Un grave fallo informático ha afectado a empresas de todo el mundo, dejando en tierra aviones y perjudicando a bancos y al sector sanitario.
George Kurtz, director general de la empresa de seguridad informática Crowdstrike, declaró que el problema se debía a un “defecto detectado en una única actualización de contenido” del software de seguridad que suministran para el sistema operativo Microsoft Windows en ordenadores.
Microsoft declaró que el problema se debía a una “actualización de una plataforma de software de terceros” y que la “causa subyacente” ya se había solucionado.
The Conversation ha hablado con el profesor Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, sobre qué fue lo que falló y cómo podría resolverse el problema.
¿Puede explicar lo que ha pasado?
Creo que hay dos cosas. En primer lugar, Microsoft parece haber tenido un problema con la plataforma que suministra sus servicios en la nube, Azure. No está muy claro, pero parece que el servicio comenzó a dar problemas durante la tarde del 18 de julio. Sin embargo, no falló del todo.
Pero la mayor complicación, con diferencia, parece ser una actualización que se supone que se realizó a última hora de la tarde del 18 de julio para el producto Falcon de Crowdstrike, un verificador de amenazas informáticas. Falcon funciona mediante un software “agente” profundamente integrado en el sistema operativo de cada PC, que supervisa ese ordenador y “da la alarma” si hay algún problema. También recibe actualizaciones sobre lo que hay que tener en cuenta en caso de amenazas. Lo utilizan mucho las grandes multinacionales, que tienen que controlar un gran número de ordenadores.
Estoy seguro de que Crowdstrike está investigando urgentemente lo ocurrido. Este software está diseñado para proteger a la gente de ataques de ransomware y similares. Según la información más reciente que he visto, parece que el archivo del sistema de actualización de algún modo se publicó en un formato incorrecto.
El sistema operativo Windows llega a esta actualización y no sabe cómo hacerle frente, por lo que se bloquea. Por eso la gente ha estado recibiendo la “pantalla azul de la muerte”, un mensaje de error en la pantalla que indica un fallo del sistema.
Y el gran problema es que no se puede solucionar a distancia. Hay que entrar en cada máquina por separado y ponerla en modo “seguro” o “de recuperación” para aislar el software. Desde ahí, se debería poder reiniciar la máquina y arrancarla de nuevo. Pero en una empresa internacional con un gran parque informático va a llevar mucho tiempo.
¿Por qué esta interrupción ha tenido tanto alcance?
Crowdstrike ha tenido mucho éxito: cientos de miles de grandes clientes de todo el mundo utilizan su software de seguridad. Así que aerolíneas, aeropuertos, ferrocarriles, hospitales, bolsas… todos están fallando.
En Australia empezó cuando se levantaron para trabajar el viernes. La actualización había sido claramente enviada anoche, hora del Reino Unido, y se ha propagado por todo el mundo.
En los ataques deliberados de ransomware suelen atacar a uno o dos objetivos a la vez. Pero en este caso, le ha ocurrido a miles de organizaciones a la vez. No había sucedido nada como esto antes.
Aún no se ha determinado cómo Crowdstrike corregirá el software. Como he explicado, está claro cómo las empresas pueden evitar el problema. Pero para algunas organizaciones muy grandes, esto podría afectar a su infraestructura crítica y a su negocio durante mucho tiempo: les va a llevar días trabajar físicamente alrededor de todas esas máquinas.
¿Pueden las empresas de seguridad garantizar que esto no vuelva a ocurrir?
El software de seguridad está muy interrelacionado con el sistema operativo de un ordenador. Tiene que haber una forma de que, si detecta que algo está dañado, no siga bloqueando el sistema, algo que quizá haya que hacer en colaboración con Microsoft, propietaria del sistema operativo Windows.
Tiene que haber alguna forma de dar marcha atrás, y la hay. Sin embargo, la mayoría de las personas que intentan entrar en sus PC no saben cómo ponerlos en modo seguro y volver a un estado anterior.
Por el momento, parece que es un archivo dañado el que está produciendo un problema global. Los ordenadores descargan actualizaciones todo el tiempo, así que no sé cómo evita Microsoft que eso ocurra con esta actualización. No es inmediatamente obvio. Y la pregunta del millón es: ¿cómo se liberó este archivo corrupto en primer lugar?
¿Cuánto tardará en resolverse por completo este problema?
Sin duda va a llevar días, si no semanas. Es como esos hospitales de Londres que fueron atacados con ransomware. Todavía están sufriendo, estas cosas dejan una larga estela.
Y en este caso, no es sólo la estela, sino que afecta a una franja muy amplia de organizaciones mundiales de transporte, salud y muchas otras. No creo que hayamos visto nada parecido antes.
En X, antes Twitter, George Kurtz, cofundador y consejero delegado de Crowdstrike, comentó: “Se ha identificado el problema, se ha aislado y se ha implementado una solución. Remitimos a los clientes al portal de soporte para las últimas actualizaciones”.
Este artículo se publicó originalmente en The Conversation.