Los accionistas de CrowdStrike han presentado una demanda en los Estados Unidos en la que afirman que la empresa de seguridad cibernética hizo representaciones materialmente falsas y engañosas sobre la integridad de su tecnología. También afirman que CrowdStrike los defraudó al encubrir que una atención inadecuada a las pruebas de software podría causar el incidente del 19 de julio en el que millones de computadoras colapsaron en todo el mundo.
Según los hechos actualmente conocidos de la investigación, la interrupción fue causada por una actualización defectuosa del sensor de respuesta y detección administrada (MDR) de CrowdStrike Falcon cuyo lanzamiento fue autorizado por un validador de contenido automático con errores. Cuando afectó a sistemas Windows susceptibles, provocó una condición de memoria fuera de los límites que provocó un bloqueo fatal.
Como resultado de los accidentes que afectaron a más de ocho millones de computadoras, organizaciones de diversos sectores, incluidos la aviación, la educación, los servicios financieros, la atención médica y el comercio minorista, vieron sus operaciones interrumpidas, y las aerolíneas –particularmente Delta Air Lines en los EE.UU.– se vieron muy afectadas.
La firma de seguros Parametrix estima que sólo las compañías Fortune 500 perderán más de 5.400 millones de dólares, y el incidente puede costar más de 15.000 millones de dólares si se tienen en cuenta los demás.
En la presentación, presentada ante el Tribunal de Distrito de EE. UU. para el Distrito Oeste de Texas en Austin, la Asociación de Jubilación del Condado de Plymouth, proveedora de pensiones y beneficios con sede en Massachusetts, representada por el bufete de abogados de Nueva York Labaton Keller Sucharow, acusa a los demandados, entre los que se encuentra el director ejecutivo de CrowdStrike. George Kurtz y otros, de promocionar repetidamente la eficacia de su plataforma Falcon mientras aseguraban a los inversores que estaba completamente “validada, probada y certificada” en una convocatoria de resultados de marzo de 2024.
La denuncia del fondo alega que estas declaraciones fueron falsas y engañosas porque no revelaron que CrowdStrike había instituido “controles deficientes” en el procedimiento de actualización de Falcon y no los estaba probando adecuadamente antes de implementarlos.
La demanda sostiene además que estas pruebas de software “inadecuadas” causaron un riesgo sustancial de que una actualización de Falcon pudiera causar una interrupción grave del tipo observada en julio, y que estas interrupciones podrían crear, y crearon, “un daño sustancial a la reputación y un riesgo legal”.
En última instancia, dice el demandante, esto llevó a que las acciones de CrowdStrike, que han recibido un duro golpe en los mercados globales, se negociaran a “precios artificialmente altos”.
En una declaración a los medios, un portavoz de CrowdStrike dijo: “Creemos que el caso carece de mérito y defenderemos enérgicamente a la empresa”.
Jefe de Delta: no tenemos más remedio que demandar
Mientras tanto, otros, incluido Delta, también están iniciando casos legales contra CrowdStrike a raíz del incidente. Delta ha contratado al abogado estrella David Boies, quien anteriormente luchó contra Microsoft en un caso antimonopolio en la década de 1990, y sirvió como abogado principal del ex vicepresidente Al Gore en impugnaciones al recuento de votos de 2000 en Florida.
En declaraciones a la cadena estadounidense CNBC el 31 de julio, el director general de Delta, Ed Bastian, dijo que todos sus sistemas ya estaban funcionando, pero que la experiencia había sido “terrible” y volvió a disculparse con los pasajeros afectados, entre los que se encontraban atletas estadounidenses que se dirigían a los Juegos Olímpicos de París, y el personal.
“Estamos pesados con ambos [Microsoft and CrowdStrike]. Somos, con diferencia, los más pesados del sector con ambos, por lo que fuimos los más afectados en términos de capacidad de recuperación”, afirmó Bastian.
Bastian dijo que como CrowdStrike y Microsoft compiten en el campo de la seguridad cibernética, no se asocian tan eficazmente como los clientes comunes podrían esperar, y que el incidente había sido un llamado a las organizaciones para que mantuvieran a las empresas de tecnología en pie de guerra en términos de cooperación responsable.
“Esto nos costó 500 millones de dólares”, dijo, y agregó que Delta “no tuvo más remedio” que demandar, citando gastos significativos todos los días durante casi una semana para compensar y proporcionar alojamiento temporal en hoteles a miles de pasajeros varados.
“Si vas a tener acceso prioritario al ecosistema de Delta en términos de tecnología, debes probarlo. No se puede entrar en una operación de misión crítica 24 horas al día, 7 días a la semana y decirnos que tenemos un error y que no funciona”, dijo.