SAN FRANCISCO: Los expertos en seguridad dijeron que la actualización de rutina del software de ciberseguridad ampliamente utilizado por CrowdStrike, que provocó que los sistemas informáticos de los clientes fallaran a nivel mundial el viernes, aparentemente no se sometió a controles de calidad adecuados antes de su implementación.
La última versión de su software Falcon Sensor tenía como objetivo hacer que los sistemas de los clientes de CrowdStrike fueran más seguros contra los ataques informáticos mediante la actualización de las amenazas contra las que los defiende. Sin embargo, un código defectuoso en los archivos de actualización provocó una de las interrupciones tecnológicas más generalizadas de los últimos años para las empresas que utilizan el sistema operativo Windows de Microsoft.
Los bancos, aerolíneas, hospitales y oficinas gubernamentales de todo el mundo sufrieron interrupciones. CrowdStrike publicó información para reparar los sistemas afectados, pero los expertos dijeron que volver a ponerlos en funcionamiento llevaría tiempo, ya que era necesario eliminar manualmente el código defectuoso.
«Lo que parece es que, potencialmente, la verificación o el sandbox que realizan cuando miran el código, tal vez de alguna manera este archivo no se incluyó o se filtró», dijo Steve Cobb, director de seguridad de Security Scorecard, que también tuvo algunos sistemas afectados por el problema.
Los problemas salieron a la luz rápidamente después de que se implementara la actualización el viernes, y los usuarios publicaron fotos en las redes sociales de computadoras con pantallas azules que mostraban mensajes de error. Estas pantallas se conocen en la industria como «pantallas azules de la muerte».
Patrick Wardle, un investigador de seguridad que se especializa en estudiar amenazas contra sistemas operativos, dijo que su análisis identificó el código responsable de la interrupción.
El problema de la actualización estaba «en un archivo que contiene información de configuración o firmas», dijo. Dichas firmas son códigos que detectan tipos específicos de código malicioso o malware.
«Es muy común que los productos de seguridad actualicen sus firmas, como una vez al día… porque están continuamente monitoreando en busca de nuevo malware y porque quieren asegurarse de que sus clientes estén protegidos de las últimas amenazas», dijo.
La frecuencia de las actualizaciones «es probablemente la razón por la que (CrowdStrike) no lo probó tanto», dijo.
No está claro cómo llegó ese código defectuoso a la actualización y por qué no se detectó antes de lanzarlo a los clientes.
«Lo ideal sería que esto se hubiera implementado primero en un grupo limitado de personas», dijo John Hammond, investigador principal de seguridad de Huntress Labs. «Es una estrategia más segura para evitar un desastre como este».
Otras empresas de seguridad han tenido episodios similares en el pasado. La actualización del antivirus de McAfee en 2010 provocó fallos y paralizó cientos de miles de ordenadores.
Pero el impacto global de esta interrupción refleja el dominio de CrowdStrike. Más de la mitad de las empresas de Fortune 500 y muchos organismos gubernamentales, como la propia agencia de ciberseguridad más importante de Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad, utilizan el software de la empresa.