Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

  • Home
  • Seguridad
  • Cómo una mala actualización de CrowdStrike colapsó los ordenadores de todo el mundo
Seguridad

Cómo una mala actualización de CrowdStrike colapsó los ordenadores de todo el mundo

93

Muy pocas veces en la historia un único fragmento de código ha conseguido congelar instantáneamente sistemas informáticos en todo el mundo. El gusano Slammer de 2003, el ciberataque ruso NotPetya dirigido a Ucrania, el ransomware WannaCry de Corea del Norte. Pero la catástrofe digital en curso que sacudió Internet y la infraestructura de TI en todo el mundo en las últimas 12 horas no parece que fue por códigos maliciosos de piratas informáticos, sino por el mismo software diseñado para detenerlos.

Dos desastres en la infraestructura de Internet colisionaron el viernes para producir interrupciones en todo el mundo en aeropuertos, sistemas ferroviarios, bancos, organizaciones sanitarias, hoteles, cadenas de televisión y mucho más. El jueves por la noche, Azure, la plataforma en la nube de Microsoft, sufrió un apagón generalizado. El viernes por la mañana, la situación se convirtió en una tormenta perfecta cuando la empresa de seguridad CrowdStrike publicó una actualización de software defectuosa que hizo que los ordenadores con Windows entraran en una espiral de reinicios catastróficos. Un portavoz de Microsoft dice a WIRED que los dos fallos informáticos no están relacionados.

La causa de uno de esos dos desastres, al menos, ha quedado clara: un código defectuoso distribuido como actualización del producto de monitorización Falcon de CrowdStrike, básicamente una plataforma antivirus que funciona con acceso profundo al sistema en “puntos finales” como portátiles, servidores y routers para detectar malware y actividad sospechosa que indique un peligro. Falcon requiere permiso para actualizarse automática y regularmente, ya que CrowdStrike añade constantemente detecciones al sistema para defenderse de amenazas nuevas y en evolución. Sin embargo, el inconveniente de este acuerdo es el riesgo de que este sistema, destinado a mejorar la seguridad y la estabilidad, acabe socavándola en su lugar.

El mayor apagón mundial de estaciones de trabajo

“Es el mayor caso de la historia. Nunca habíamos tenido un apagón mundial de estaciones de trabajo como éste”, afirma Mikko Hyppönen, director de investigación de la empresa de ciberseguridad WithSecure. Hace una década, explica Hyppönen, los cortes generalizados eran más comunes debido a la propagación de gusanos o troyanos. Más recientemente, las interrupciones globales se han producido en el “lado del servidor” de los sistemas, lo que significa que las interrupciones a menudo provienen de proveedores en la nube como Amazon Web Services, cortes de cable de Internet o problemas de autenticación y DNS.

El CEO de CrowdStrike, George Kurtz, dijo el viernes que los problemas fueron causados por un “defecto” en el código que la compañía lanzó para Windows. El problema ha sido identificado, aislado y se ha desplegado una solución”, dijo Kurtz en un comunicado, añadiendo que los problemas no eran el resultado de un ciberataque. En una entrevista con la NBC, Kurtz se disculpó por la interrupción y dijo que podría llevar algún tiempo volver a la normalidad.

Los analistas de seguridad y IT que buscan la causa de la gigantesca interrupción dicen que parece estar relacionada con una actualización del “controlador del núcleo” del software Falcon, de CrowdStrike. Los controladores del kernel son los componentes de software que permiten a las aplicaciones interactuar con Windows en su nivel más profundo, el núcleo del sistema operativo conocido como kernel. Ese nivel de acceso tan sensible es necesario para el software de seguridad, de modo que pueda ejecutarse antes que cualquier software malicioso instalado en el sistema y acceder a cualquier parte del sistema en la que los piratas informáticos intenten plantar su código. A medida que el malware ha ido mejorando y evolucionando, se ha empujado al software de defensa a requerir una conexión constante y un control más amplio.

Ese acceso más profundo también introduce una posibilidad mucho mayor de que el software de seguridad -y las actualizaciones de ese software- bloqueen todo el sistema, afirma Matthieu Suiche, jefe de ingeniería de detección de la empresa de seguridad Magnet Forensics. Suiche compara la ejecución de software de detección de código malicioso en el nivel del núcleo de un sistema operativo con una “cirugía a corazón abierto”.

Sin embargo, no deja de ser sorprendente que una actualización de los controladores del kernel sea capaz de provocar un colapso informático mundial tan masivo, afirma Costin Raiu, que trabajó en la empresa rusa de software de seguridad Kaspersky durante 23 años y dirigió su equipo de inteligencia de amenazas antes de abandonar la compañía el año pasado. Durante sus años en Kaspersky, afirma, las actualizaciones de controladores para el software de Windows se examinaban minuciosamente y se probaban durante semanas antes de distribuirlas.

source

Leave a Reply

Your email address will not be published. Required fields are marked *