Una actualización de CrowdStrike hizo que las computadoras de todo el mundo entraran en una espiral de reinicio mortal, colapsando el transporte aéreo, los hospitales, los bancos y mucho más. ¿Por qué?
Muy pocas veces en la historia un único fragmento de código ha conseguido congelar instantáneamente sistemas informáticos en todo el mundo. El gusano Slammer de 2003, el ciberataque ruso NotPetya dirigido a Ucrania, el ransomware WannaCry de Corea del Norte. Pero la catástrofe digital en curso que sacudió Internet y la infraestructura de TI en todo el mundo en las últimas 12 horas parece no parece que fue por códigos maliciosos de piratas informáticos, sino por el mismo software diseñado para detenerlos.
Caída de Microsoft deja fuera de servicio computadoras en todo el mundo
Una actualización de software de la empresa de ciberseguridad CrowdStrike parece haber interrumpido accidentalmente los sistemas informáticos. Aerolíneas, bancos y hasta canales de televisión están siendo afectados por el fallo.
Dos desastres en la infraestructura de Internet colisionaron el viernes para producir interrupciones en todo el mundo en aeropuertos, sistemas ferroviarios, bancos, organizaciones sanitarias, hoteles, cadenas de televisión y mucho más. El jueves por la noche, Azure, la plataforma en la nube de Microsoft, sufrió un apagón generalizado. El viernes por la mañana, la situación se convirtió en una tormenta perfecta cuando la empresa de seguridad CrowdStrike publicó una actualización de software defectuosa que hizo que los ordenadores con Windows entraran en una espiral de reinicios catastróficos. Un portavoz de Microsoft dice a WIRED que los dos fallos informáticos no están relacionados.
La causa de uno de esos dos desastres, al menos, ha quedado clara: un código defectuoso distribuido como actualización del producto de monitorización Falcon de CrowdStrike, básicamente una plataforma antivirus que funciona con acceso profundo al sistema en “puntos finales” como portátiles, servidores y routers para detectar malware y actividad sospechosa que indique un peligro. Falcon requiere permiso para actualizarse automática y regularmente, ya que CrowdStrike añade constantemente detecciones al sistema para defenderse de amenazas nuevas y en evolución. Sin embargo, el inconveniente de este acuerdo es el riesgo de que este sistema, destinado a mejorar la seguridad y la estabilidad, acabe socavándola en su lugar.
El mayor apagón mundial de estaciones de trabajo
“Es el mayor caso de la historia. Nunca habíamos tenido un apagón mundial de estaciones de trabajo como éste”, afirma Mikko Hyppönen, director de investigación de la empresa de ciberseguridad WithSecure. Hace una década, explica Hyppönen, los cortes generalizados eran más comunes debido a la propagación de gusanos o troyanos. Más recientemente, las interrupciones globales se han producido en el “lado del servidor” de los sistemas, lo que significa que las interrupciones a menudo provienen de proveedores en la nube como Amazon Web Services, cortes de cable de Internet o problemas de autenticación y DNS.
El CEO de CrowdStrike, George Kurtz, dijo el viernes que los problemas fueron causados por un “defecto” en el código que la compañía lanzó para Windows. El problema ha sido identificado, aislado y se ha desplegado una solución”, dijo Kurtz en un comunicado, añadiendo que los problemas no eran el resultado de un ciberataque. En una entrevista con la NBC, Kurtz se disculpó por la interrupción y dijo que podría llevar algún tiempo volver a la normalidad.
Los analistas de seguridad y IT que buscan la causa de la gigantesca interrupción dicen que parece estar relacionada con una actualización del “controlador del núcleo” del software Falcon, de CrowdStrike. Los controladores del kernel son los componentes de software que permiten a las aplicaciones interactuar con Windows en su nivel más profundo, el núcleo del sistema operativo conocido como kernel. Ese nivel de acceso tan sensible es necesario para el software de seguridad, de modo que pueda ejecutarse antes que cualquier software malicioso instalado en el sistema y acceder a cualquier parte del sistema en la que los piratas informáticos intenten plantar su código. A medida que el malware ha ido mejorando y evolucionando, se ha empujado al software de defensa a requerir una conexión constante y un control más amplio.
Qué es CrowdStrike: la historia de la gigante de la ciberseguridad que apagó el mundo por error
CrowdStrike, una de las principales empresas de ciberseguridad del mundo y que acaba de causar la caída de computadoras en todo el planeta, figura en el centro de las teorías de la conspiración alimentadas por Trump.
Ese acceso más profundo también introduce una posibilidad mucho mayor de que el software de seguridad -y las actualizaciones de ese software- bloqueen todo el sistema, afirma Matthieu Suiche, jefe de ingeniería de detección de la empresa de seguridad Magnet Forensics. Suiche compara la ejecución de software de detección de código malicioso en el nivel del núcleo de un sistema operativo con una “cirugía a corazón abierto”.
Sin embargo, no deja de ser sorprendente que una actualización de los controladores del kernel sea capaz de provocar un colapso informático mundial tan masivo, afirma Costin Raiu, que trabajó en la empresa rusa de software de seguridad Kaspersky durante 23 años y dirigió su equipo de inteligencia de amenazas antes de abandonar la compañía el año pasado. Durante sus años en Kaspersky, afirma, las actualizaciones de controladores para el software de Windows se examinaban minuciosamente y se probaban durante semanas antes de distribuirlas.
Y lo que es más importante, exigen que Microsoft también revise el código y lo firme criptográficamente, lo que sugiere que Microsoft también podría haber pasado por alto el error en el controlador Falcon de CrowdStrike que provocó este apagón. Es sorprendente que con la extrema atención que se presta a las actualizaciones de controladores, esto haya sucedido”, dice Raiu. Un simple controlador puede hacer caer todo. Que es lo que hemos visto aquí”.
Microsoft no respondió las solicitudes de comentarios sobre la supervisión de las actualizaciones. Sin embargo, un portavoz de Microsoft dice que la “actualización CrowdStrike fue responsable de derribar una serie de sistemas de TI a nivel mundial”.
Raiu añade que, aun así, CrowdStrike no es ni mucho menos la única empresa de seguridad que ha provocado caídas de Windows con una actualización de controladores. Actualizaciones de Kaspersky e incluso del propio software antivirus integrado en Windows, Windows Defender, han causado caídas similares de la Pantalla Azul de la Muerte en años anteriores, señala. “Todas las soluciones de seguridad del planeta han tenido sus momentos CrowdStrike”, dice Raiu. “Esto no es nada nuevo, sino la escala del evento”.
Las autoridades de ciberseguridad de todo el mundo han alertado sobre las interrupciones, pero también se han apresurado a descartar cualquier actividad dañina por parte de piratas informáticos: “El NCSC evalúa que no han sido causadas por ciberataques maliciosos”, ha declarado Felicity Oswald, directora general del Centro Nacional de Ciberseguridad del Reino Unido. Las autoridades australianas llegaron a la misma conclusión.
Sin embargo, el impacto es amplio y dramático. En todo el mundo, las interrupciones se dispararon a medida que las empresas, los organismos públicos y los equipos informáticos se apresuraban a reparar las máquinas bloqueadas, lo que implica llevarlas manualmente a través de una serie de pasos correctivos, incluido el reinicio. En el Reino Unido, Israel y Alemania, los servicios de salud y los hospitales tuvieron interrupciones en los sistemas que se usan para comunicarse con los pacientes, y cancelaron algunas citas. En Estados Unidos, los servicios de emergencia que manejan el 911 también tuvieron problemas con sus líneas. En las primeras horas de los cortes, algunas cadenas de televisión, como Sky News en el Reino Unido, interrumpieron la emisión de noticias en directo.
El transporte aéreo mundial es uno de los sectores más afectados hasta el momento. Se hicieron enormes filas en aeropuertos de todo el mundo, y en un aeropuerto de la India se aplicaron tarjetas de embarque manuscritas. En Estados Unidos, Delta, United y American Airlines suspendieron todos sus vuelos, al menos temporalmente, con un dramático gráfico que mostraba la caída en picado del tráfico aéreo sobre Estados Unidos.
La catastrófica situación refleja la fragilidad y la profunda interconexión de Internet. Numerosos profesionales de la seguridad dijeron a WIRED que habían previsto o incluso trabajado con clientes para intentar protegerse contra un escenario en el que el propio software de defensa provocara fallos en ráfaga por alguna explotación maliciosa o de un error humano, como es el caso de CloudStrike. “Se trata de una ilustración increíblemente poderosa de nuestras vulnerabilidades digitales globales y de la fragilidad de la infraestructura central de Internet”, afirma Ciaran Martin, profesor de la Universidad de Oxford y ex director del Centro Nacional de Ciberseguridad del Reino Unido.
La capacidad de una actualización para desencadenar algo tan masivo sigue desconcertando a Raiu. Según Gartner, una empresa de investigación de mercado, CrowdStrike representa el 14% del mercado de software de seguridad por ingresos, lo que significa que su software está en una amplia gama de sistemas. Raiu sugiere que la actualización de Falcon desencadenó caídas en proveedores en la nube como Azure y Amazon Web Services, lo que multiplicó el desastre. “CrowdStrike es grande, pero no puede serlo tanto”, dice Raiu. “Aeropuertos, infraestructuras críticas, hospitales. No puede ser sólo CrowdStrike en todas partes. Sospecho que estamos viendo una combinación de factores, un efecto cascada, una reacción en cadena”.
Hyppönen, de WithSecure, dice que su “conjetura” es que los problemas pudieron pasar por un “error humano” en el proceso de actualización. “Un ingeniero de CloudStrike está teniendo un día realmente malo”, dice. Hyppönen sugiere que CrowdStrike tal vez envió un software diferente al que probaban o que mezclaron archivos, o pudo existir una combinación de diferentes factores. “Software como este tiene que pasar por pruebas exhaustivas”, dice Hyppönen. “Eso es lo que hacemos. Eso es lo que hace CrowdStrike, por supuesto. Hay que tener mucho cuidado con lo que se envía, lo que es difícil de hacer porque el software de seguridad se actualiza con mucha frecuencia”.
Mientras que muchos de los impactos de la interrupción están en curso y todavía se están descubriendo, la naturaleza del problema significa que las máquinas afectadas individualmente pueden necesitar ser reiniciadas manualmente en lugar de a través de un proceso automatizado. “Podría pasar algún tiempo para algunos sistemas que simplemente de forma automática no se recuperan”, dijo Kurtz, CEO de CrowdStrike, a la NBC.
¿Cómo solucionar el fallo de Microsoft Windows?
La guía inicial de “soluciones” de la compañía para hacer frente al incidente dice que las máquinas Windows deben arrancarse en modo seguro, un archivo específico debe eliminarse, y luego reiniciar. “Las soluciones que hemos visto hasta ahora significan que tienes que ir físicamente a cada máquina, lo que llevará días, porque son millones de máquinas en todo el mundo las que están teniendo el problema en este momento”, dice Hyppönen de WithSecure.
Cómo solucionar el fallo de Microsoft Windows que está arrojando una pantalla azul en computadoras de todo el mundo
Pantallas azules están apareciendo en millones de computadoras con Windows en todo el mundo debido a una actualización mal programada de CrowdStrike.
Mientras los administradores de sistemas se apresuran a contener las consecuencias, se plantea la cuestión existencial de cómo prevenir otra crisis similar.
“Es posible que ahora la gente exija cambios en este modelo operativo”, afirma Jake Williams, vicepresidente de investigación y desarrollo de la consultora de ciberseguridad Hunter Strategy. “Para bien o para mal, CrowdStrike acaba de demostrar por qué enviar actualizaciones sin la intervención de TI es insostenible”.
Artículo publicado originalmente en WIRED. Adaptado por Jorge Ramis.
