CLAVES PARA ENTENDER EL FALLO DE CROWDSTRIKE
Carlos Flores
Agencia Reforma
Ciudad de México 19 julio 2024.- Un error en la actualización de software por parte de la empresa de ciberseguridad CrowdStrike provocó fallas en computadoras de empresas a nivel global. Expertos en seguridad informática explicaron a Grupo REFORMA las condiciones en las que ocurrió el colapso.
José Ramírez, director regional de ventas en Latinoamérica en Stellar Cyber, dijo que CrowdStrike desarrolla una solución llamada Endpoint Detection and Response (EDR) que protege a las organizaciones de ciberataques de manera general.
Esta solución se instala en las computadoras y se actualiza constantemente para detectar nuevas amenazas; sin embargo, el último paquete enviado a los clientes, en este caso a las máquinas con sistema operativo Windows, estaba corrupto.
“Aquellos equipos que lograron descargar esa actualización tuvieron esa afectación. Y, principalmente, observamos problemas en los servidores localizados en Europa y Asia, así como en máquinas que se encontraban encendidas durante el despliegue”, comentó.
¿Qué tan común es el EDR de CrowdStrike? El especialista habló de millones de equipos afectados, incluso señaló que la solución es empleada por buena parte de las empresas del listado del Fortune 500.
CrowdStrike presume en su sitio que brindan cobertura a 298 empresas del Fortune 500 y a 538 del Fortune 1000, así como la protección de 43 de las 50 entidades de Estados Unidos.
Por su parte, Israel Gutiérrez, gerente para México de A3Sec, mencionó que el servicio que ofrece CrowdStrike se ha vuelto muy famoso por ser una plataforma eficiente en la detección de malware para equipos de cómputo desde un modelo descentralizado.
Añadió que el servicio reside en la nube, lo que brinda rapidez en la entrega de actualizaciones. No obstante, cuando los equipos con Windows recibieron la última versión, entraron en un ciclo de reinicio constante bloqueando las computadoras.
Según el vocero, la demanda del servicio de CrowdStrike es alta por las ventajas de ser un agente liviano, muy pequeño, que puede ser adoptado en diferentes tipos de equipos como quioscos de atención a clientes o sistemas de autocobro.
“Es una de las principales firmas en el mercado, de ahí su nivel de distribución global, lo que implicó que el impacto fuera mayor. La combinación de una plataforma como Microsoft y CrowdStrike tuvo un embate notable”, remarcó.
El gerente añadió que las empresas tendrán que realizar acciones manuales para entrar en modos específicos en sus máquinas y restaurarlas a su estado normal.
En una postura escrita a REFORMA, la firma de ciberseguridad Kaspersky expresó que en un problema de este tipo, cada dispositivo como computadora, portátil o servidor debe reiniciarse en modo seguro manualmente.
Camilo Gutiérrez, jefe de laboratorio de Eset Latinoamérica, apuntó que el EDR es una tecnología que las empresas han empezado a utilizar para agregar una capa de seguridad más a sus operaciones. Lo que hace es monitorear, detectar y dar respuesta a incidentes cibercriminales.
Coincidió en que hubo una actualización en su solución, pero no el cuidado en probar cómo reaccionaría sobre el sistema operativo. Esto generó que las computadoras entraran en un bucle de querer actualizarse, pero al no poder realizarlo arrojó el error de las pantallas azules, conocidas en informática como las pantallas azules de la muerte.
Los tres voceros consideraron que este evento traerá mejoras en las áreas de prueba de las compañías de ciberseguridad y un mayor escrutinio sobre estas empresas. Ramírez, de Stellar Cyber, recomendó que el entorno productivo y el entorno de respaldo de las empresas tengan dos EDR diferentes.
“El entorno de respaldo es lo que llamamos técnicamente como el BCP, el Business Continuity Plan, o el DRP, el Disaster Recovery Plan. Son sistemas que, en dado caso de que nuestro ambiente productivo falle, nos movemos a ambientes alternos. Entonces, ahí es donde vamos a tener la necesidad de tener un ambiente de EDR distinto para poder protegernos”, refirió.
En tanto, Israel Gutiérrez, de A3Sec, dijo que las implementaciones de herramientas de ciberseguridad en las empresas deben venir acompañadas de expertos que les ayuden a entender cómo funcionan, así como transparentar los riesgos y mantenimientos que se requieren.
Dentro de la postura de Kaspersky, Alexander Liskin, jefe de Investigación de Amenazas, sugirió que para evitar estas situaciones, los proveedores de seguridad deben ser responsables con la calidad de las actualizaciones que lanzan y contar con un marco interno para prevenir fallos masivos.
Por último, el especialista de Eset consideró que es importante la comunicación con los proveedores de ciberseguridad, cuestionarlos sobre este tipo de actualizaciones, mientras que al interior de las empresas es indispensable realizar pruebas de concepto. En el corto plazo, cree que este evento ayudará a mejorar el ecosistema de ciberseguridad.