Un corte afectó a las computadoras de todo el mundo, afectando a aerolíneas, hospitales, minoristas y otros negocios. Entonces, ¿cómo sucedió eso?
En el centro de todo, ha habido dos problemas en rápida sucesión que involucran sistemas ampliamente utilizados de Microsoft, y algunos usuarios pueden haber sido afectados por ambos.
El jueves, algunos clientes de Microsoft en el centro de Estados Unidos, incluidas algunas aerolíneas, se vieron afectados por un corte en su sistema de servicio en la nube, Azure. La página de estado del servicio en la nube de Microsoft indicó que la empresa había identificado una causa preliminar.
Algunos usuarios aún pueden no poder acceder a ciertas aplicaciones y servicios de Microsoft 365, incluida la videoconferencia de Teams. La empresa estaba al tanto del problema “afectando a un subconjunto de clientes”, dijo un representante de Microsoft en un comunicado. “Reconocemos el impacto que esto puede tener en los clientes, y estamos trabajando para restaurar los servicios para aquellos que aún experimentan interrupciones lo más rápido posible”.
Por separado, el viernes muchos dispositivos Windows experimentaron problemas relacionados con CrowdStrike, según la página de estado de Azure. “Somos conscientes de un problema que afecta a los dispositivos Windows debido a una actualización de una plataforma de software de terceros”, según el representante. “Anticipamos que una solución está en camino”.
Ese corte fue causado por una actualización de seguridad defectuosa de CrowdStrike. George Kurtz, director ejecutivo de la empresa, dijo en un comunicado que están “trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para los hosts de Windows”. Agregó: “Esto no es un incidente de seguridad o un ciberataque. El problema ha sido identificado, aislado y se ha implementado una solución”.
El problema parecía estar relacionado con una actualización del software de CrowdStrike llamado Falcon Sensor, según Lukasz Olejnik, un investigador y consultor independiente en ciberseguridad. Una solución actualizada del software se ha enviado a las computadoras, pero el Sr. Olejnik dijo que es probable que las interrupciones persistan porque no está claro cómo solucionar los grandes números de computadoras que ya se vieron afectadas.
Una gran parte del problema radica en la solución sugerida actual, que es reiniciar cada computadora manualmente en modo seguro, eliminar un archivo específico y luego reiniciar la computadora de forma normal. Los expertos en seguridad dijeron que, si bien es un proceso relativamente simple, no hay forma de automatizarlo a gran escala.
“Existe una solución alternativa, pero requiere manipular manualmente los archivos del sistema de Windows en el modo de recuperación”, dijo el Sr. Olejnik. “Tal práctica generalmente no se recomienda, ya que los errores pueden causar otros problemas”.
Eso deja a las organizaciones afectadas con un dilema importante: cómo formar a un gran número de profesionales calificados para pasar por cada computadora y actualizarlas una por una. Podría significar que incluso con el problema conocido y un parche enviado, las interrupciones del sistema podrían persistir durante gran parte del día, si no más, según los expertos. Aquellos con equipos de tecnología de la información organizados y bien dotados podrían solucionarlo más rápidamente, dijo el Sr. Olejnik.
Aunque puede parecer contradictorio que una sola actualización defectuosa pueda tener consecuencias tan devastadoras, un problema importante fue que el software que se estaba actualizando estaba realizando tareas críticas de ciberseguridad. El software Falcon Sensor de CrowdStrike, en el centro de las interrupciones, escanea las computadoras en busca de virus y otros ataques maliciosos.
“Una de las partes complicadas del software de seguridad es que necesita tener privilegios absolutos sobre toda su computadora para hacer su trabajo”, dijo Thomas Parenty, un consultor de ciberseguridad y ex analista de la Agencia de Seguridad Nacional.
“Entonces, si hay algo mal en ello, las consecuencias son mucho mayores que si su hoja de cálculo no funciona”.
No está claro si el corte inicial de Microsoft Azure fue coincidente o estaba relacionado con los fallos causados por la actualización de CrowdStrike, pero los expertos en seguridad dijeron que era posible. Lo más probable es que, si los dos están relacionados, sería porque la actualización de CrowdStrike afectó a las computadoras responsables de ejecutar Azure, provocando su cierre.
“Si intentara pensar en un vínculo causal entre los dos, podría ser que los sistemas requeridos para la conexión a Azure fueran inicialmente afectados por el problema particular de CrowdStrike, lo que hizo que el servicio no estuviera disponible”, dijo el Sr. Parenty.
Los cortes, que cerraron aerolíneas, hospitales y servicios de respuesta de emergencia en todo el mundo, indican cuán delicados pueden ser los sistemas tecnológicos cuando son tan interdependientes.
“Esta es una ilustración muy, muy incómoda de la fragilidad de la infraestructura principal de Internet del mundo”, dijo Ciaran Martin, ex jefe del Centro Nacional de Seguridad Cibernética de Gran Bretaña, que ahora es profesor en la Escuela de Gobierno Blavatnik de la Universidad de Oxford.
También subraya una realidad incómoda que las empresas de software enfrentan pocas responsabilidades por grandes cortes e incidentes de ciberseguridad. Las penalizaciones económicas y legales por tales cortes masivos pueden ser tan mínimas que las empresas no están motivadas para hacer cambios más fundamentales.
“Hasta que las empresas de software tengan que pagar un precio por productos defectuosos, no estaremos más seguros mañana que hoy”, dijo.