Por qué la caída de Google nos hizo temblar

Shutterstock / Daria Gromova
por Marta Beltrán

 

La mayor parte de los usuarios de tecnología relacionan la ciberseguridad con el secreto: un sistema o servicio es seguro si sus datos no pueden ser accedidos por terceros. Pero la ciberseguridad implica la protección de tres aspectos (la famosa tríada). La confidencialidad es uno de ellos, por supuesto; pero también hay que garantizar niveles adecuados de integridad y de disponibilidad.

Este último aspecto suele ser el gran olvidado hasta que llega ese día en el que nadie puede acceder a los servicios de Google.

¿Qué sabemos de la caída de los servicios de Google?

El 14 de diciembre, las redes sociales y los medios de comunicación se hacían eco de un hecho inusual que había afectado, en mayor o menor medida, a prácticamente todos los usuarios de tecnología: Google parecía estar caído y sus usuarios no podían acceder a la mayor parte de sus servicios.

Este tipo de caídas afectan a los usuarios, que no pueden acceder a su correo de Gmail, a sus ficheros en Drive, a su Calendar o ver vídeos en YouTube. Pero en las actuales circunstancias, con medio planeta atendiendo a clases online (en muchos casos gracias a la plataforma de Google) y teletrabajando (gracias también a servicios de Google, muchas empresas confían en Google Workspace), el impacto de este tipo de caída es mucho mayor.

Cada minuto que Google está caído, muchas personas no pueden realizar ni las tareas más básicas que tienen encomendadas en el trabajo o los estudios, ya que la mayor parte utiliza los servicios del gigante tecnológico. Estas pérdidas de productividad pueden traducirse en enormes pérdidas económicas.

Por fortuna, el problema duró aproximadamente 45 minutos y pudimos comprobar que afectaba a los servicios que necesitaban autenticación, es decir, que exigían al usuario iniciar sesión con su cuenta de Google. Navegando en modo incógnito y sin iniciar sesión, los servicios de Google seguían funcionando.

De hecho, la compañía anunció mediante un breve comunicado que se trataba de un problema con su sistema Google OAuth (más o menos, admitieron que se habían quedado sin espacio en sus sistemas de almacenamiento). Creída esta breve explicación o no, todo volvió a la normalidad. Aunque con mucho revuelo y alarmismo por parte de algunos.

Las primeras reacciones

La caída no ha hecho más que confirmar lo que en el fondo ya sabíamos. Si hace unos años Google dejaba de funcionar, eso implicaba tener que cambiar de buscador durante un tiempo y poco más. Con más alternativas disponibles, los usuarios de internet hubieran utilizado otro buscador para acceder a los contenidos deseados.

Pero el panorama actual es completamente diferente. Google sobrepasa con creces los mil millones de usuarios. Y estos usuarios dependen de la compañía, y de la cuenta que tienen en ella, para la mayor parte de las tareas que realizan online, que hoy en día son muchas y muy variadas. Y en algunos casos, esenciales.

Es curioso que, además, este suceso haya hecho que muchas personas se den cuenta de que si ciertos servicios de Google no están disponibles no pueden controlar el timbre de la puerta de su casa, la iluminación de una habitación o el funcionamiento de su aspirador.

Así, muchos se han llevado las manos a la cabeza observando los efectos que ha tenido para su productividad o para su vida cotidiana una caída de solo 45 minutos. ¿Qué hubiera sucedido si la caída hubiera durado horas o incluso días?

Y una reflexión algo más profunda

La aplicación Google Home sirve para controlar los ‘dispositivos inteligentes’ de la casa. Shutterstock / BigTunaOnline

No existe ningún servicio que pueda garantizar una disponibilidad del 100 %. La mayor parte de los ANS (Acuerdo de Nivel de Servicio o Service Level Agreement) de los servicios de Google, por ejemplo, suelen asegurar una disponibilidad de “tres nueves”. Es decir, la empresa garantiza que sus servicios estarán disponibles el 99,9 % del tiempo con la calidad de servicio adecuada, lo que implica como mucho 45 minutos de caída al mes.

Las caídas de servicio, con cualquier proveedor, suelen producirse por mantenimientos programados o no programados, pero también por problemas con suministros, catástrofes naturales o ciberataques. La mayor parte de proveedores emplean estrategias de alta disponibilidad para que estas circunstancias afecten lo menos posible a sus usuarios.

Esto implica monitorización constante, distribución multisitio en diferentes zonas geográficas, equilibrio de carga, redundancia a diferentes niveles, políticas de copia de seguridad, virtualización para reducir los tiempos de recuperación, etc. Todo ello encarece la operación de los proveedores, pero es la única forma de evitar impactos no deseados en los clientes por pérdidas de disponibilidad.

Hasta ahora hemos hablado de las responsabilidades de los proveedores, que deben velar por que se cumplan las condiciones comprometidas con sus usuarios. Pero ¿qué pueden hacer estos usuarios, qué parte de la responsabilidad recae sobre ellos? Para empezar, deben tener conexión a la red. Sin esta conexión, por mucho que los servicios estén disponibles, no se pueden utilizar.

Además, los usuarios deben valorar qué servicios son esenciales para ellos y si se pueden permitir pérdidas de disponibilidad como las que se recogen en las diferentes ANS de sus proveedores. A mí, como persona individual, no me afecta mucho no poder acceder a mi cuenta de correo electrónico una media de 45 minutos al mes. Pero a lo mejor sí que me afecta no poder entrar o salir de mi casa en 45 minutos cuando lo necesito.

De igual manera, puede que desde el punto de vista empresarial no me afecte excesivamente tener que retrasar una videollamada 45 minutos. Pero si un servicio que mi empresa provee depende de otro que se cae de media 45 minutos al mes y es algo que no puedo defender delante de mis clientes, tendré que buscar alternativas o no depender de ese servicio en exclusiva.

¿Qué podemos aprender de todo esto?

Nuestra dependencia de la tecnología como sociedad está, a estas alturas, fuera de toda discusión. Está en nuestras manos asumir esta dependencia y gestionarla adecuadamente.

A aquellas empresas tecnológicas que esta semana están criticando el paradigma cloud (el consumir toda la pila tecnológica como servicio), les pregunto: ¿son capaces de ofrecer esas mismas funcionalidades con soluciones propietarias y un 100 % de disponibilidad? ¿Serían capaces de ofrecer a las organizaciones sistemas in-house que funcionen siempre, 7 días a la semana y 24 horas al día sin ninguna interrupción? La respuesta es no.

A los que han cargado las tintas contra Google, les diría que el problema no es usar unos servicios u otros, todos tienen problemas de disponibilidad en algún momento. El asunto no tiene nada que ver con la ética ni con el modelo de negocio, estamos hablando de otra cosa: los imprevistos ocurren, hay apagones, se inundan las salas de servidores, se agota la cuota de disco duro de una máquina.

Tampoco se trata, en este caso, de exigir regulaciones antimonopolio. Estas leyes garantizan la competencia y un comercio justo, evitando abusos en la fijación de precios, etc. Pero estamos hablando de disponibilidad, ni más ni menos. No todo se arregla con nuevas leyes.

La culpa tampoco es del teletrabajo, como algunos se han aventurado a asegurar. Una falta de disponibilidad de los servicios de Google nos afecta casi igual en la oficina que trabajando en casa.

Por lo tanto, que no cunda el pánico. Si ayer todo quedó en una anécdota y en que su pausa del café fue unos minutos más larga de lo normal, no se preocupe más por el tema. Si, por el contrario, se echó a temblar porque le afectó de verdad o vislumbró lo que podía haber sido una catástrofe si la caída hubiera durado más, póngase manos a la obra. Revise sus ANS y la disponibilidad que comprometen, analice cómo se mide esa disponibilidad y planifique cómo tiene que responder en caso de nuevas contingencias en el futuro. Y por supuesto, no dependa de un único proveedor para todo lo esencial. Ni de Google ni de ningún otro; nadie es perfecto.


Marta Beltrán, Profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos. Se incorporó al área de Arquitectura y Tecnología de Computadores de la Universidad Rey Juan Carlos en el año 2001. Desde ese momento sus líneas de investigación principales han sido los sistemas distribuidos y la ciberseguridad, participando como investigadora o directora en más de 15 proyectos de investigación y publicando más de 50 trabajos de investigación nacionales e internacionales. Es IEEE Senior Member desde el año 2014 y co-inventora de una patente del año 2018 en el ámbito de la gestión de identidades y accesos. Es una de las pocas investigadoras españolas que ha participado en conferencias técnicas hacker como las BlackHat o las Defcon o en conferencias militares de seguridad como las ICC. Además es co-fundadora del Cybersecurity Cluster, representante de la universidad en la RENIC y dirige el MOOC de Ciberseguridad en la plataforma MiriadaX (con más de 20.000 alumnos en sus cuatro ediciones), el Grado en Ingeniería de la Ciberseguridad y el Máster en Ciberseguridad y Privacidad.

Contenido bajo Licencia Creative Commons

Sea el primero en desahogarse, comentando

Deje una respuesta

Tu dirección de correo no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.