00.09 horas, Nueva York, viernes 19 de julio de 2024. La empresa de ciberseguridad CrowdStrike lanza una actualización de su software de seguridad en la nube Falcon «con el fin de recopilar telemetría sobre posibles técnicas de amenaza novedosas». El problema es que el programa viene con errores, y una vez está en la red, el daño ya está hecho. Durante una hora y dieciocho minutos, en concreto hasta las 01.27, consigue provocar que cerca de 8,5 millones de ordenadores con sistema operativo Windows se bloqueen y comiencen a mostrar la 'pantalla azul de la muerte'. Y muchas, a día de hoy, siguen así. Porque el problema no se ha resuelto por completo. Cinco días después de que este error provocase que hospitales, bancos, medios de comunicación, aerolíneas y empresas de toda clase se viesen bloqueadas durante horas, la empresa de ciberseguridad CrowdStrike ha compartido una publicación en su web en la que explica, recurriendo a muchos tecnicismos, cómo se produjo este fallo. La actualización de software de detección de amenazas en la nube, como es el caso de Falcon, no es algo extraño. La herramienta está diseñada para «para responder al cambiante panorama de amenazas a velocidad operativa». Durante el proceso del pasado viernes, CrowdStrike lanzó una nueva versión que contenía «un error no detectado» previamente. Este fue el que provocó el 'apagón' generalizado de todos aquellos equipos con Windows que recibieron la actualización y que estuvieron conectados en la hora y dieciocho minutos durante los cuales esta estuvo disponible hasta que la empresa de ciberseguridad corrigió el error. Por eso no es raro que el fallo comenzase a notarse en países ubicados al este, como es el caso de Japón o Australia, donde los trabajadores justo comenzaban a llegar a las oficinas coincidiendo con el lanzamiento del software defectuoso. CrowdStrike apunta que todos los sistemas «que se conectaron después de este tiempo o que no se conectaron durante el período no se vieron afectados». También ha remarcado, de nuevo, que el fallo no afectó a dispositivos con sistema operativo Mac o Linux; solo a los que usan Windows. En total, de acuerdo con las estimaciones de Microsoft, en a torno al 1% de los ordenadores que lo montan en todo el mundo , o lo que es lo mismo, 8,5 millones. El problema es que CrowdStrike no crea soluciones para usuarios corrientes. Se trata de una firma que provee servicio a algunas de las compañías más importantes del mundo, y cuando una de estas sufre un fallo son muchos los que lo notan. Pero, ¿por qué el fallo fue en Windows y no en el resto de sistemas operativos? Simplemente, porque CrowdStrike es capaz de operar de una forma mucho más profunda en el entorno de Microsoft que en los del resto de compañías. Las soluciones de esta empresa de ciberseguridad, y pasa lo mismo con las demás desarrolladas por otras firmas de esta clase, funcionan en Windows a nivel de 'kernel', esto implica que tienen acceso sin restricciones a la memoria y el hardware del sistema de Microsoft con el objetivo de detectar amenazas. Y esto hace que la herramienta en cuestión funcione mejor, pero también que pueda generar problemas más graves, que es precisamente lo que ocurrió el pasado viernes. Ni Apple ni Linux ofrecen un acceso de esta clase a los desarrolladores de soluciones de seguridad. Microsoft lo hace, según explica al medio estadounidense ' The Wall Street Journal ' el pasado fin de semana, «no puede aislar legalmente su sistema operativo» debido a un acuerdo establecido con la Comisión Europea en 2009 por el que se comprometió a otorgar esta clase de privilegio; y lo hizo por razones de competencia. La Comisión Europea se ha defendido de la acusación señalando, en declaraciones compartidas con los medios, que «Microsoft es libre de decidir su modelo de negocio»: Le corresponde a Microsoft adaptar su infraestructura de seguridad para responder a las amenazas de acuerdo con la legislación de competencia de la UE. Además, los consumidores son libres de beneficiarse de la competencia y elegir entre diferentes proveedores de ciberseguridad«. Las mismas fuentes han señalado, además, que «el incidente (de CrowdStrike) no se limitó a la Unión Europea y que Microsoft nunca planteó ninguna preocupación sobre seguridad a la Comisión ni antes ni después del incidente». Apple, mientras tanto, retiró el acceso a su 'kernel' a los desarrolladores hace cuatro años; mientras, cuando lanzó su sistema operativo macOS Catalina para sus ordenadores. Las soluciones que ofrece CrowdStrike para que este tipo de situaciones no se repitan en el futuro pasan, básicamente, por aumentar las pruebas antes de proceder con el lanzamiento de una actualización, añadir nuevas comprobaciones de validación de las mismas y por realizar implementaciones escalonadas. De este modo, el software no llegaría automáticamente a todos los sistemas, sino solo a unos pocos, así, en caso de que haya un error se podrá contener mejor los efectos.
