El mayor caos informático de la historia fue provocado por CrowdStrike combinado con Microsoft
Si bien está claro que el origen del problema fue una actualización de CrowdStrike, esto puso en evidencia que el sistema de actualización de Windows no tiene la capacidad de detectar cuando una modificación de una aplicación de un tercero tiene una falla. Resulta paradójico que el mayor incidente de la historia de la IT fuera provocado por una solución de Ciberseguridad.
Los hechos confirmados
El origen del problema fue una actualización del EDR de CrowdStrike que tenía una malformación a nivel de archivo.
El error no fue detectado durante las pruebas previas a la salida a producción (con lo cual todo se podría haber evitado siguiendo el protocolo de prueba y verificación de software más básico).
CrowdStrike declara utilizar Inteligencia Artificial, pero no la aplica a la automatización o semiautomatización de las pruebas de su software.
Microsoft fue un partícipe necesario en el incidente ya su sistema operativo no tiene la capacidad de comprobar que la estructura de un archivo de actualización de un tercero, que va a hacer modificaciones en su sistema, no tenga fallas.
Linux no fue afectado porque está diseñado con una arquitectura de seguridad diferente a la de Windows. Los permisos de archivos, el modelo de control de acceso y la separación de privilegios son inherentes al sistema operativo.
Apple no fue afectado porque gestiona las actualizaciones de macOS de manera centralizada y controlada. Los dos puntos anteriores no implican que Linux y Mac sean mejores, sólo informan que su arquitectura es diferente y, por lo tanto, pueden fallar en situaciones diferentes.
El incidente informático con mayor impacto global en la historia de la IT, pero no el primero
No es la primera vez que el mundo informatizado sufre un problema de alcance casi global. Ejemplos de situaciones similares fueron el gusano Slammer, el ciberataque NotPetya dirigido a Ucrania por Rusia y el Ransomware WannaCry de Corea del Norte. Pero lo más preocupante del problema Crowstrike-Microsoft es que el causante no es ningún formato de ciberataque, sino un error en un software de Ciberseguridad.
Microsoft-CrowdStrike: una superposición de problemas
Lo que generó confusión cuando comenzó a analizarse la información disponible a tempranas horas del pasado viernes, fue el hecho de que, en realidad habían ocurrido dos incidentes graves en el lapso de horas. El jueves por la noche, la plataforma de nube de Microsoft, Azure, sufrió una interrupción generalizada y el viernes por la mañana CrowdStrike lanzó una actualización de software de software que provocó que las computadoras con Windows se bloquearan. Está comprobado que las dos fallas no están relacionadas.
La fragilidad de la IT
Este incidente puso de manifiesto lo que los especialistas de Ciberseguridad venimos alertando desde hace años. El nivel actual de interconectividad a través de Internet es frágil porque no ha terminado de incorporar la Ciberseguridad en su diseño. Siempre se pensó que podía ocurrir algo de estas características, pero que haya ocurrido a partir de un software de ciberseguridad y, además, haya sido precedido por una falla en una plataforma de nube, es uno de los peores escenarios que, además, entra en el campo de lo improbable.
Lo que debemos preguntarnos ahora no es si puede volver a suceder algo así, sino cuando va a suceder y si vamos a estar preparados.
El sector crítico más afectado fue el de salud
Los sistemas críticos y herramientas de diagnóstico médico se enfrentan actualmente a la realidad de que su recuperación demorará días.
Mass General Brigham, el sistema de salud más grandes de Estados Unidos, canceló todas las cirugías, procedimientos y visitas médicas no urgentes. En el Reino Unido, el Royal Surrey NHS Foundation Trust comunicó que todos sus sistemas utilizados para administrar tratamientos de radioterapia no funcionaban. Hospitales en Canadá, Alemania e Israel anunciaron problemas similares. Tal vez la situación más compleja fue el bloqueo del sistema de llamadas de emergencia 911 de Estados Unidos, ya que no sólo se ocupa de los aspectos relativos a la salud, sino también a los incidentes en que deben intervenir policía y bomberos.
El crecimiento de los grandes sistemas de salud los ha vuelto dependientes de la digitalización por una cuestión de necesidad, pues resultaría muy difícil realizar de manera manual tareas como manejar los registros médicos electrónicos que almacenan información vital sobre pacientes individuales.
Las consecuencias de esta dependencia pueden producir efectos cascada que afecten a las personas. Si el sistema de registros médicos no funciona es difícil tomar decisiones clínicas. En estos momentos, el sistema hospitalario de Estados Unidos se está planteando seriamente volver a tener respaldos en papel y asegurarse de que dispositivos vitales como bombas de infusión, monitores de presión arterial y ventiladores que se controlan en la red interna estén aislados de Internet.
Otro aspecto de salud que trajo esta catástrofe es el hecho que muchos pacientes están permaneciendo en los hospitales por más tiempo, debido a que no se cuenta con la información para darlos de alta, lo que les genera el riesgo de contraer infecciones. Además, esta situación hace que haya menos camas disponibles para los nuevos pacientes.
Independientemente del país que se trate, cualquier sistema médico digitalizado demorará días en recuperarse.
Estafas relacionadas con el problema de CrowdStrike
Distintas fuentes de investigación en Ciberseguridad como la Universidad de la Carnegie Mellon, reportaron el viernes por la tarde que los ciberdelincuentes comenzaron a registrar nombres de dominio y a crear sitios web para ejecutar estafas de “soporte de CrowdStrike” dirigidas a los clientes de la compañía y a cualquier persona que pueda verse afectada. El objetivo de estas acciones es engañar a las personas y hacer que les envíen dinero, robar credenciales de cuentas objetivo o comprometer a las víctimas con malware.
Los propios investigadores de CrowdStrike advirtieron sobre esta actividad el viernes y publicaron una lista de dominios registrados para hacerse pasar por la compañía.