El pasado viernes medio mundo se puso 'patas arriba' por una mera actualización de un software para Windows que no salió bien. Más de 8,5 millones de equipos informáticos que dependían directa o indirectamente de la plataforma Falcon de la empresa CrowdStrike se vinieron abajo, mostrando la temida pantalla azul de la muerte (BSOD).
Empresas e instituciones de todo tipo se vieron afectadas, pero también infraestructuras críticas, como aeropuertos u hospitales. Y todo, en plenas vacaciones. La caída masiva ya puede denominarse uno de los mayores problemas de ciberseguridad de este 2024. Nadie se esperaba esto de una de las herramientas de ciberseguridad más confiables.
"Crowdstrike es una de las soluciones más utilizadas a nivel mundial para proteger los sistemas frente a malware y ataques avanzados como el temido ransomware. En España, lo utilizan más de la mitad de las empresas del IBEX 35 y también está muy extendido en Administraciones Públicas, como ayuntamientos y gobiernos autonómicos", ha explicado para Escudo Digital Juan José Nombela, director del Máster en Ciberseguridad en UNIE Universidad.
"Crowdstrike es probablemente la protección más avanzada y su éxito se debe a que nunca ha sido vulnerada, siendo la única que ofrece una garantía económica en caso de que haya un ciberataque con éxito en un equipo protegido", añade el experto.
Falcon forma parte de las soluciones EDR (Endpoint Detection and Response). Opera como un pequeño programa 'sensor' que se encarga de recopilar información de los eventos relevantes que tienen lugar en el equipo y consolidar la información en todos los sensores en la nube del fabricante, según detallan desde UNIE Universidad. El sistema se sirve de inteligencia artificial y machine learning para aprender de forma continua y detectar cualquier amenaza potencial.
Microsoft utilizaba dicho driver y su fallo ha hecho inoperativo el sistema operativo Windows para una gran cantidad de compañías. Muchos clientes que tenían Azure, el servicio en la nube de los de Redmond, han sufrido sus consencuencias.
"La interrupción del servicio se debió a un defecto detectado en una actualización de contenido de Falcon para hosts de Windows. Los hosts de Mac y Linux no se vieron afectados. No se trató de un ciberataque", explicaba el CEO de CrowdStrike, George Kurtz, en un comunicado el viernes.
"CrowdStrike está funcionando con normalidad y este problema no afecta a nuestros sistemas de la plataforma Falcon. No hay impacto en la protección si el sensor Falcon está instalado. Los servicios Falcon Complete y Falcon OverWatch no se ven interrumpidos", añadía.
Más que un tirón de orejas para los de Redmond
En esta caída masiva ha habido grandes perjudicados, como la propia CrowdStrike, que sufrió un desplome en su cotización en bolsa de hasta un 14% el día del incidente. Solo el tiempo dirá si los inversores siguen apostando por la que hasta ahora era una de las herramientas de ciberseguridad más estables.
"La empresa ha sido transparente en todo momento y ha dado una respuesta efectiva en todos los países lo que dice mucho en su favor, pero ahora tendrá que afrontar la crisis reputacional y trabajar duro para mantener la confianza de los clientes", afirma Nombela.
El responsable cree que, pese a todo, Crowdstrike sigue siendo una de las soluciones "más avanzadas e inexpugnable hasta la fecha para los ciberdelincuentes" y no le cabe duda de que pondrán en marcha "todas las medidas necesarias para que esta situación no se repita".
Para Francisco Valencia, director general de la firma Secure & IT es "imperdonable" que una compañía que "solo hace ciberseguridad detenga el mundo. Un error puede tenerlo cualquiera, pero no una empresa de este tipo con el impacto tan sumamemente grave por algo tan burdo". Por ello, espera que las consecuencias para una compañía de ciberseguridad como CrowdStrike sean "graves y ejemplarizantes".
La empresa fundada por Bill Gates también se ha llevado gran parte de las críticas, por motivos obvios.
"Creo que esto es una lección para Microsoft en dos cosas. Así, les ha mostrado que sus propios controles de seguridad deben verse modificados. No en que la compañía se encargue de su propia seguridad, porque CrowdStrike es líder en esto y Microsoft lo es en la parte de sistemas, pero sí en la propia gestión del incidente. Este módulo intentaba hacer una zona de memoria que no era para CrowdStrike y la forma que tiene Microsoft de responder a este tipo de evento es bloqueándote el PC con el famoso pantallazo azul", desgrana Valencia.
"Por otro lado, en la parte que sí le toca de Azure, Microsoft tiene que considerar que una actualización no se implanta sin probarla. Antes debería haberla probado", añade.
Manuel Carpio es director de ciberseguridad de Armatum, una plataforma que ayuda a las organizaciones a obtener una valoración económica cuantitativa del riesgo cibernético. En su opinión, tampoco han obrado correctamente.
"Microsoft, al igual que otros grandes fabricantes de software, tiene establecido un protocolo de certificación de software desarrollado por terceros para sus plataformas. Para acelerar el proceso de certificación, se habían obviado ciertas comprobaciones", apostilla Carpio.
"Microsoft debería revisar sus procedimientos de testeo y control de calidad, para detectar y eliminar los “atajos” en dichos procedimientos que buscan otros fabricantes con el fin de reducir el 'Time-To-Market' de sus productos", aconseja.
Por su parte, el director del Máster en Ciberseguridad en UNIE Universidad manifiesta que "esto debe ser una lección para toda la industria" y no únicamente para Crowdstrike y Microsoft, ya que deben realizarse "pruebas más exhaustivas de interoperabilidad e implantarse mecanismos adicionales para que esto no vuelva a ocurrir".
"Aunque el fallo haya sido debido a una operación incorrecta por parte de Crowdstrike, Microsoft deberá controlar que ninguna operación de un programa de un tercero tire abajo su sistema operativo, del que dependemos millones de usuarios en todo el mundo y que utilizan multitud de sistemas críticos. Recordemos que los sistemas Mac y Linux no se han visto afectados y también reciben las actualizaciones regulares", recuerda el docente.
Cuándo se solucionará
Las soluciones que han probado los departamentos de TI han sido varias, como tratar de reiniciar el sistema o reiniciarlo en modo seguro. En este último se ha eliminado un archivo de los ordenadores afectados. El problema es que esta supresión se debe hacer equipo por equipo, con el consiguiente tiempo y esfuerzo que eso supone.
Muchas empresas y servicios afectados por el problema de Crowdstrike han tenido que volver a usar papel y lápiz para poder seguir estando operativos, aunque esto no ha podido evitar los retrasos en ciertas operaciones.
A unos días del fallo todavía son muchas las compañías que siguen sufriendo las consecuencias.
"La peor pesadilla es vernos obligados a actuar física y localmente sobre cada una de las máquinas, con un limitado equipo de soporte técnico. En una gran empresa, las pérdidas por indisponibilidad del personal operativo, amén de otras como el lucro cesante, o penalizaciones por incumplimientos de contratos, reclamaciones, etc., pueden ser abrumadoras", recuerda Carpio.
Francisco Valencia recuerda que el problema ha pillado en pleno julio, con el personal de muchas organizaciones de vacaciones y es posible que las empresas que habían cerrado "y se van a encontrar el pastel de que sus sistemas están parados cuando vuelvan". "El grueso de los servicios se levantaron durante el día o el día siguiente del fallo", indica
No obstante, para comprender las implicaciones reales de esta caída podrían pasar unos cuantos meses, según han indicado desde la agencia de calificación Standard & Poor´s. Sus analistas destacan que, tras un incidente de este tipo, los riesgos crediticios se elevan por la pérdida de ingresos y el daño a la reputación.
·"Es algo complicado de estimar", asevera Marc Rvero, Lead Security Researcher de la empresa de ciberseguridad Kaspersky. "Puede haber sistemas en productivo que a la hora de arrancar realicen ciertas variaciones que lleven su tiempo. Hay que contar también con cuánto tarde el fabricante de esta solución en arreglar el problema y que consecuencias ha traído a la cadena productiva un desastre de este tipo".
Qué pueden hacer las empresas en el futuro
Para muchos CTOs, CIOs y CISOs el fallo de Crowdstrike ha supuesto toda una lección. Carpio cree que hay muchas probabilidades de que el problema se repita en el futuro y eso las empresas no pueden impedirlo, pero considera que sí podrán mitigar sus consecuencias
"A ningún responsable de informática lo van a despedir en el futuro por elegir a Microsoft o a un responsable de seguridad por elegir Crowstrike. Sin embargo, estos responsables deberían revisar el análisis de riesgos que hacen de sus arquitecturas hw y sw para detectar puntos singulares de fallo y diversificar las tecnologías y los proveedores que las componen", sugiere.
"También deberían disponer de planes de continuidad de negocio con soluciones alternativas que permitan trabajar, aunque de forma degradada, manteniendo al menos los procesos críticos", concluye.
Desde Kaspersky aconsejan a las organizaciones que tengan claro cuál es su plan de actualización, de gestión de IT, que piensen cómo llevar a cabo un plan de recuperación ante desastres en caso de que un producto mayoritario que tienen instalado falle y, por último, que tengan alternativas para que el negocio continúe operando.
Por su parte, el director general de Secure & IT cree que hay una gran vulnerabilidad de sector debido a que "todos estamos confiando en las mismas cosas. Casi todas las compañías acaban estando o Amazon, o en Google, o en Microsoft, lo que ha hecho que afecte al 30% del mercado". Esto también se extendería a fabricantes de antivirus. "Al final CrowdStrike tiene una cuota de mercado bastante importante, superando el 20%, y un impacto suyo impacta de una forma gorda en todas las compañías".