Pero la compañía depende del acceso profundo a millones de computadoras para defenderse contra nuevos ataques, y las instrucciones que CrowdStrike envió a esas máquinas que ejecutan el sistema operativo Windows de Microsoft durante la noche las inutilizaron el viernes por la mañana.
Mientras los bancos, las aerolíneas y los sistemas de llamadas de emergencia al 911 luchaban por recuperarse, CrowdStrike se disculpó y culpó a un error en lugar de… Ataque de hacking a sus sistemas internos.
«Esto no fue un ciberataque», dijo CrowdStrike en su blog. La compañía con sede en Austin dijo que identificó el problema y brindó una solución a los clientes para ayudar a sus empleados a regresar al trabajo.
Pero el fallo fue tan generalizado y su impacto tan profundo que no todos los expertos en seguridad estaban convencidos de que se tratara simplemente de un error humano. CrowdStrike ha crecido rápidamente durante el último año y apenas el mes pasado se unió al índice Standard & Poor’s 500 de las empresas más grandes que cotizan en bolsa. Pero se ha ganado enemigos en todo el mundo al exponer ataques como el de la inteligencia rusa que robó correos electrónicos del Comité Nacional Demócrata y del presidente de campaña de Hillary Clinton en 2016.
«Dudo que haya sido un accidente. Hay muchos inconvenientes», dijo Matthew Hickey, fundador de la empresa de formación Hackerhouse. Agregó que el archivo infractor contenía datos aleatorios, no estaba firmado digitalmente y no fue probado adecuadamente.
Un funcionario federal estadounidense, que habló bajo condición de anonimato para discutir asuntos de seguridad nacional, dijo que no había evidencia de sabotaje o interferencia extranjera.
Ponerse al día
Historias para mantenerte informado
Algunos analistas dijeron que estaban esperando saber más de CrowdStrike y que la complejidad de las defensas avanzadas contra la piratería las hacía peligrosamente frágiles.
Los productos de «detección de puntos finales», como la herramienta Falcon de CrowdStrike, a menudo envían no solo ID actualizadas para que el malware lo bloquee, sino también líneas de código activo para frustrar escenarios, dijo Jake Williams, un ex hacker de la NSA. Dijo que era posible que los sistemas de CrowdStrike para probar el código antes de instalarlo en todas partes no hubieran sido «lo suficientemente diversos» para detectar el error.
Aunque las interrupciones en las redes informáticas no son inusuales, los expertos se sorprendieron el viernes cuando descubrieron que el error de una sola empresa se había extendido a muchos sistemas.
«Nunca hemos visto una cascada de fallas como esta, tal vez nunca», dijo Chuck Herrin, ejecutivo de la firma de seguridad digital F5 Inc.
El alcance de las interrupciones técnicas en todo el mundo el viernes Revelar los riesgos inherentes al tipo de software de seguridad que muchos consideran esencial para que las empresas protejan el ransomware y otros ataques devastadores.
Para que estos programas sean efectivos deben poder ver todo lo que sucede en el dispositivo. Pero ese acceso podría hacer que fallara catastróficamente, como sucedió el viernes, y la solución que la compañía introdujo más tarde fue compleja: muchas organizaciones tuvieron que reiniciar manualmente cada dispositivo uno por uno y eliminar el archivo de actualización incorrecto.
Este acceso privilegiado también convierte al software de seguridad en un objetivo principal para espías y piratas informáticos comunes y corrientes. Apenas el mes pasado, funcionarios estadounidenses prohibieron a la empresa rusa de software antivirus Kaspersky Lab participar en cualquier nueva actividad comercial en el país, después de acusarla de desempeñar un papel en el robo de secretos de empleados de la Agencia de Seguridad Nacional y otras personas.
Los problemas del viernes provocaron la cancelación o retraso de miles de vuelos y obligaron a los hospitales a posponer operaciones. Los peores ciberataques, como el ataque ruso NotPetya a empresas ucranianas y el virus WannaCry de Corea del Norte, causaron daños más duraderos al dañar permanentemente las computadoras. Pero ni siquiera esos ataques se propagaron tan rápido ni tan lejos.
El alcance del daño financiero resultante de la interrupción del servicio, así como quién correrá con estos costos, no quedará claro después de un tiempo. La mayoría de los proveedores de software están exentos de responsabilidad legal por los daños causados por su software, que se licencia en lugar de venderse. Pero normalmente celebran acuerdos de servicio con sus clientes más importantes, que pueden necesitar ayuda con reparaciones, descuentos u otras compensaciones.
El fiasco de CrowdStrike es notable en parte porque los ejecutivos de la compañía han estado entre las voces más prominentes de la industria criticando a Microsoft por repetidas vulnerabilidades de seguridad. Se ha culpado al gigante del software por recientes violaciones importantes en agencias estadounidenses, incluido el robo de correo electrónico el año pasado por parte de funcionarios como la secretaria de Comercio, Gina Raimondo. Un informe mordaz de la Junta de Revisión de Ciberseguridad, que está presidida por un funcionario de la Agencia de Seguridad de Infraestructura y Ciberseguridad, señaló en abril “una cultura corporativa que ha despriorizado las inversiones en seguridad empresarial y la gestión rigurosa de riesgos”.
Más allá de estos fallos en Microsoft, CrowdStrike dijo que la posición dominante de la compañía en el mercado de sistemas operativos y software de productividad hace que cualquier debilidad sea potencialmente desastrosa.
Como una de las pocas empresas de seguridad líderes, algunos expertos ahora dicen lo mismo sobre CrowdStrike, que forma parte de un pequeño grupo de empresas de seguridad de redes con tal escala y poder.
«Esto es claramente muy serio y llevará semanas», dijo Brian Palma, director ejecutivo de la firma de seguridad rival Trilex. «Esto apunta a la necesidad de redundancia y defensa en profundidad».
La Agencia de Seguridad de Infraestructura y Ciberseguridad dijo que estaba ayudando con los esfuerzos de recuperación y advirtió que los delincuentes que se hacían pasar por CrowdStrike estaban tratando de convencer a los clientes de que descargaran malware o cedieran el acceso a sus computadoras.
Mary Vasek, profesora asistente en el departamento de informática del University College de Londres, dijo que las fallas informáticas generalizadas mostraban cuán dependientes eran los sistemas tecnológicos globales del software de un pequeño número de empresas, incluidas las de Microsoft y CrowdStrike.
«El problema aquí es que Microsoft es un software estándar que todo el mundo usa, y el error en CrowdStrike se propagó a todos los sistemas», dijo.
Vasek dijo que las redes tecnológicas se han vuelto tan grandes, complejas e interconectadas que es más probable que una línea de código incorrecta pueda destruir redes informáticas enteras.
La falla solo afectó a las computadoras que ejecutan el sistema operativo Windows, que alimenta cientos de millones de computadoras personales y muchos sistemas de back-end para aerolíneas, pagos digitales, servicios de emergencia, centros de llamadas y mucho más.
En un comunicado, CrowdStrike dijo que está «trabajando con todos los clientes afectados para garantizar que los sistemas tengan copias de seguridad y puedan brindar los servicios en los que confían sus clientes».
Algunas empresas afectadas por la falla de CrowdStrike, incluidos bancos y servicios de emergencia, dijeron el viernes que habían implementado el software CrowdStrike parcheado y estaban comenzando a recuperarse.
Vasek dijo que tanto Microsoft como CrowdStrike deben examinar sus procedimientos para evitar que vuelvan a ocurrir fallas tecnológicas a gran escala.
Dijo que CrowdStrike debería pensar en cómo actualizar de forma segura su software para acomodar millones de redes informáticas. Añadió que Microsoft necesita hacer más esfuerzos para garantizar que las actualizaciones de software de otras empresas no causen interrupciones en las computadoras con Windows.
«Microsoft necesita pensar en cómo verificar que el software esté funcionando como debería», dijo.
Microsoft no abordó estas críticas directamente, pero dijo en un comunicado que la compañía está «apoyando activamente a los clientes para ayudarlos con su recuperación».
La compañía también anunció interrupciones en algunos de sus populares software conectados a Internet para redes tecnológicas corporativas y gubernamentales.
No quedó claro de inmediato cuántas de las interrupciones de la red informática del viernes fueron causadas por una actualización defectuosa del software CrowdStrike y cuáles fueron el resultado de problemas que comenzaron el jueves con los servicios en línea de Microsoft y el servicio corporativo de computación en la nube Azure.
Un portavoz de Microsoft dijo que la compañía no cree que el error de CrowdStrike esté relacionado con la interrupción que afectó a «un subconjunto de clientes de Azure». Dijo que el problema ha sido resuelto.
revisión
Una versión anterior de este artículo escribía incorrectamente el nombre de Bryan Palma como Ryan. El artículo ha sido corregido.
