Una actualización habitual provocó la peor falla informática de la historia, retrasando vuelos e interrumpiendo las conexiones de transporte público en el mundo
El pasado 19 de julio, las temidas “pantallas azules de la muerte” (Blue Screen of Death-BSOD, por sus siglas en inglés) inundaron los sistemas informáticos Windows en el mundo afectando a aeropuertos, bancos, hospitales, empresas de telecomunicaciones y muchos otros servicios. La responsabilidad recayó en CrowdStrike, una compañía estadounidense de ciberseguridad utilizada por decenas de industrias en distintos países.
George Kurtz, el director ejecutivo, reportó inmediatamente en redes sociales que la causa estaba en una actualización defectuosa de la plataforma, por lo que descartó un incidente de seguridad o ciberataque: “El problema ha sido identificado, aislado y se ha implementado una solución”. Posteriormente la empresa detalló en un comunicado que el fallo fue en la actualización del software Falcon Sensor, un producto diseñado por CrowdStrike para detener vulneraciones mediante un conjunto unificado de tecnologías proporcionadas en la nube.
“Las actualizaciones de la configuración de sensores son una parte continua de los mecanismos de protección de la plataforma Falcon. Esta actualización de configuración desencadenó un error lógico que provocó un bloqueo del sistema y una pantalla azul (BSOD) en los sistemas afectados”, explicó tras señalar que el problema quedó solucionado casi hora y media después.
Microsoft indicó por su parte que la falla afectó a 8.5 millones de dispositivos, que representa menos del 1% de todas las máquinas con este sistema operativo.
Actualización defectuosa
Casi una semana después, CrowdStrike compartió los resultados preliminares de su revisión posterior al incidente. A través de un informe, detalló que la caída de sistemas Windows “involucró una actualización de contenido de respuesta rápida con un error no detectado”.
De acuerdo con el documento, esta actualización está diseñada para responder de manera inmediata al “cambiante panorama de amenazas” y se entrega como “instancias de plantilla”; indicó que cada instancia se asigna a comportamientos específicos que el sensor debe observar, detectar o prevenir para bloquear actividad maliciosa.
Sin embargo, antes de entregarse se crean y configuran mediante el uso del sistema de configuración de contenido, que incluye el validador de contenido, encargado de realizar las comprobaciones pertinentes. CrowdStrike asegura que “los tipos de plantillas recién publicados se someten a pruebas de estrés en muchos aspectos, como la utilización de recursos, el impacto en el rendimiento del sistema y el volumen de eventos”.
El 19 de julio, refiere el texto, se implementaron dos instancias de plantilla adicionales a la instancia de plantilla lanzada el 5 de marzo tras superar dichas pruebas. Pero el viernes, “debido a un error en el validador de contenido, una de las dos instancias de plantilla pasó la validación a pesar de contener datos de contenido problemáticos”.
Actualizaciones automáticas, en la mira
En el reporte, CrowdStrike deja en claro que este tipo de actualizaciones automáticas ayudan a las empresas a reaccionar rápidamente ante las amenazas globales.
Recientemente Andrius Minkevičius, cofundador de CyberUpgrade, que se especializa en soluciones de ciberseguridad, declaró al medio estadounidense Business Insider que aún no está claro si la interrupción del 19 de julio impulsará a las empresas de ciberseguridad a reevaluar su enfoque en cuanto a las actualizaciones automáticas: “Este incidente es un claro recordatorio de que depender únicamente de las defensas tecnológicas es insuficiente”.
Pérdidas aseguradas
La firma de análisis cibernético CyberCube reveló que las pérdidas aseguradas a nivel mundial por el apagón informático masivo de la semana pasada oscilan entre 400 millones y mil 500 millones de dólares: “Esta magnitud de pérdidas podría convertir al evento en el mayor siniestro asegurado en la historia de la industria de seguros cibernéticos en los últimos 20 años. Si hubiera sido un ataque malicioso… las pérdidas habrían sido mucho peores”.