¿Qué ocurre cuando una empresa compra a otra? La pregunta parece sacada de un libro de administración de empresas y a simple vista no parece quizás guardar tanta relación con el tema de esta página, pero, justamente, quienes desarrollan y hacen tecnología son empresas que se rigen por los mismos principios de negocios que aplican a cualquier organización en cualquier industria, por tanto es algo que vale la pena conocer para entender el por qué de algunas cosas que se dan en el presente y a futuro.
Veamos. Cuando una empresa compra a otra usualmente se habla de fusión, pero muchas veces lo que se da en la práctica es una absorción de recursos y activos que no siempre toma en cuenta las posibles consecuencias a futuro, dándose así las condiciones para problemas imprevistos más adelante en el tiempo. Un ejemplo clásico de esto en el ámbito tecnológico son los hallazgos de vulnerabilidades o fallos “heredados” de código o software absorbido como parte de una adquisición, situación que da pie a dolores de cabeza y escenarios dignos de una pesadilla.
Lo descrito en el párrafo anterior ocurre con más frecuencia de lo imaginado, y, en efecto, una situación crítica se está dando en la actualidad con equipos médicos, de monitoreo y afines en Estados Unidos por culpa de un viejo protocolo de redes desarrollado dos décadas atrás -IPnet- que forma parte al día de hoy de sistemas operativos como VxWorks.
VxWorks es un sistema operativo en tiempo real desarrollado por Wind River Systems, compañía que en 2006 adquirió a la sueca Interpeak, la responsable de haber desarrollado el protocolo IPnet en primer lugar, el cual fue absorbido como parte del proceso.
Disuelta Interpeak, se terminó el soporte para IPnet, quedando como legado un conjunto de vulnerabilidades conocidas como Urgent/11 que hoy se manifiestan en equipos médicos a lo largo de varios hospitales, sin tenerse una idea exacta del alcance.
Tan crítico es el tema de Urgent/11 y su vínculo por vía de IPnet que han intervenido el Departamento de Seguridad Nacional y la agencia de medicamentos y alimentos (FDA) en el caso junto con compañías de seguridad y de sistemas operativos en tiempo real.
Equipos que implementan VxWorks no son los únicos afectados por las vulnerabilidades no resueltas en IPnet: cualquiera que en alguna ocasión haya aplicado este protocolo, sin importar el fabricante o el sistema operativo en uso, podría estar presentando problemas. Es un problema en el ámbito tecnológico el actualizar protocolos, programas y demás sobre una base anterior, y esto es lo que se está viendo en la actualidad a nivel médico.
La situación con Urgent/11 y los remanentes de IPnet sirve igualmente de recordatorio de los riesgos de tanta tecnología implemetada: equipos médicos conectados, descritos usualmente como “inteligentes” por sus capacidades de comunicación y monitoreo en tiempo real, pueden convertirse en un arma letal para el paciente si algún agente externo logra identificar vulnerabilidades explotables, de ahí que se hagan demostraciones frecuentes de este tipo en convenciones y conferencias de hackers del tipo “white hat” o “sombrero blanco”.