Muchos negocios probablemente tardarán días e incluso semanas en recuperarse por completo de la interrupción informática sin precedentes del viernes, advirtieron expertos en tecnología, después de que una actualización de software defectuosa de la empresa en la que confiaban para asegurar sus sistemas causara una enorme disrupción a nivel global.
CrowdStrike, uno de los mayores proveedores de seguridad del mundo, culpó a una actualización de su software Falcon por un error que afectó innumerables PCs y servidores con Windows, provocando la cancelación de vuelos, el aplazamiento de citas hospitalarias y sacando del aire a emisoras de televisión en todo el mundo.
Las interrupciones fueron aún más impactantes dado la sólida reputación de CrowdStrike como la primera línea de defensa de muchas empresas contra los ciberataques, según analistas.
“Esta es la primera vez que un agente de seguridad ampliamente desplegado, diseñado para proteger máquinas, está causando que se rompan”, dijo Neil MacDonald, analista de la consultora de tecnología Gartner.
El único remedio para los usuarios de Windows afectados por el error de la “pantalla azul de la muerte” implica reiniciar la computadora y eliminar manualmente la actualización defectuosa de archivo de CrowdStrike, lo que requiere acceso directo a cada dispositivo.
Esto significa que podría llevar días o semanas aplicarlo en empresas con miles de máquinas con Windows o con escasez de trabajadores de IT para administrar el cambio, dicen los expertos.
“Parece que millones de computadoras van a tener que ser arregladas manualmente”, dijo Mikko Hyppönen, director de investigación de WithSecure, una empresa de ciberseguridad.
“Las máquinas más críticas como la laptop del CEO ya están arregladas, pero para el ciudadano promedio en finanzas va a llevar un tiempo hasta que alguien venga a arreglar su laptop”, agregó.
Exacerbando el impacto de su error está la gran escala y la naturaleza de alto perfil de muchos de los usuarios de CrowdStrike.
La empresa con sede en Austin, Texas, dijo que tenía más de 29,000 clientes empresariales a fines de 2023, y ha afirmado en material de marketing que su software es utilizado por más de la mitad de las empresas Fortune 500.
“A pesar de [CrowdStrike] siendo en realidad una empresa bastante grande, la idea de que cerraría el mundo es extraordinaria”, dijo Marshall Lux, investigador visitante de la Escuela de Negocios McDonough de la Universidad de Georgetown.
El efecto global ilustra “la interconectividad de todas estas cosas” y “el riesgo de concentración en este mercado”, agregó Lux.
Los proveedores de software “claramente se han vuelto tan grandes y tan interconectados” que sus fallas pueden dañar el sistema económico global, escribió la analista de Citi Fatima Boolani en una nota a los clientes. Esto podría atraer una mayor atención política y regulatoria.
Gartner estima que la participación de CrowdStrike en los ingresos del mercado global de seguridad de endpoints empresariales — que implica escanear PCs, teléfonos y otros dispositivos en busca de ciberataques — es más del doble que la de sus tres rivales más cercanos: Trellix, Trend Micro y Sophos. Solo Microsoft es más grande.
En la última teleconferencia de ganancias de CrowdStrike en junio, el director ejecutivo George Kurtz dijo que había “una crisis generalizada de confianza entre los equipos de seguridad e IT dentro de la base de clientes de seguridad de Microsoft” después de una serie de incidentes cibernéticos de alto perfil que afectaron al gigante de la tecnología.
CrowdStrike, fundada en 2011, dijo que vio un aumento en la demanda después de que Microsoft dijera a principios de este año que sus sistemas habían sido comprometidos por hackers patrocinados por el estado.
En mayo lanzó un producto diseñado para funcionar junto a la herramienta de protección antivirus Defender de Microsoft.
El viernes, mientras Kurtz se disculpaba con los clientes de CrowdStrike, enfatizó que el incidente “no fue un ataque cibernético” e insistió en que los clientes de CrowdStrike “permanecen completamente protegidos”.
Pero los investigadores de seguridad advirtieron que los estafadores podrían aprovechar el caos para hacerse pasar por agentes de Microsoft o CrowdStrike para estafas de phishing.
“Vemos que esto sucede con cada incidente cibernético importante que está en las noticias”, dijo Vasileios Karagiannopoulos, profesor asociado de cibercrimen y ciberseguridad en la Universidad de Portsmouth.
La firma de ciberseguridad Secureworks dijo que sus investigadores habían observado varios nuevos registros de dominios temáticos de CrowdStrike en horas posteriores al incidente, muy probablemente por criminales que buscan engañar a los clientes de la empresa.
Avoiding the type of error that caused Friday’s outages was “a matter of testing”, said Ian Batten, a lecturer in the School of Computer Science at the University of Birmingham. In this case it looked like someone simply “got a bit of code wrong”, he added.
Companies like CrowdStrike are under pressure to roll out new security updates as quickly as possible to defend against the latest cyber attacks.
“There’s a trade-off here between the speed of ensuring that systems get protected against new threats and the due diligence done to protect the system’s resilience and stop things like this incident from happening,” said Adam Leon Smith, a fellow of the British Computer Society, a professional IT body.
The damage caused by this week’s flawed software update “could take days and weeks” to repair, he said.