El gran problema es que no se puede solucionar este problema de forma remota
Una importante interrupción del servicio informático ha afectado a empresas de todo el mundo, obligando a dejar aviones en tierra y afectando a bancos y al sector sanitario.
George Kurtz, director ejecutivo de la empresa de seguridad informática Crowdstrike, dijo que había rastreado el problema hasta un "defecto encontrado en una única actualización de contenido" del software de seguridad que proporciona para el sistema operativo Microsoft Windows en las computadoras.
Microsoft dijo que el problema fue causado por una “actualización de una plataforma de software de terceros ” y que la “causa subyacente” ya había sido solucionada.
The Conversation habló con el profesor Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, sobre lo que salió mal y cómo se podría resolver el problema.
¿Puedes explicar qué pasó?
Creo que hay dos cosas. En primer lugar, Microsoft parece haber tenido un problema con su plataforma de computación en la nube Azure. No está muy claro, pero se produjo un cierto grado de degradación en ese servicio a partir de la tarde del 18 de julio. Sin embargo, no falló del todo.
Pero el problema más grave parece ser una actualización que se realizó a última hora de la tarde del 18 de julio para el producto Falcon de Crowdstrike (una empresa de seguridad informática). Falcon funciona con un software "agente" profundamente integrado en el sistema operativo de cada PC, que supervisa el equipo y "llama a casa" si hay un problema. También recibe actualizaciones sobre qué buscar en caso de que haya una amenaza. Es muy utilizado por grandes organizaciones de todo el mundo, que tienen una enorme cantidad de PCs que vigilar.
Estoy seguro de que Crowdstrike está investigando urgentemente lo que sucedió. Este software está diseñado para proteger a las personas de ataques de ransomware y similares. Según la última información que he visto, parece que el archivo del sistema de actualización se publicó de alguna manera en un formato incorrecto.
El sistema operativo Windows recibe esta actualización y no sabe cómo manejarla, por lo que se bloquea. Por eso, la gente ha estado viendo la "pantalla azul de la muerte" [una pantalla de computadora con un mensaje de error que indica un bloqueo del sistema].
El gran problema es que no se puede solucionar este problema de forma remota. Hay que entrar en cada máquina por separado y reiniciarla en modo "seguro" o "de recuperación" para aislar el software. A partir de ahí, debería ser posible reiniciar la máquina y ponerla en funcionamiento de nuevo. Pero si se trata de una gran empresa global con un gran parque informático distribuido, eso llevará mucho tiempo.
¿Por qué esta interrupción ha tenido efectos de tan amplio alcance?
Crowdstrike ha sido un gran éxito: su software de seguridad lo utilizan cientos de miles de clientes importantes en todo el mundo. Por eso, aerolíneas, aeropuertos, ferrocarriles, hospitales, bolsas de valores... todos están en crisis.
Todo empezó en Australia cuando se pusieron en marcha el viernes. La actualización se había enviado claramente anoche, hora del Reino Unido, y se ha propagado por todo el mundo.
En los ataques deliberados de ransomware, normalmente se eliminan uno o dos objetivos a la vez, pero en este caso, le ha sucedido a miles de organizaciones a la vez. Nunca habíamos tenido algo así antes.
Todavía está por determinar cómo Crowdstrike solucionará el problema del software. Como he explicado, está claro que las empresas pueden solucionar el problema. Pero para algunas organizaciones muy grandes, esto podría afectar a su infraestructura crítica y a su negocio durante mucho tiempo: les llevará días solucionar físicamente todas esas máquinas.
¿Pueden las empresas de seguridad garantizar que esto no vuelva a suceder?
El software de seguridad está muy relacionado con el sistema operativo de una computadora, está profundamente arraigado en él. Tiene que haber una manera de que, si se descubre que algo está dañado, no siga bloqueando el sistema; esto puede tener que hacerse en cooperación con Microsoft, que es el propietario del sistema operativo Windows.
Tiene que haber alguna forma de salir de ese proceso, y la hay. Sin embargo, la mayoría de las personas que intentan iniciar sesión en sus equipos en blanco no saben cómo ponerlos en modo seguro y volver a un estado anterior.
Por el momento, parece que se trata de un archivo dañado que está generando un problema global. Los ordenadores descargan actualizaciones todo el tiempo, así que no sé cómo Microsoft evita que eso suceda con esta actualización. No resulta obvio de inmediato. Y la pregunta del millón es: ¿Cómo se publicó este archivo dañado en primer lugar?
¿Cuánto tiempo pasará hasta que este problema se resuelva completamente?
Seguramente tomará días, si no semanas. Es como esos hospitales de Londres que fueron atacados con ransomware. Todavía están sufriendo, hay una cola muy larga para estas cosas.
En este caso, no se trata de una cola larga, sino de una franja muy amplia de organizaciones globales en el sector del transporte, la salud y en todas partes. No creo que hayamos visto nada parecido antes.
