Este artículo se ha publicado originalmente en The Conversation y está escrito por Marta Beltrán, profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad de la Universidad Rey Juan Carlos.
La mayor parte de los usuarios de tecnología relacionan la ciberseguridad con el secreto: un sistema o servicio es seguro si sus datos no pueden ser accedidos por terceros. Pero la ciberseguridad implica la protección de tres aspectos (la famosa tríada). La confidencialidad es uno de ellos, por supuesto; pero también hay que garantizar niveles adecuados de integridad y de disponibilidad.
Este último aspecto suele ser el gran olvidado hasta que llega ese día en el que nadie puede acceder a los servicios de Google.
¿Qué sabemos de la caída de los servicios de Google?
El 14 de diciembre, las redes sociales y los medios de comunicación se hacían eco de un hecho inusual que había afectado, en mayor o menor medida, a prácticamente todos los usuarios de tecnología: Google parecía estar caído y sus usuarios no podían acceder a la mayor parte de sus servicios.
Este tipo de caídas afectan a los usuarios, que no pueden acceder a su correo de Gmail, a sus ficheros en Drive, a su Calendar o ver vídeos en YouTube. Pero en las actuales circunstancias, con medio planeta atendiendo a clases online (en muchos casos gracias a la plataforma de Google) y teletrabajando (gracias también a servicios de Google, muchas empresas confían en Google Workspace), el impacto de este tipo de caída es mucho mayor.
¿Le gusta lo que lee? ¿Quiere más?
Cada minuto que Google está caído, muchas personas no pueden realizar ni las tareas más básicas que tienen encomendadas en el trabajo o los estudios, ya que la mayor parte utiliza los servicios del gigante tecnológico. Estas pérdidas de productividad pueden traducirse en enormes pérdidas económicas.
Por fortuna, el problema duró aproximadamente 45 minutos y pudimos comprobar que afectaba a los servicios que necesitaban autenticación, es decir, que exigían al usuario iniciar sesión con su cuenta de Google. Navegando en modo incógnito y sin iniciar sesión, los servicios de Google seguían funcionando.
De hecho, la compañía anunció mediante un breve comunicado que se trataba de un problema con su sistema Google OAuth (más o menos, admitieron que se habían quedado sin espacio en sus sistemas de almacenamiento). Creída esta breve explicación o no, todo volvió a la normalidad. Aunque con mucho revuelo y alarmismo por parte de algunos.
Las primeras reacciones
La caída no ha hecho más que confirmar lo que en el fondo ya sabíamos. Si hace unos años Google dejaba de funcionar, eso implicaba tener que cambiar de buscador durante un tiempo y poco más. Con más alternativas disponibles, los usuarios de internet hubieran utilizado otro buscador para acceder a los contenidos deseados.
Pero el panorama actual es completamente diferente. Google sobrepasa con creces los mil millones de usuarios. Y estos usuarios dependen de la compañía, y de la cuenta que tienen en ella, para la mayor parte de las tareas que realizan online, que hoy en día son muchas y muy variadas. Y en algunos casos, esenciales.
Es curioso que, además, este suceso haya hecho que muchas personas se den cuenta de que si ciertos servicios de Google no están disponibles no pueden controlar el timbre de la puerta de su casa, la iluminación de una habitación o el funcionamiento de su aspirador.
Así, muchos se han llevado las manos a la cabeza observando los efectos que ha tenido para su productividad o para su vida cotidiana una caída de solo 45 minutos. ¿Qué hubiera sucedido si la caída hubiera durado horas o incluso días?
Y una reflexión algo más profunda
No existe ningún servicio que pueda garantizar una disponibilidad del 100 %. La mayor parte de los ANS (Acuerdo de Nivel de Servicio o Service Level Agreement) de los servicios de Google, por ejemplo, suelen asegurar una disponibilidad de “tres nueves”. Es decir, la empresa garantiza que sus servicios estarán disponibles el 99,9 % del tiempo con la calidad de servicio adecuada, lo que implica como mucho 45 minutos de caída al mes.
Las caídas de servicio, con cualquier proveedor, suelen producirse por mantenimientos programados o no programados, pero también por problemas con suministros, catástrofes naturales o ciberataques. La mayor parte de proveedores emplean estrategias de alta disponibilidad para que estas circunstancias afecten lo menos posible a sus usuarios.
Esto implica monitorización constante, distribución multisitio en diferentes zonas geográficas, equilibrio de carga, redundancia a diferentes niveles, políticas de copia de seguridad, virtualización para reducir los tiempos de recuperación, etc. Todo ello encarece la operación de los proveedores, pero es la única forma de evitar impactos no deseados en los clientes por pérdidas de disponibilidad.
Hasta ahora hemos hablado de las responsabilidades de los proveedores, que deben velar por que se cumplan las condiciones comprometidas con sus usuarios. Pero ¿qué pueden hacer estos usuarios, qué parte de la responsabilidad recae sobre ellos? Para empezar, deben tener conexión a la red. Sin esta conexión, por mucho que los servicios estén disponibles, no se pueden utilizar.
Además, los usuarios deben valorar qué servicios son esenciales para ellos y si se pueden permitir pérdidas de disponibilidad como las que se recogen en las diferentes ANS de sus proveedores. A mí, como persona individual, no me afecta mucho no poder acceder a mi cuenta de correo electrónico una media de 45 minutos al mes. Pero a lo mejor sí que me afecta no poder entrar o salir de mi casa en 45 minutos cuando lo necesito.
De igual manera, puede que desde el punto de vista empresarial no me afecte excesivamente tener que retrasar una videollamada 45 minutos. Pero si un servicio que mi empresa provee depende de otro que se cae de media 45 minutos al mes y es algo que no puedo defender delante de mis clientes, tendré que buscar alternativas o no depender de ese servicio en exclusiva.
¿Qué podemos aprender de todo esto?
Nuestra dependencia de la tecnología como sociedad está, a estas alturas, fuera de toda discusión. Está en nuestras manos asumir esta dependencia y gestionarla adecuadamente.
A aquellas empresas tecnológicas que esta semana están criticando el paradigma cloud (el consumir toda la pila tecnológica como servicio), les pregunto: ¿son capaces de ofrecer esas mismas funcionalidades con soluciones propietarias y un 100 % de disponibilidad? ¿Serían capaces de ofrecer a las organizaciones sistemas in-house que funcionen siempre, 7 días a la semana y 24 horas al día sin ninguna interrupción? La respuesta es no.
A los que han cargado las tintas contra Google, les diría que el problema no es usar unos servicios u otros, todos tienen problemas de disponibilidad en algún momento. El asunto no tiene nada que ver con la ética ni con el modelo de negocio, estamos hablando de otra cosa: los imprevistos ocurren, hay apagones, se inundan las salas de servidores, se agota la cuota de disco duro de una máquina.
Tampoco se trata, en este caso, de exigir regulaciones antimonopolio. Estas leyes garantizan la competencia y un comercio justo, evitando abusos en la fijación de precios, etc. Pero estamos hablando de disponibilidad, ni más ni menos. No todo se arregla con nuevas leyes.
La culpa tampoco es del teletrabajo, como algunos se han aventurado a asegurar. Una falta de disponibilidad de los servicios de Google nos afecta casi igual en la oficina que trabajando en casa.
Por lo tanto, que no cunda el pánico. Si ayer todo quedó en una anécdota y en que su pausa del café fue unos minutos más larga de lo normal, no se preocupe más por el tema. Si, por el contrario, se echó a temblar porque le afectó de verdad o vislumbró lo que podía haber sido una catástrofe si la caída hubiera durado más, póngase manos a la obra. Revise sus ANS y la disponibilidad que comprometen, analice cómo se mide esa disponibilidad y planifique cómo tiene que responder en caso de nuevas contingencias en el futuro. Y por supuesto, no dependa de un único proveedor para todo lo esencial. Ni de Google ni de ningún otro; nadie es perfecto.
Primera fecha de publicación de este artículo: 16/12/2020.