Colapso informático mundial pone a la ciberempresa CrowdStrike en punto de mira
viernes, 19 de julio de 2024
Se ha convertido en el principal fabricante de un tipo relativamente nuevo de software de seguridad que se considera una de las mejores defensas contra el ransomware
Bloomberg
Detrás de un fallo informático masivo que paralizó vuelos, trastornó mercados y perturbó empresas de todo el mundo hay una empresa de ciberseguridad: CrowdStrike Holdings Inc.
CrowdStrike, conocida por ser un proveedor dominante de software que protege a las empresas de los ataques de ransomware, se vio en el punto de mira el viernes cuando se esforzó por arreglar un parche defectuoso que provocó fallos en cascada en todo el sistema, paralizando el viernes las operaciones de clientes que iban desde bancos a gigantes mundiales del comercio minorista, pasando por sistemas de atención sanitaria.
CrowdStrike fue fundada por antiguos ejecutivos de la empresa pionera en antivirus McAfee Inc. y lanzada en 2012. Se ha convertido en el principal fabricante de un tipo relativamente nuevo de software de seguridad que se considera una de las mejores defensas contra el ransomware y otras amenazas de piratería informática. Controla alrededor del 18% del mercado mundial de US$8.600 millones del llamado software "moderno" de protección de endpoints, justo por delante de su archirrival Microsoft Corp. según la firma de investigación de mercado IDC.
El tipo de software que suministra CrowdStrike es distinto de otros tipos de software de seguridad más antiguos y limitados. El software antivirus tradicional fue útil en los primeros días de la informática e Internet por su capacidad para buscar señales de malware conocido, pero ha caído en desgracia a medida que los ataques se han vuelto más sofisticados. Ahora, los productos conocidos como software de «detección y respuesta de puntos finales» que desarrolla CrowdStrike hacen mucho más, explorando continuamente las máquinas en busca de cualquier signo de actividad sospechosa y automatizando una respuesta.
Pero para ello, estos programas tienen que tener acceso para inspeccionar el núcleo mismo de los sistemas operativos de los ordenadores en busca de defectos de seguridad. Este acceso les da la capacidad de desbaratar los propios sistemas que intentan proteger. Y así es como los sistemas Windows de Microsoft entraron en juego en el apagón del viernes.
Representantes de CrowdStrike, con sede en Austin (Texas), confirmaron los informes en línea de que una actualización defectuosa fue la responsable de inutilizar potencialmente millones de ordenadores Windows corporativos y gubernamentales en todo el mundo y causar la temida «pantalla azul de la muerte».
En un comunicado emitido el viernes, la empresa atribuyó el incidente a "un defecto detectado en una única actualización de contenidos para hosts Windows" y afirmó que la interrupción no se debía a un ciberataque ni a un fallo de seguridad. Los usuarios de Mac o Linux no se han visto afectados, según la empresa, que añade que "ya se ha implementado una solución".
Para aumentar la confusión, un incidente aparentemente independiente relacionado con los servicios en la nube Azure de Microsoft también causó interrupciones el viernes. En una actualización de estado, Microsoft dijo que había solucionado el problema subyacente, pero que los usuarios seguirían sintiendo un "impacto residual".
Las acciones de Crowdstrike bajaron alrededor de un 12% en las operaciones previas a la comercialización del viernes. Las acciones de Microsoft cayeron un 1,3%.
Aunque los profesionales de la ciberseguridad afirman que la tecnología de CrowdStrike es una forma sólida de defenderse contra el ransomware, su coste -que en algunos casos puede superar los US$50 por máquina- hace que la mayoría de las organizaciones no lo instalen en todos sus ordenadores. Lo que esto significa, sin embargo, es que los ordenadores que tienen el software instalado se encuentran entre los más importantes a proteger, y si se caen, los servicios clave pueden caer con ellos.
Una cuestión pendiente es si la corrección del software de CrowdStrike puede realizarse de forma automática o manual.
"Habrá hombres en furgonetas blancas yendo de un lado a otro para intentar arreglar manualmente este problema, incluso cuando publiquen una solución", dijo Alan Woodward, profesor de ciberseguridad en la Universidad de Surrey, en una entrevista con Bloomberg News. "Para utilizar los portátiles, tendrán que intervenir manualmente: es un gran trabajo".
También está la cuestión de cómo se produjo el mal despliegue para empezar.
"CrowdStrike está destinado a mantener estas máquinas seguras», dijo Woodward. «Este es el tipo de cosas que haría un ransomware, pero imagina que un ransomware ataca simultáneamente a las mayores organizaciones del mundo: puertos de contenedores en el Báltico, hospitales, estaciones de tren, todos han sido atacados a la vez por culpa de este pequeño archivo".
La base de clientes de CrowdStrike comprende grandes organizaciones que tienen un gran número de máquinas remotas que gestionar, añadió. "El impacto económico va a ser enorme".