Muchos negocios probablemente tardarán días o incluso semanas en recuperarse por completo de la interrupción informática sin precedentes del viernes, advirtieron expertos en TI, después de que una actualización defectuosa del software de la empresa en la que confiaban para asegurar sus sistemas causara una gran interrupción global.
CrowdStrike, uno de los mayores proveedores de seguridad del mundo, culpó a una actualización de su software Falcon por un error que afectó incontables PC y servidores con Windows, dejando en tierra aviones, posponiendo citas en hospitales y sacando del aire a emisoras de todo el mundo.
Las interrupciones fueron aún más impactantes dado la fuerte reputación de CrowdStrike como la primera línea de defensa de muchas empresas contra ataques cibernéticos, según analistas.
“Esta es la primera vez que un agente de seguridad ampliamente desplegado, diseñado para proteger máquinas, en realidad las está haciendo fallar”, dijo Neil MacDonald, analista de la consultora de TI Gartner.
El único remedio para los usuarios de Windows afectados por el error de la “pantalla azul de la muerte” implica reiniciar la computadora y borrar manualmente la actualización defectuosa de archivo de CrowdStrike, lo que requiere acceso manual a cada dispositivo.
Esto significa que podría llevar días o semanas aplicarlo en empresas con miles de máquinas con Windows o escasez de trabajadores de TI para administrar el cambio, dicen los expertos.
“Parece que millones de computadoras van a tener que ser arregladas a mano”, dijo Mikko Hyppönen, director de investigación de WithSecure, una empresa de ciberseguridad.
“Las máquinas más críticas como la computadora portátil del CEO ya están arregladas, pero para el ciudadano medio en finanzas tomará un tiempo hasta que alguien venga a arreglar su computadora portátil”.
Exacerbando el impacto de su error está la escala y la naturaleza de alto perfil de muchos de los usuarios de CrowdStrike.
La compañía con sede en Austin, Texas, dijo que tenía más de 29,000 clientes empresariales a fines de 2023, y ha afirmado en material de marketing que su software es utilizado por más de la mitad de las empresas Fortune 500.
“A pesar de [CrowdStrike] siendo realmente una empresa bastante grande, la idea de que cerraría el mundo es extraordinaria”, dijo Marshall Lux, miembro visitante de la Escuela de Negocios McDonough de la Universidad de Georgetown.
El efecto global que se ha producido ilustra “la interconectividad de todas estas cosas” y “el riesgo de concentración en este mercado”, agregó Lux.
Los proveedores de software “claramente se han vuelto tan grandes y tan interconectados” que sus fallas pueden dañar el sistema económico global, escribió la analista de Citi Fatima Boolani en una nota a los clientes. Esto podría atraer un mayor escrutinio político y regulatorio.
Gartner estima que la participación de los ingresos de CrowdStrike en el mercado mundial de seguridad de dispositivos finales empresariales -que implica escanear PC, teléfonos y otros dispositivos en busca de ciberataques- es más del doble que la de sus tres rivales más cercanos: Trellix, Trend Micro y Sophos. Solo Microsoft es más grande.
En la última conferencia de ganancias de CrowdStrike en junio, el director ejecutivo George Kurtz dijo que había “una crisis generalizada de confianza entre los equipos de seguridad y TI dentro de la base de clientes de seguridad de Microsoft” después de una serie de ciberincidentes de alto perfil que afectaron al gigante de la tecnología.
CrowdStrike, fundada en 2011, dijo que se produjo un aumento de la demanda después de que Microsoft dijera a principios de este año que sus sistemas habían sido comprometidos por piratas informáticos patrocinados por el estado.
En mayo lanzaron un producto diseñado para funcionar junto a la herramienta de protección antivirus Defender de Microsoft.
El viernes, mientras Kurtz se disculpaba con los clientes de CrowdStrike, enfatizó que el incidente “no fue un ataque cibernético” e insistió en que los clientes de CrowdStrike “permanecen completamente protegidos”.
Pero los investigadores de seguridad advirtieron que los estafadores podrían aprovechar el caos para suplantar a agentes de Microsoft o CrowdStrike para estafas de phishing.
“Vemos que esto sucede con cada incidente cibernético importante que está en las noticias”, dijo Vasileios Karagiannopoulos, profesor asociado de delitos cibernéticos y ciberseguridad en la Universidad de Portsmouth.
La firma de ciberseguridad Secureworks dijo que sus investigadores habían observado varias nuevas registraciones de dominios temáticos de CrowdStrike en horas posteriores al incidente, muy probablemente por criminales que buscan engañar a los clientes de la empresa.
Evitar el tipo de error que causó las interrupciones del viernes era “una cuestión de pruebas”, dijo Ian Batten, profesor en la Escuela de Ciencias de la Computación de la Universidad de Birmingham. En este caso parecía que alguien simplemente “había cometido un error en un fragmento de código”, agregó.
Empresas como CrowdStrike están bajo presión para implementar nuevas actualizaciones de seguridad lo más rápido posible para defenderse contra los últimos ciberataques.
“Hay un equilibrio aquí entre la rapidez para asegurar que los sistemas estén protegidos contra nuevas amenazas y la debida diligencia realizada para proteger la resiliencia del sistema y evitar que ocurran incidentes como este”, dijo Adam Leon Smith, miembro de la British Computer Society, un organismo profesional de TI.
El daño causado por la actualización de software defectuosa de esta semana “podría llevar días y semanas” repararse, dijo.