Actualización de CrowdStrike que causó apagón global probablemente omitió controles, dicen expertos.

Una vista general desde el Aeropuerto de Düsseldorf mientras los pasajeros se reúnen y esperan debido a la interrupción global de comunicaciones causada por CrowdStrike, que proporciona servicios de ciberseguridad a la empresa tecnológica estadounidense Microsoft, el 19 de julio de 2024 en Düsseldorf, Alemania.

Hesham Elsherif | Anadolu | Getty Images

Expertos en seguridad dijeron que la actualización rutinaria del software de ciberseguridad ampliamente utilizado de CrowdStrike, que provocó el colapso de los sistemas informáticos de los clientes a nivel mundial el viernes, aparentemente no pasó por controles de calidad adecuados antes de ser implementada.

La última versión de su software Falcon Sensor pretendía hacer que los sistemas de los clientes de CrowdStrike fueran más seguros contra los hackeos actualizando las amenazas contra las que se defiende. Pero un código defectuoso en los archivos de actualización resultó en una de las interrupciones tecnológicas más extendidas en años recientes para las empresas que utilizan el sistema operativo Windows de Microsoft.

Bancos, líneas aéreas, hospitales y oficinas gubernamentales a nivel global se vieron afectados. CrowdStrike publicó información para solucionar los sistemas afectados, pero los expertos dijeron que volver a ponerlos en línea llevaría tiempo ya que requería eliminar manualmente el código defectuoso.

“Lo que parece es que, potencialmente, el examen o la prueba de aislamiento que hacen cuando revisan el código, tal vez de alguna manera este archivo no fue incluido en eso o se coló,” dijo Steve Cobb, jefe de seguridad de Security Scorecard, que también tuvo algunos sistemas afectados por el problema.

Los problemas salieron a la luz rápidamente después de que se implementara la actualización el viernes, y los usuarios publicaron imágenes en las redes sociales de computadoras con pantallas azules mostrando mensajes de error. Estos son conocidos en la industria como “pantallas azules de la muerte.”

LEAR  GlobalFoundries contratando a medida que aumenta la demanda de chips semiconductores

Patrick Wardle, un investigador de seguridad que se especializa en estudiar amenazas contra sistemas operativos, dijo que su análisis identificó el código responsable de la interrupción.

El problema de la actualización estaba “en un archivo que contiene información de configuración o firmas,” dijo. Tales firmas son códigos que detectan tipos específicos de códigos maliciosos o malware.

“Es muy común que los productos de seguridad actualicen sus firmas, como una vez al día… porque están monitoreando continuamente nuevos malware y porque quieren asegurarse de que sus clientes estén protegidos de las últimas amenazas,” dijo.

La frecuencia de las actualizaciones “probablemente es la razón por la que (CrowdStrike) no lo probó tanto,” dijo.

No está claro cómo ese código defectuoso llegó a la actualización y por qué no fue detectado antes de ser lanzado a los clientes.

“Idealmente, esto debería haber sido implementado primero en un grupo limitado,” dijo John Hammond, investigador de seguridad principal en Huntress Labs. “Esa es un enfoque más seguro para evitar un gran lío como este.”

Otras empresas de seguridad han tenido episodios similares en el pasado. La actualización defectuosa del antivirus de McAfee en 2010 paralizó cientos de miles de computadoras.

Pero el impacto global de esta interrupción refleja la dominación de CrowdStrike. Más de la mitad de las empresas Fortune 500 y muchos organismos gubernamentales como la principal agencia de ciberseguridad de EE. UU., la Agencia de Seguridad de Ciberseguridad e Infraestructura, utilizan el software de la empresa.