El Windows corporativo se ha parado este viernes. Como resultado, compañías privadas de todo el mundo como bancos, aerolíneas o medios de comunicación; así como entes públicos, ya fueran administraciones, hospitales u operadores de transporte portuarios, ferroviarios y aeroportuarios han visto cómo sus sistemas informáticos se venían abajo. Más de 3.000 vuelos cancelados en todo el mundo, salas de espera colapsadas, mercancías varadas, finanzas bloqueadas. El tipo de caos que la industria digital más temía desde 2017.
Entonces fue WannaCry, el primer gran ciberataque global, el que lo provocó. El miedo a que volviera a suceder ha convertido al sector de la ciberseguridad en uno de los más rentables y a sus miembros en algunos de los profesionales mejor pagados del mundo. Este viernes, sin embargo, la tortilla se ha dado la vuelta. El apagón informático no ha sido causado por un virus ni una banda de ciberdelincuentes, sino por una de esas empresas que se encargan de proteger las redes digitales de sus amenazas.
“Nuestra peor pesadilla es justo lo que le ha pasado hoy a CrowdStrike: matar al paciente que queremos proteger”, lamenta Sancho Lerena, director ejecutivo de la tecnológica española Pandora FMS. Una de las actualizaciones en el sistema Falcon de este desarrollador, uno de los antivirus más avanzados (que los profesionales denominan EDR), ha resultado defectuosa. Esto ha provocando un error crítico en Windows y en Azure, el servicio de sistemas en la nube de Microsoft, lo que a su vez ha derivado en fallos en cadena y colapso de sistemas informáticos por todo el mundo.
“CrowdStrike es uno de los fabricantes de seguridad más potentes del mundo”, recuerda Lerena, pero “la tecnología y especialmente el software cada vez suponen una mayor complejidad. No se trata de elegir al mejor proveedor, se trata de entender que a más tecnología más probabilidad de fallo”, afirma.
Es un recordatorio que han recibido amargamente miles de pasajeros, los pacientes en las salas de espera de los centros sanitarios o los afectados que han sufrido las consecuencias de un sistema financiero paralizado. Falcon es una plataforma de detección de amenazas extremadamente completa, que utiliza inteligencia artificial y monitoreo en tiempo real para detectar las tácticas del atacante, anticiparse a ellas y diseñar posibles respuestas y contraofensivas automáticamente. Opera en la nube, lo que permite aumentar aún más su capacidad de dar una respuesta rápida a un ciberataque.
Falcon es el escudo por el que cualquier responsable de ciberseguridad habría suspirado en 2017. Siete años después, ha sido el gran responsable de otro apagón global. El fallo en su actualización ha pillado fuera de juego a Microsoft, que a pesar del caos mundial generado por el fallo en Windows ha tardado varias horas en informar de lo que estaba sucediendo y no ha sido capaz de contener el incidente antes de que se tradujera en un caos global. Un incidente que vuelve a evidenciar la fragilidad de un entorno digital dependiente de un puñado de compañías privadas.
Este error crítico es el más temido por cualquier usuario y desarrollador. Su código oficial es BSOD (siglas en inglés de Pantalla Azul de la Muerte) e implica que hay que reiniciar manualmente el dispositivo en modo seguro y eliminar el archivo que está generando los problemas. Pese a ser uno de los más antiguos, es la primera vez que ocurre a esta escala. “La actualización se ha lanzado por la noche y lo que ha ocurrido es que ha fallado al sincronizarse con todos los sistemas Windows”, explica en conversación con este medio Rafael López, experto en ciberseguridad de la firma Perception Point.
“El problema es que la solución se tiene que aplicar de manera manual en cada uno de los equipos afectados. ¿Qué ocurre? Que no es lo mismo que yo tenga una planta con 50 equipos a que tenga 100.000, como está sucediendo a lo largo del mundo. Hay organizaciones en las que 300 personas a la vez están teniendo que entrar en cada equipo a hacer esta solución que propone el fabricante. Es algo muy laborioso”, detalla el experto.
“CrowdStrike es un EDR que está en prácticamente la mayoría de empresas grandes a nivel mundial, porque puede ser uno de los mejores, si no el mejor EDR del mundo. Por eso se ha dado una afectación tan grande”, continúa López.
La sucesión de hechos indica una más que posible negligencia en la actualización de CrowdStrike. Este tipo de actualizaciones se prueban en entornos controlados antes de implantarlas en todo el sistema. Una vez que se ha comprobado que todo funciona correctamente con ellas en marcha, se da luz verde para ejecutarlas a nivel general. No llevar a cabo este procedimiento o no revisar sus resultados concienzudamente se considera una mala práctica, no solo en el sector de la ciberseguridad sino en toda la industria digital. Más aún con actualizaciones críticas como la de Falcon.
CrowdStrike ha reconocido el fallo pero no ha explicado cómo ha podido ocurrir. “Aquí hay un posible fallo de CrowdStrike a la hora de no haber hecho bien las pruebas en preproducción. Es verdad que tú no puedes reproducir absolutamente todo, pero deberías de haber hecho posiblemente alguna prueba más, porque está claro que no han calculado bien el impacto de todo lo que podría suceder en los sistemas Windows al lanzarlo, porque ha reventado todo”, señala el especialista de Perception Point.
El incidente quedará marcado como uno de los más graves de la historia y una de sus características es la muy escasa comunicación tanto por parte de CrowdStrike como de Microsoft. Especialmente la primera, causante original del fallo, está siendo muy criticada por su reacción pública al incidente.
Ni la compañía ni George Kurtz, su presidente, han hecho ningún comunicado hasta pasadas más de 10 horas desde que los fallos se hicieran patentes en estaciones y aeropuertos. Entonces Kurtz ha publicado un mensaje en X donde reconocía el fallo, pero no aportaba ninguna información ni pedía perdón a los afectados. “Seamos claros. El doble lenguaje jurídico está diseñado para esquivar y ofuscar más que para informar o comunicar. Obviamente, esta declaración fue redactada por un comité de abogados y mandos intermedios cuyo único objetivo era evitar riesgos legales y amenazas a su propia seguridad laboral”, ha destacado Lulu Cheng, especialista en comunicación corporativa.
“Las primeras palabras deberían ser «lo siento», pero no lo encontrarás en ninguna parte de esta declaración. Ni el aguado 'asumo la responsabilidad'. Ni siquiera el insípido 'Lamentamos...' . ¡Nada!”, añadía Cheng: “CrowdStrike ha causado un apagón que hizo caer aerolíneas, una bolsa de valores, hospitales, UCIs. Podría haber muerto gente”.
Unas seis horas después de su primera publicación, Kurtz ha reaparecido para publicar un nuevo mensaje en el que pide disculpas, pero también aprovecha para echar balones fuera. “Lo de hoy no ha sido un incidente de seguridad o cibernético. Nuestros clientes siguen estando totalmente protegidos”, ha recordado: “Comprendemos la gravedad de la situación y lamentamos profundamente las molestias y las interrupciones. Estamos trabajando con todos los clientes afectados para garantizar que los sistemas vuelvan a funcionar y puedan prestar los servicios con los que cuentan sus clientes”.
Los expertos recuerdan que esta situación de caos puede ser aprovechada por ciberdelincuentes tanto durante la caída como en los próximos días, por lo que llaman a aumentar las precauciones. Actualmente nos encontramos en uno de los mayores apagones informáticos mundiales de la historia. Recuerde: verifique que las personas son quienes dicen ser antes de emprender acciones sensibles“, ha aconsejado Rachel Tobac, profesora de seguridad informática.
“Los delincuentes intentarán aprovechar esta interrupción para hacerse pasar por miembros del departamento informático ante usted o usted ante su equipo para robar accesos, contraseñas, códigos, etc.”, ha continuado. El timo del fallo de Windows, ahora con una conexión directa con la realidad, sigue siendo uno de los más recurrentes del mundo.