La interrupción tecnológica mundial comenzó con una actualización defectuosa de Crowdstrike para Microsoft Windows

Una importante interrupción del servicio informático ha afectado a empresas de todo el mundo, obligando a aterrizar aviones y afectando a bancos y al sector sanitario.

Sobre el apoyo al periodismo científico

Si le gusta este artículo, considere apoyar nuestro periodismo galardonado suscribiéndoseAl comprar una suscripción, usted contribuye a garantizar el futuro de historias impactantes sobre los descubrimientos e ideas que dan forma a nuestro mundo actual.

George Kurtz, director ejecutivo de la empresa de seguridad informática Crowdstrike, dijo que había rastreado el problema hasta un “Defecto encontrado en una única actualización de contenido” por el software de seguridad que proporciona para el sistema operativo Microsoft Windows en las computadoras.

Microsoft dijo que el problema fue causado por una “actualización de un plataforma de software de terceros” y que el “causa subyacente”Ya se había solucionado.

The Conversation habló con el profesor Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, sobre lo que salió mal y cómo se podría resolver el problema.

¿Puedes explicar qué pasó aquí?

Creo que hay dos cosas. En primer lugar, Microsoft parece haber tenido un problema con su plataforma de computación en la nube Azure. No está muy claro, pero se produjo un cierto grado de degradación en ese servicio a partir de la tarde del 18 de julio. Sin embargo, no falló del todo.

Pero el problema más grande parece ser una actualización que aparentemente se realizó a última hora de la tarde del 18 de julio. [IT security company] Falcon, el producto de Crowdstrike, es un detector de amenazas informáticas. Falcon funciona con un software “agente” integrado en el sistema operativo de cada PC, que supervisa el equipo y “llama a casa” si hay un problema. También recibe actualizaciones sobre qué hay que tener en cuenta si hay una amenaza. Es muy utilizado por grandes organizaciones de todo el mundo, que tienen una enorme cantidad de PC que vigilar.

Estoy seguro de que Crowdstrike está investigando urgentemente lo que sucedió. Este software está diseñado para proteger a las personas de ataques de ransomware y similares. Según la última información que he visto, parece que el archivo del sistema de actualización se publicó de alguna manera en un formato incorrecto.

El sistema operativo Windows recibe esta actualización y no sabe cómo manejarla, por lo que se bloquea. Por eso la gente ha estado viendo la “pantalla azul de la muerte”. [a computer screen with an error message indicating a system crash].

El gran problema es que no se puede solucionar este problema de forma remota. Hay que entrar en cada máquina por separado y ponerla en modo “seguro” o “de recuperación” para aislar el software. A partir de ahí, debería ser posible reiniciar la máquina y ponerla en funcionamiento de nuevo. Pero si se trata de una gran empresa global con un gran parque informático distribuido, eso llevará mucho tiempo.

¿Por qué esta interrupción ha tenido efectos de tan amplio alcance?

Crowdstrike ha sido un gran éxito: su software de seguridad lo utilizan cientos de miles de clientes importantes en todo el mundo. Por eso, aerolíneas, aeropuertos, ferrocarriles, hospitales, bolsas de valores… todos están en crisis.

Todo empezó en Australia cuando se pusieron en marcha el viernes. La actualización se había enviado claramente anoche, hora del Reino Unido, y se ha propagado por todo el mundo.

En los ataques deliberados de ransomware, normalmente se eliminan uno o dos objetivos a la vez, pero en este caso, le ha sucedido a miles de organizaciones a la vez. Nunca habíamos tenido algo así antes.

Todavía está por determinar cómo Crowdstrike solucionará el problema del software. Como he explicado, está claro que las empresas pueden solucionar el problema. Pero para algunas organizaciones muy grandes, esto podría afectar a su infraestructura crítica y a su negocio durante mucho tiempo: les llevará días solucionar físicamente todas esas máquinas.

¿Pueden las empresas de seguridad garantizar que esto no vuelva a suceder?

El software de seguridad está muy relacionado con el sistema operativo de una computadora, está profundamente arraigado en él. Tiene que haber una manera de que, si se descubre que algo está dañado, no siga bloqueando el sistema; esto puede tener que hacerse en cooperación con Microsoft, que es el propietario del sistema operativo Windows.

Tiene que haber alguna forma de salir de ese proceso, y la hay. Sin embargo, la mayoría de las personas que intentan iniciar sesión en sus equipos en blanco no saben cómo ponerlos en modo seguro y volver a un estado anterior.

Por el momento, parece que se trata de un archivo dañado que está generando un problema global. Los ordenadores descargan actualizaciones todo el tiempo, así que no sé cómo Microsoft evita que eso suceda con esta actualización. No resulta obvio de inmediato. Y la pregunta del millón es: ¿cómo se publicó este archivo dañado en primer lugar?

¿Cuánto tiempo pasará hasta que este problema se resuelva completamente?

Seguramente tomará días, si no semanas. Es como esos hospitales de Londres que… Fui atacado con ransomwareTodavía están sufriendo. Estas cosas tienen una cola muy larga.

En este caso, no se trata de una cola larga, sino de una franja muy amplia de organizaciones globales en el sector del transporte, la salud y en todas partes. No creo que hayamos visto nada parecido antes.

En X, anteriormente Twitter, George Kurtz, cofundador y director ejecutivo de Crowdstrike, comentado:“Se ha identificado el problema, se ha aislado y se ha implementado una solución. Remitimos a los clientes al portal de soporte para obtener las últimas actualizaciones”.

Este artículo fue publicado originalmente en La conversación. Leer el artículo original.