British Airways niega haber sufrido un ataque informático

El último fin de semana de mayo no caerá en el olvido para los directivos y muchos clientes de la aerolínea de bandera de Reino Unido, British Airways, que ha experimentado fallos en sus sistemas informáticos que han dejado decenas de aviones y miles de pasajeros en tierra, con el epicentro de los problemas situado en los aeropuertos londinenses de Heathrow y Gatwick. En un primer momento, la compañía apuntó a que hoy lunes las operaciones ya se habrían restablecido con normalidad, pero a estas horas todavía se producen incidentes, y no está del todo claro cuándo llegará ese momento en el que todas sus operaciones vuelvan a efectuarse con normalidad. Y es que, según afirma el diario ABC, aunque los vuelos internacionales con origen y destino en Reino Unido parecen haber recuperado ya gran parte de su normalidad, no ocurre lo mismos con los de corta distancia.

La única «explicación» que ha dado la compañía es que los problemas se deben a un fallo en el suministro eléctrico. Y, en el caso del español Alex Cruz, CEO de IAG (el grupo empresarial del que forman parte Iberia, British Airways, Aerlingus y Vueling), incluso ha publicado un vídeo en la cuenta corporativa de BA en Twitter, en el que además de disculparse ante los usuarios, afirma que los profesionales de la compañía están trabajando para solucionar el problema tan pronto como sea posible (es decir, sin fecha). Pero, y por eso lo he entrecomillado lo de explicación, a cualquier profesional de la tecnología le costará bastante creer esta respuesta. Y el problema es que una explicación rara y / o deficiente, abre un montón de puertas a las especulaciones, algo que ya está ocurriendo a la velocidad del trueno alrededor de la aerolínea británica. Algo que sus directivos se han apresurado a indicar es que el problema no se ha debido a un ataque informático, una precisión que tiene bastante sentido en el momento actual, cuando todavía estamos sufriendo la resaca de Wannacry, y el temor de nuevas versiones de este ransomware que amenazan con ser más peligrosas que su predecesor.

Me voy a explicar poniendo un ejemplo: Bétera, un municipio de algo menos de 25.000 habitantes que, hace ya algunos años (el documento de definición de la infraestructura data de 2011), y con el fin de gestionar de manera adecuada la información municipal, además de ofrecer nuevos servicios a sus vecinos, decidió poner en marcha un CPD, cuyas políticas de seguridad se pueden leer en la web del Ayuntamiento. De toda esa documentación, encuentro especialmente interesante el texto titulado «Procedimiento de seguridad física» (se puede descargar haciendo click aquí), más concretamente el punto 4.3, es decir, el referido a la seguridad del CPD. Reproduzco a continuación la parte del mismo en la que pongo el foco:

Sistemas de Alimentación Ininterrumpida permiten garantizar el suministro eléctrico de los elementos del CPD en caso de fallo del suministro general. Los equipos más críticos se encuentran conectados a los SAIs. Los SAIs dispondrán de una autonomía mínima de duración, tiempo que sea suficiente para poder realizar un apagado controlado de las máquinas que no lo realizan por software, en el caso de que este sea necesario. Los equipos SAI se someterán a pruebas semestrales mediante la revisión de los niveles de capacidad y de monitorización de que disponen los mismos. Se registrarán las pruebas realizadas y sus resultados de acuerdo al Anexo I del presente procedimiento. Asimismo también se cuenta con grupo electrógeno.

Y ahora, reducido al mínimo: «El CPD cuenta con un doble sistema de seguridad para fallos eléctricos. Si se interrumpe el suministro, hay sistemas de alimentación ininterrumpida (SAIs) capaces de mantener en funcionamiento todos los sistemas críticos. Y, ante el riesgo de que estas baterías se descarguen antes de haber recuperado el suministro eléctrico, también tenemos un grupo generador (seguramente de gasoil), para garantizar la persistencia del servicio por todo el tiempo que sea necesario, hasta la vuelta del suministro eléctrico. Simplificado al límite, el CPD seguirá funcionando aunque se produzca un corte de larga duración en el suministro eléctrico.

Estos son los mimbres con los que el modesto ayuntamiento de una localidad de 22.o00 habitantes define la seguridad de su CPD. Y en mi experiencia personal, después de haber visitado unos cuantos data centers, tengo bastante claro que los sistemas para garantizar el suministro eléctrico a los sistemas es, siempre, uno de los puntos clave en estas infraestructuras. Además, la redundancia de sistemas debe hacer posible que, incluso si se tienen que efectuar tareas de mantenimiento relacionadas con el propio sistema eléctrico, éstas no repercutan en el funcionamiento de la infraestructura. Entonces, ¿estamos diciendo que un ayuntamiento local, de una población de este tamaño, toma más y mejores medidas de seguridad que los responsables del datacenter sobre el que recae toda la operativa de una de las aerolíneas más grandes del mundo? Vuelvo a reducirlo a muy pocas palabras: personalmente no me creo esa explicación.

¿Qué es lo que ha ocurrido realmente?

Nunca lo sabremos con seguridad, pero un vistazo a la prensa británica nos revela que la representación sindical de los trabajadores del grupo lleva ya tiempo denunciando la externalización de múltiples trabajos relacionados, precisamente con la infraestructura IT de la compañía, a India, algo que no han dudado en recordar este fin de semana, y a lo que achacan el problema que la compañía experimenta estos días, tal y como recogen medios como el Daily Mail. ¿Puede la externalización y deslocalización de servicios producir un problema de este tipo. La respuesta es, sin duda alguna, «depende».

Los países emergentes se han convertido, desde hace ya unos cuantos años, en una alternativa económica para las empresas occidentales, que ven la posibilidad de reducir sus costes operativos y, así, salir de números rojos o hacer que lo verdes lo sean todavía más. Sin embargo, y como ocurre con casi todo en esta vida, todo lo que resulta demasiado barato, suele venir con truco. Y aunque este es un riesgo que podemos asumir, por ejemplo, al comprar una camiseta de verano por 3 o 4 euros (y si se rompe a los dos o tres días, pues tampoco habremos perdido tanto), confiar una infraestructura crítica al proveedor más barato que encontremos, sin analizar en profundidad lo que de veras nos está ofreciendo, puede ser (y seguramente será) una mala idea y la fuente de muchos dolores de cabeza.

En cualquier caso, la situación de British Airways es ahora mala o mala. Y es que, si finalmente resulta que sus explicaciones eran ciertas, y que todo se ha debido a un problema con el suministro eléctrico en su CPD, habrá que preguntarse qué condiciones de seguridad tiene esa infraestructura, es decir, qué importancia le ha concedido la empresa. Y cualquier resultado por debajo de 10 será un resultado negativo. Y, en caso contrario, tanto si se ha debido a un ataque informático (algo que han negado por activa y por pasiva), como si ha sido un problema relacionado con la externalización, la compañía habría mentido a clientes, medios, inversores, etcétera, y además habría actuado de manera deficiente, sea en su política de seguridad o en la supervisión de sus subcontratas. Así, sea la que sea la explicación final, ninguna podrá dejar a British Airways en buen lugar.