Cómo un archivo de 40 kb desató un 'Armagedon' informático en todo el mundo: "Puede volver a ocurrir"
Un fallo en una actualización de CrowdStrike afectó a Microsoft Azure y sembró el pánico a nivel global, con cientos de compañías sin poder operar.
20 julio, 2024 02:52El viernes 19 de julio cientos de empresas en todo el mundo se vieron afectadas por un problema informático, que les obligó a parar sus actividades. Un pequeño archivo que provocó un caos a nivel global. Durante la mañana, una actualización defectuosa de la plataforma de ciberseguridad CrowdStike hizo que fallara el servicio en la nube Microsoft Azure, lo que bloqueó los sistemas que operan con Windows; afectando a los aeropuertos de España, bancos, hospitales y cientos de empresas, como Iberdrola, Bizum, Vocento y a otras tantas instituciones de otros países.
La empresa de ciberseguridad informó a EL ESPAÑOL - Omicrono que el problema vino provocado por un fallo en una actualización de su plataforma CrowdStrike Falcon, uno de los sistemas de protección de Windows. En concreto, los clientes se vieron afectados "por un defecto encontrado en una única actualización de contenido para hosts (servidores) en Windows; sin afectar a los servidores de Mac y Linux". La firma también confirmó que no se trató "de un incidente de seguridad ni de un ciberataque. El problema se identificó, aisló y se implementó una solución".
Por su parte, un portavoz de Microsoft, la otra empresa afectada, señaló a este medio que eran "conscientes de un problema que afectó a los dispositivos Windows debido a una actualización de una plataforma de software de terceros". Y aclaró que el contratiempo no era responsabilidad suya, sino de otra compañía. Según explican varios expertos a este periódico, la última actualización de Crowdstrike Falcon tenía errores que colapsaron Azure, lo que provocó la aparición de la famosa "pantalla azul de la muerte" (o BSOD en inglés) de los ordenadores, que mostraba que los sistemas habían dejado de funcionar y que había que reiniciar los servidores.
Y es que tal y como señala en redes sociales Bernardo Quintero, fundador de la empresa de ciberseguridad Virustotal y responsable del centro de Google en Málaga, "nunca 40 KB causaron tanto daño". Un diminuto archivo informático que ha desatado un gran desorden mundial y que no es algo único, ya que este suceso podría repetirse en otro momento. "Sin duda, es posible que vuelva a suceder, aunque seguramente no por el mismo motivo. Por lo que lo ocurrido aquí es algo excepcional", indica a este periódico Juan Manuel Pascual, experto en ciberseguridad y CEO de Innovery España.
"Estas situaciones realmente ocurren muy pocas veces y no exactamente por el mismo motivo. Aquí no se valora si volverá a pasar lo mismo o no por un análisis técnico, sino por el impacto. Es como los accidentes de aviones. Pueden pasar, pero afortunadamente ocurren muy pocas veces. Y cuando pasan, el impacto es brutal. En este caso, es un poco lo mismo. Analizando el nivel de ingeniería de software, la compañía de ciberseguridad [CrowdStrike] desarrollará nuevos controles de calidad y puede suceder que en algún momento haya alguna otra cosa que ese sistema de control no haya cubierto", aclara Pascual.
"Una pandemia digital"
Crowdstrike es un programa de seguridad diseñado para proteger a las organizaciones de malware y de ciberamenazas. Actualmente, "es el producto más utilizado a nivel mundial para detectar y responder a ciberataques. Lo usan todo tipo de organizaciones públicas y privadas y es el más sofisticado según todas comparativas; siendo el único que ofrece una garantía económica en caso de que haya un ciberataque con éxito", explica a este periódico Juan José Nombela, director del máster en Ciberseguridad en UNIE Universidad.
En este caso, lo que pasó fue que un fallo informático produjo "un conflicto o una incorrecta interacción entre Microsoft y Windows y la última versión de lo que se denomina el sensor de Crowdstrike, que está instalado en todos los equipos de las empresas que cuentan con esta protección", señala Nombela. Un problema que bloqueó los servicios de IT y que se podría haber evitado "haciendo pruebas más exhaustivas antes de lanzar los productos y desplegarlos en los ordenadores de las organizaciones". Aunque Juan Manuel Pascual opina que "se podría haber esquivado, pero creo que en este caso no, porque estoy convencido de que Crowdstrike ha puesto todo para que eso no ocurra".
Por su parte, Chris Dimitriadis, director de Estrategia Global de ISACA, señala a este medio que este suceso supone una "crisis significativa en el ámbito digital. Cuando en la cadena de suministro digital un proveedor de servicios se ve afectado, toda la cadena puede romperse, provocando interrupciones a gran escala. Este incidente es un claro ejemplo de lo que podría denominarse una pandemia digital: un único punto de fallo que afecta a millones de vidas en todo el mundo. Los médicos no pueden ver a sus pacientes y los viajeros se quedan tirados en los aeropuertos. No sólo afecta a operaciones empresariales, sino que afecta a vidas reales".
En esa dirección también apunta Pascual, quien informa que el problema está en que muchas compañías, entre las que se encuentran grandes corporaciones, utilizan esta herramienta y los mismos programas; por lo que un fallo en uno de ellos provoca que todas ellas paralicen su actividad y se acabe en una situación de caos. Un error que, en ocasiones, "se produce por fallos involuntarios al actualizar el software. Otras es resultado de un ciberataque. Pero lo irónico es que las empresas de ciberseguridad también forman parte de esa cadena de suministro, y esas mismas empresas que luchan por establecer la ciberresiliencia, también pueden convertirse en víctimas, afectando a la continuidad del servicio", según indica Dimitriadis.
En cuanto a la forma de solucionar un problema como este, Juan José Nombela señala que "es muy sencillo y consiste simplemente en eliminar un archivo en los ordenadores afectados. Es un proceso que lleva unos pocos minutos, pero es necesario hacerlo equipo por equipo, y eso sí que lleva su tiempo". Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) compartió una serie de medidas de mitigación y corrección, como la actualización de componentes que provocan la pantalla azul o no ejecutar la actualización del agente Crowdstrike hasta que esté disponible una solución verificada.
INCIBE también señaló que el archivo de canal defectuoso se revirtió, lo que se esperaba que "mitigase una mayor expansión". En el caso de los sistemas que fallan, algunos de ellos se reiniciaron a un estado de funcionamiento normal y se consideró que debían elegir el nuevo archivo del componente que no daba problemas frente al que sí los daba. Y si los sistemas simplemente fallan en bucle, se necesitaría una intervención manual. En esos casos, Crowdstrike explica que se debe iniciar Windows en modo seguro, acceder al directorio 'C:\Windows\System32\drivers\CrowdStrike' en el explorador, buscar el archivo 'C-00000291*.sys' y eliminarlo.
"Minimizar los daños"
El fallo informático de Crowdstrike ha dejado una variedad de repercusiones, tanto para los usuarios como para las propias compañías. Desde interrupciones del servicio y empleados de cientos de empresas sin poder trabajar hasta el malestar de los clientes en los aeropuertos por los retrasos de los vuelos. "No hay pérdida de información ni consecuencias posteriores. En el caso de AENA, me consta que tiene el equipo mejor preparado para afrontar una situación de crisis de estas características. Activaron sus planes de gestión de crisis y prestaron servicio en modo manual y con mecanismos alternativos. Pero es una situación totalmente ajena a sus sistemas de seguridad y su configuración", afirma Nombela.
Chris Dimitriadis va más allá y apunta que este incidente "subraya la urgente necesidad de una sólida ciberresiliencia y preparación para evitar crisis similares en el futuro. En ciberseguridad, la detección y la respuesta en caso de crisis son tan importantes como la protección y la prevención. Deben establecerse los protocolos adecuados con mucha antelación para actuar con rapidez cuando se produzcan ataques e interrupciones y minimizar los daños y trastornos. Pero esto no es posible sin las personas con los conocimientos necesarios para establecer marcos de seguridad a medida y garantizar que todos los implicados reciban formación sobre cómo seguirlos. Si no nos preparamos, esto volverá a ocurrir".
Tras todo lo ocurrido, George Kurtz, CEO de CrowdStrike, aprovechó para salir adelante y pedir disculpas por la repercusión de las interrupciones en todo el mundo causadas por la actualización de software de la plataforma de ciberseguridad. En un comunicado oficial, el directivo señaló que "hemos resuelto el problema. Nuestros clientes siguen estando totalmente protegidos. Comprendemos la gravedad de la situación y lamentamos profundamente las molestias y las interrupciones". Y señaló que estaban trabajando con todos los clientes afectados para "garantizar que los sistemas vuelvan a funcionar y puedan prestar sus servicios".
Kurtz también aclaró en una entrevista con NBC que la firma tendría que investigar más a fondo "la forma en que algunos de los sistemas operativos funcionan. Es nuestra misión, y para eso estamos aquí, asegurarnos de que todos los clientes se recuperan por completo, y no vamos a cesar en nuestro empeño hasta que todos los clientes vuelvan a estar donde estaban. Y seguimos protegiéndolos y manteniendo a los malos fuera de sus sistemas".