sino por qué les parecía exagerado. En fin.
Leo tus notas siempre que puedo, gracias por tu trabajo y saludos.
Tampoco hay que olvidar los costes de las horas dedicadas a la prevención. Por ejemplo, el viernes, Rediris envío a las universidades unas directrices para combatir este gusano.
Eso también son horas de trabajo que se roba el virus.