La compañía de ciberseguridad CrowdStrike reveló los detalles detrás de la interrupción global que afectó a millones de usuarios de Microsoft Windows la semana pasada. Un fallo en una herramienta de control de calidad provocó que una actualización crítica errónea se distribuyera a los sistemas de los usuarios, según un informe publicado el miércoles 24 de julio.
Esto llevó a interrupciones en todo el mundo, cancelando y retrasando decenas de miles de vuelos y paralizando operaciones en instituciones financieras, agencias gubernamentales, centros médicos y distritos escolares.
George Kurtz, CEO de CrowdStrike, se disculpó por el incidente que afectó gravemente la reputación de la empresa y provocó una caída significativa en su valor en el mercado.
En respuesta, CrowdStrike delineó nuevos pasos para evitar futuras interrupciones. Según publicó The Wall Street Journal (WSJ), la compañía planea realizar pruebas más exhaustivas de las actualizaciones antes de su envío y desplegarlas gradualmente a grupos más grandes de usuarios, un proceso conocido como “canary deployment”. Esto permitirá identificar problemas antes de un despliegue más amplio.
Dave DeWalt, ex-CEO de McAfee y actual director en la firma de capital de riesgo NightDragon, destacó la importancia de confinar las actualizaciones en un área de cuarentena para su prueba antes de un despliegue completo. “Un despliegue completo desde un proveedor de seguridad a cada cliente en minutos es muy peligroso”, subrayó DeWalt, quien ha estado en contacto regular con Kurtz desde el incidente.
El error desencadenó un caos global, afectando aproximadamente a 8,5 millones de dispositivos. Gran parte de estos aparatos formaban parte de extensos sistemas de tecnología corporativos, amplificando el impacto.
Chris Krebs, jefe de inteligencia y políticas públicas en SentinelOne, una empresa rival de CrowdStrike, comentó sobre la falta de transparencia en muchas de estas compañías que suministran servicios críticos. “El mayor problema es la real falta de transparencia en muchas de estas empresas que están proporcionando estos servicios críticos”, dijo al WSJ, el ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos.
Entre los sectores más afectados estuvo la industria aérea, en especial la aerolínea Delta Air Lines. La compañía canceló más de 5.000 vuelos durante el día del incidente y posteriores. El sistema de seguimiento de tripulación de Delta fue uno de los más gravemente afectados, impidiendo que la aerolínea ubicara a sus pilotos y asistentes para los vuelos programados.
Rahul Samant, CEO de Delta, explicó en un vídeo a los empleados que han tenido que reparar manualmente más de 1.500 sistemas, un proceso complejo y que requiere mucho tiempo.
Por su parte los funcionarios federales de transporte iniciaron una investigación sobre la gestión de la situación por parte de Delta. En una declaración realizada el miércoles, Ed Bastian, CEO de Delta, aseguró que la compañía avanzaba hacia la restauración de las operaciones normales, y se esperaban cancelaciones mínimas para el miércoles, con la normalidad completamente restaurada el jueves. Delta también está ofreciendo reembolsos y vales de viaje a los afectados.
CrowdStrike advirtió a sus clientes el lunes acerca de actores malintencionados que están intentando explotar el incidente. “Identificamos un archivo malicioso que está siendo distribuido por hackers que se hacen pasar por una ‘solución rápida’ al problema”, indicó la empresa en una publicación de blog.
“El evento global del viernes probablemente ponga más presión sobre los proveedores para que expliquen exactamente cómo realizan sus pruebas y detallen sus procesos para garantizar que su contenido sea seguro”, opinó DeWalt.
La transparencia y la revisión exhaustiva de las actualizaciones serán cruciales para evitar incidentes futuros y restaurar la confianza en la infraestructura digital. “Mi preocupación es que estamos al borde de una crisis de confianza en esta infraestructura digital de la que todos dependemos tanto”, concluyó Krebs.