Un corte ha afectado a computadoras alrededor del mundo, impactando a aerolíneas, hospitales, minoristas y otros negocios. Entonces, ¿cómo sucedió eso?
En el centro de todo, ha habido dos problemas sucesivos rápidos que involucran sistemas ampliamente utilizados de Microsoft, y algunos usuarios podrían haber sido afectados por ambos.
El jueves, algunos clientes de Microsoft en el centro de Estados Unidos, incluyendo algunas aerolíneas, se vieron afectados por un corte en su sistema de servicio en la nube, Azure. La página de estado del servicio en la nube de Microsoft indicó que la empresa había identificado una causa preliminar.
Algunos usuarios todavía podrían no poder acceder a ciertas aplicaciones y servicios de Microsoft 365, incluyendo la videoconferencia de Teams. La empresa era consciente del problema “afectando a un subconjunto de clientes”, dijo un representante de Microsoft en un comunicado. “Reconocemos el impacto que esto puede tener en los clientes, y estamos trabajando para restaurar los servicios para aquellos que aún experimentan interrupciones lo más rápido posible”.
Por separado, el viernes muchos dispositivos con Windows experimentaron problemas con CrowdStrike, según la página de estado de Azure. “Somos conscientes de un problema que afecta a los dispositivos con Windows debido a una actualización de una plataforma de software de terceros,” dijo el representante. “Anticipamos que una solución está en camino”.
Ese corte fue causado por una actualización de seguridad defectuosa por parte de CrowdStrike. George Kurtz, el director ejecutivo de la empresa, dijo en un comunicado que estaban “trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para anfitriones de Windows”. Añadió: “Esto no es un incidente de seguridad ni un ciberataque. El problema ha sido identificado, aislado y se ha implementado una solución”.
El problema parecía estar relacionado con una actualización del software de CrowdStrike llamado Falcon Sensor, según Lukasz Olejnik, un investigador y consultor independiente en ciberseguridad. Una versión actualizada del software ha sido enviada a las computadoras, pero el Sr. Olejnik dijo que las interrupciones probablemente persistirían debido a que no estaba claro cómo solucionar los grandes números de computadoras que ya se habían visto afectadas.
Una gran parte del problema está en la solución sugerida actualmente, que es reiniciar manualmente cada computadora en modo seguro, eliminar un archivo específico y luego reiniciar la computadora normalmente. Los expertos en seguridad dijeron que si bien es un proceso relativamente sencillo, no hay forma de automatizarlo a gran escala.
“Hay una solución alternativa, pero requiere modificar manualmente los archivos del sistema de Windows en modo de recuperación”, dijo el Sr. Olejnik. “Tal práctica no se suele recomendar normalmente, ya que los errores pueden causar otros problemas”.
Eso deja a las organizaciones afectadas con un dilema importante: cómo buscar a un gran número de profesionales cualificados para revisar y actualizar las computadoras una por una. Podría significar que incluso con el problema conocido y un parche enviado, las interrupciones del sistema podrían persistir durante gran parte del día, si no más, según expertos. Aquellos con equipos de tecnología de la información organizados y bien dotados de personal podrían potencialmente solucionarlo más rápidamente, dijo el Sr. Olejnik.
Aunque puede parecer contraintuitivo que una sola actualización defectuosa pueda tener consecuencias tan devastadoras, un problema importante era que el software que se estaba actualizando desempeñaba tareas críticas de ciberseguridad. El software Falcon Sensor de CrowdStrike, en el centro de las interrupciones, escanea computadoras en busca de virus y otros ataques maliciosos.
“Una de las partes complicadas del software de seguridad es que necesita tener privilegios absolutos sobre toda tu computadora para hacer su trabajo”, dijo Thomas Parenty, un consultor de ciberseguridad y ex analista de la Agencia de Seguridad Nacional.
“Así que si hay algo mal con él, las consecuencias son mucho mayores que si tu hoja de cálculo no funciona”.
No está claro si el corte inicial de Microsoft Azure fue coincidente o si estaba relacionado con las caídas causadas por la actualización de CrowdStrike, pero los expertos en seguridad dijeron que era posible. Lo más probable es que si las dos están relacionadas, sería porque la actualización de CrowdStrike afectó a las computadoras responsables de ejecutar Azure, desencadenando su apagado.
“Si intentara pensar en un vínculo causal entre los dos, podría ser que los sistemas necesarios para la conexión a Azure fueron inicialmente afectados por el problema particular de CrowdStrike, lo que hizo que el servicio no estuviera disponible”, dijo el Sr. Parenty.
Los cortes, que cerraron aerolíneas, hospitales y servicios de respuesta de emergencia en todo el mundo, indican cuán delicados pueden ser los sistemas tecnológicos cuando son tan interdependientes.
“Esto es una ilustración muy, muy incómoda de la fragilidad de la infraestructura básica de internet del mundo”, dijo Ciaran Martin, el ex jefe del Centro Nacional de Seguridad Cibernética de Gran Bretaña, que ahora es profesor en la Escuela de Gobierno Blavatnik de la Universidad de Oxford.
También subraya una realidad incómoda de que las empresas de software enfrentan pocas responsabilidades por cortes importantes e incidentes de ciberseguridad. Las sanciones económicas y legales por tales cortes masivos pueden ser tan mínimas que las empresas no están motivadas para hacer cambios más fundamentales.
“Hasta que las empresas de software tengan que pagar un precio por productos defectuosos, no estaremos más seguros mañana de lo que estamos hoy,” dijo.