En cuestión de semanas, AWS y Cloudflare se cayeron y arrastraron con ellos a buena parte de internet. Me apoyé en un análisis con IA para entender de verdad qué falló en cada caso, y debajo de los detalles técnicos encontré el mismo patrón que ya había visto con CrowdStrike: no fueron ataques, fueron cambios pequeños que se propagaron sin freno por sistemas que asumíamos sólidos. La lección no es sobre DNS ni sobre archivos de configuración. Es sobre cuánto dependemos de cuán poco, y sobre lo poco que aprendemos entre un apagón y el siguiente.
El software moderno se construye sobre una montaña de confianza implícita: confiamos en miles de paquetes que nunca leímos, escritos por gente que no conocemos. Esa confianza es lo que nos permite avanzar rápido, y también lo que un atacante puede convertir en arma. Lo que pasó en npm este mes no es solo un problema de seguridad: es un recordatorio incómodo sobre las dependencias que aceptamos sin pensar.
Toda organización conoce sus dependencias visibles: la base de datos, la nube, el sistema de pagos. El problema son las invisibles, las que nadie anotó en ningún diagrama y que descubrimos recién cuando se caen. Mapearlas no es una tarea técnica más: es la base de cualquier resiliencia real, porque no se puede proteger ni recuperar lo que no se conoce.