Los expertos en seguridad afirmaron que la actualización rutinaria de CrowdStrike de su software de ciberseguridad ampliamente utilizado, que causó que los sistemas informáticos de los clientes colapsaran en todo el mundo el viernes, aparentemente no se sometió a controles de calidad adecuados antes de su implementación.
La última versión de su software de sensor Falcon estaba destinada a hacer que los sistemas de los clientes de CrowdStrike fueran más seguros contra la piratería al actualizar las amenazas contra las que defiende, pero el código defectuoso en los archivos de actualización resultó en una de las interrupciones tecnológicas más generalizadas en los últimos años para las empresas que usan el sistema operativo Windows de Microsoft.
Los bancos globales, las aerolíneas, los hospitales y las oficinas gubernamentales se vieron afectados. CrowdStrike publicó información para reparar los sistemas afectados, pero los expertos dijeron que volver a ponerlos en línea llevaría tiempo, ya que requería eliminar manualmente el código defectuoso.
“Lo que parece es que, potencialmente, la verificación o el sandbox que hacen cuando miran el código, tal vez de alguna manera este archivo no se incluyó en eso o se coló”, afirmó Steve Cobb, director de seguridad de Security Scorecard, que también tuvo algunos sistemas afectados por el problema.
Los problemas salieron a la luz rápidamente después de que se lanzara la actualización el viernes, y los usuarios publicaron fotos en las redes sociales de computadoras con pantallas azules que mostraban mensajes de error. Estas pantallas se conocen en la industria como “pantallas azules de la muerte”.
Patrick Wardle, un investigador de seguridad que se especializa en estudiar amenazas contra sistemas operativos, dijo que su análisis identificó el código responsable de la interrupción.
Te interesa: Advierten que clientes pueden replantear su dependencia a CrowdStrike tras caos
Un error en actualización de CrowdStrike ocasionó apagón informático
El problema de la actualización estaba “en un archivo que contiene información de configuración o firmas”, señaló. Dichas firmas son códigos que detectan tipos específicos de código malicioso o malware.
“Es muy común que los productos de seguridad actualicen sus firmas, como una vez al día… porque están monitoreando continuamente para detectar nuevo malware y porque quieren asegurarse de que sus clientes estén protegidos de las últimas amenazas”, dijo.
La frecuencia de las actualizaciones “es probablemente la razón por la que (CrowdStrike) no lo probó tanto”, dijo.
No está claro cómo ese código defectuoso llegó a la actualización y por qué no se detectó antes de ser lanzado a los clientes.
“Lo ideal sería que esto se hubiera implementado primero en un grupo limitado de usuarios”, dijo John Hammond, investigador principal de seguridad en Huntress Labs. “Es una estrategia más segura para evitar un desastre tan grande como este”.
Otras empresas de seguridad han tenido episodios similares en el pasado. La actualización del antivirus con errores de McAfee en 2010 paralizó cientos de miles de computadoras.
Pero el impacto global de esta interrupción refleja el dominio de CrowdStrike. Más de la mitad de las empresas de Fortune 500 y muchos organismos gubernamentales, como la propia agencia de ciberseguridad más importante de Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad, utilizan el software de la empresa.
Con información de Reuters
