La actualización de CrowdStrike que provocó una interrupción global puede haber omitido las comprobaciones, dicen los expertos
Los bancos globales, las aerolíneas, los hospitales y las oficinas gubernamentales se han visto afectados. CrowdStrike ha publicado información para reparar los sistemas afectados, pero los expertos dijeron que llevará algún tiempo volver a ponerlos en funcionamiento porque requiere eliminar manualmente el código defectuoso.
«Parece que el escaneo o la protección que están haciendo cuando miran el código, es posible que ese archivo no haya sido incluido en eso o de alguna manera se haya escapado», dijo Steve Cobb, director de seguridad de Security Scorecard, algunos de cuyos sistemas también se vieron afectados por el problema.
Los problemas surgieron rápidamente después de que se lanzó la actualización el viernes y los usuarios publicaron fotos en las redes sociales de computadoras con pantallas azules que mostraban mensajes de error. Éstas se conocen en la industria como «pantallas azules de la muerte».
Patrick Wardle, un investigador de seguridad que se especializa en estudiar amenazas contra sistemas operativos, dijo que su análisis identificó el código responsable de la interrupción.
Dijo que el problema con la actualización estaba «en un archivo que contiene información de configuración o firmas». Estas firmas son códigos que detectan ciertos tipos de código malicioso o malware.
«Es muy común que los productos de seguridad actualicen sus firmas una vez al día… porque están constantemente monitoreando la aparición de nuevo malware y porque quieren asegurarse de que sus clientes estén protegidos contra las últimas amenazas», dijo.
El ritmo de las actualizaciones «es probablemente la razón por la que (CrowdStrike) no las prueba tanto», dijo.
No está claro cómo llegó este código defectuoso a la actualización y por qué no se detectó antes de su lanzamiento a los clientes.
«Lo ideal sería que esta tecnología se hubiera implementado primero en un grupo limitado. Este es un enfoque más seguro para evitar un gran lío como este», dijo John Hammond, investigador principal de seguridad de Huntress Labs.
Otras empresas de seguridad se han enfrentado a incidentes similares en el pasado. Una actualización defectuosa del antivirus McAfee en 2010 provocó que cientos de miles de computadoras fallaran.
Pero el impacto global de esta interrupción refleja el dominio de CrowdStrike. Más de la mitad de las empresas Fortune 500 y muchas agencias gubernamentales, como la principal agencia de ciberseguridad de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad, utilizan el software de la empresa.
«Web friki. Wannabe pensador. Lector. Evangelista de viajes independiente. Aficionado a la cultura pop. Erudito musical certificado».
