Una vista general desde el Aeropuerto de Dusseldorf mientras los pasajeros se reúnen y esperan debido a la interrupción global de comunicaciones causada por CrowdStrike, que proporciona servicios de ciberseguridad a la empresa tecnológica estadounidense Microsoft, el 19 de julio de 2024 en Dusseldorf, Alemania.
Hesham Elsherif | Anadolu | Getty Images
Expertos en seguridad dijeron que la actualización rutinaria de su software de ciberseguridad ampliamente utilizado por CrowdStrike, que causó que los sistemas informáticos de los clientes se bloquearan a nivel mundial el viernes, aparentemente no pasó por controles de calidad adecuados antes de ser implementado.
La última versión de su software Falcon Sensor pretendía hacer que los sistemas de los clientes de CrowdStrike fueran más seguros contra los hackeos al actualizar las amenazas a las que se defiende. Pero un código defectuoso en los archivos de actualización resultó en una de las interrupciones tecnológicas más extendidas en los últimos años para las empresas que utilizan el sistema operativo Windows de Microsoft.
Bancos globales, compañías aéreas, hospitales y oficinas gubernamentales se vieron afectados. CrowdStrike lanzó información para solucionar los sistemas afectados, pero los expertos dijeron que ponerlos en línea llevaría tiempo ya que requería eliminar manualmente el código defectuoso.
“Lo que parece es que, potencialmente, la evaluación o la prueba de códigos que hacen, de alguna manera este archivo no fue incluido en eso o se les pasó,” dijo Steve Cobb, oficial jefe de seguridad de Security Scorecard, que también tuvo algunos sistemas impactados por el problema.
Los problemas salieron a la luz rápidamente después de que se implementara la actualización el viernes, y los usuarios publicaron imágenes en redes sociales de computadoras con pantallas azules mostrando mensajes de error. Estos son conocidos en la industria como “pantallas azules de la muerte.”
Patrick Wardle, un investigador de seguridad que se especializa en estudiar amenazas contra sistemas operativos, dijo que su análisis identificó el código responsable de la interrupción.
El problema de la actualización estaba “en un archivo que contiene información de configuración o firmas,” dijo. Dichas firmas son códigos que detectan tipos específicos de códigos maliciosos o malware.
“Es muy común que los productos de seguridad actualicen sus firmas, como una vez al día… porque están monitoreando continuamente nuevos malware y porque quieren asegurarse de que sus clientes estén protegidos de las últimas amenazas,” dijo.
La frecuencia de actualizaciones “es probablemente la razón por la cual (CrowdStrike) no lo probó tanto,” dijo.
No está claro cómo ese código defectuoso ingresó en la actualización y por qué no fue detectado antes de ser lanzado a los clientes.
“Idealmente, esto se habría implementado primero en un grupo limitado,” dijo John Hammond, investigador de seguridad principal en Huntress Labs. “Esa es un enfoque más seguro para evitar un gran problema como este.”
Otras compañías de seguridad han tenido episodios similares en el pasado. La actualización defectuosa del antivirus de McAfee en 2010 paralizó cientos de miles de computadoras.
Pero el impacto global de esta interrupción refleja la dominancia de CrowdStrike. Más de la mitad de las compañías Fortune 500 y muchos organismos gubernamentales como la principal agencia de ciberseguridad de EE. UU., la Agencia de Seguridad de Ciberseguridad e Infraestructura, utilizan el software de la compañía.