El balance de la caída de Microsoft: “Muestra lo fácil que es infligir un daño global”
Pese a la magnitud de la caída de Microsoft provocada por el fallo en la actualización de Crowdstrike, los expertos creen que las consecuencias podrían haber sido peores si se hubiera tratado de un ataque de ransomware. Ya hay soluciones para evitar la llamada “pantalla azul de la muerte”.
‘MIT Technology Review’ lo explica: Deje que nuestros redactores desenreden el complejo y desordenado mundo de la tecnología para ayudarle a comprender lo que viene a continuación.
Los ordenadores con Windows han colapsado en un grave fallo informático en todo el mundo, paralizando aerolíneas, grandes bancos, cadenas de televisión, proveedores de asistencia sanitaria y otras empresas.
Aerolíneas como United, Delta y American se vieron obligadas a interrumpir y retrasar vuelos, dejando a los pasajeros atrapados en los aeropuertos, mientras que la cadena británica Sky News tuvo que dejar de emitir temporalmente. Mientras tanto, los clientes bancarios de Europa, Australia e India no pudieron acceder a sus cuentas en línea. Las consultas médicas y los hospitales del Reino Unido perdieron el acceso a los historiales de los pacientes y a los sistemas de programación de citas.
El problema se debe a un defecto en una actualización de contenidos para equipos Windows del proveedor de ciberseguridad CrowdStrike. George Kurtz, CEO de CrowdStrike, ha afirmado que la compañía está trabajando activamente con los clientes afectados.
“El problema ha sido identificado, aislado y se ha desplegado una solución. Remitimos a los clientes al portal de soporte para las últimas actualizaciones y seguiremos proporcionando actualizaciones completas y continuas en nuestro sitio web.” CrowdStrike remitió a MIT Technology Review a su blog con actualizaciones adicionales para los clientes.
¿Cuál es la causa del problema?
El problema tiene su origen en una actualización defectuosa de CrowdStrike, que ha dejado fuera de línea a los servidores y PC afectados y ha provocado que algunas estaciones de trabajo Windows muestren la «pantalla azul de la muerte» cuando los usuarios intentan arrancarlas. Los equipos Mac y Linux no están afectados.
La actualización estaba destinada al software Falcon de CrowdStrike, que es un software de «detección y respuesta de punto final» diseñado para proteger los sistemas informáticos de las empresas de ciberataques y malware. Pero en lugar de funcionar como se esperaba, la actualización hizo que los ordenadores con software Windows se bloquearan y no se reiniciaran. Es menos probable que los ordenadores domésticos con Windows se hayan visto afectados, porque CrowdStrike es utilizado predominantemente por grandes organizaciones. Microsoft no respondió inmediatamente a una solicitud de comentarios.
“El software de CrowdStrike funciona en la capa de bajo nivel del sistema operativo. Los problemas a este nivel hacen que el sistema operativo no arranque», afirma Lukasz Olejnik, investigador y consultor independiente en ciberseguridad y autor de Philosophy of Cybersecurity.
No todos los ordenadores con Windows se vieron afectados de la misma manera, afirma, señalando que si los sistemas de una máquina hubieran estado apagados en el momento en que CrowdStrike envió la actualización (que ya ha sido retirada), no la habría recibido.
Para las máquinas que ejecutan sistemas que recibieron la actualización manipulada y se reiniciaron, una actualización automatizada de la infraestructura de gestión de servidores de CloudStrike debería ser suficiente, dice.
«Pero en miles o millones de casos, esto puede requerir la intervención humana manual», añade. «Eso significa que se avecina un fin de semana [por el pasado fin de semana] realmente malo para mucho personal informático».
Cómo reparar manualmente el ordenador afectado
Existe una solución conocida para los ordenadores Windows que requiere acceso administrativo a sus sistemas. Si estás afectado y tienes ese nivel de acceso, CrowdStrike ha recomendado los siguientes pasos:
1. Arranque Windows en modo seguro o en el entorno de recuperación de Windows.
2. Navegue hasta el directorio C:\Windows\System32\drivers\CrowdStrike.
3. Localice el archivo que coincida con «C-00000291*.sys» y elimínelo.
4. Arranque la máquina normalmente.
Parece sencillo, ¿verdad? Pero aunque la solución anterior es bastante fácil de administrar, requiere que alguien la introduzca físicamente, lo que significa que los equipos informáticos tendrán que localizar las máquinas remotas que se hayan visto afectadas, afirma Andrew Dwyer, del Departamento de Seguridad de la Información de Royal Holloway University of London.
«Hemos tenido bastante suerte de que se trate de un apagón y no de una explotación por parte de una banda criminal u otro Estado», afirma. «También muestra lo fácil que es infligir un daño global bastante significativo si te metes en la parte correcta de la cadena de suministro de TI».
Aunque solucionar el problema va a causar dolores de cabeza a los equipos de TI durante la próxima semana o así, es muy poco probable que cause daños significativos a largo plazo a los sistemas afectados, lo que no habría sido el caso si hubiera sido un ransomware en lugar de una actualización chapucera, dice.
«Si se hubiera tratado de un ransomware, podría haber habido interrupciones significativas durante meses», añade. “Sin el software de detección de endpoints, muchas organizaciones estarían en una situación mucho más vulnerable. Pero son nodos críticos del sistema que tienen mucho acceso a los sistemas informáticos que utilizamos.”
Fuente: www.technologyreview.es