Colapso global de Windows refleja los riesgos de centralizar la ciberseguridad
Una sola empresa logró colapsar a aerolíneas, hospitales y miles de ordenadores alrededor del mundo. La actualización de software defectuosa enviada a clientes de Windows Microsoft por CrowdStrike, una empresa de seguridad informática, evidenció los riesgos de centralizar la ciberseguridad de miles de servidores en una empresa.
CrowdStrike, una empresa con sede en Austin, Texas, desarrolla software de seguridad utilizado por multinacionales, agencias gubernamentales y diversas organizaciones para protegerse contra ataques cibernéticos y amenazas en línea.
Según cifras de la firma de investigación IDC, la compañía controla alrededor del 18% del mercado mundial de endpoints, que son dispositivos o nodos finales que se conectan a una red, e incluyen computadoras de escritorio y portátiles, teléfonos móviles y tablets, servidores, dispositivos de red como routers y switches, dispositivos IoT (Internet de las cosas), como cámaras de seguridad y sistemas de control de acceso.
La falla proveniente de la actualización expuso la dependencia en gran medida de Microsoft, pero además, de unas pocas empresas de ciberseguridad, como CrowdStrike. La crisis fue una evidencia de que, cuando se lanza un solo programa defectuoso, puede afectar rápidamente a numerosas empresas y organizaciones que utilizan esa tecnología en sus operaciones diarias, tal como afirma The New York Times.
“Esta es una ilustración muy, muy incómoda de la fragilidad de la infraestructura central de Internet del mundo”, dijo Ciaran Martin, ex director ejecutivo del Centro Nacional de Seguridad Cibernética de Gran Bretaña y profesor de la Escuela de Gobierno Blavatnik de la Universidad de Oxford para el periódico estadounidense.
Todo comenzó el jueves, cuando Microsoft enfrentó una interrupción en su servicio en la nube, Azure, que afectó a varias aerolíneas. CrowdStrike entonces lanzó una actualización de su software Falcon Sensor, diseñado para detectar intrusiones.
Sin embargo, la actualización defectuosa provocó que los ordenadores con Windows se reiniciaran continuamente, mostrando la temida "pantalla azul de la muerte". Se sospecha que la falta de pruebas adecuadas fue la causa del problema, según cita el periódico estadounidense.
No presioné ctrl + S :( pic.twitter.com/LHBt7A6vmT
— KillerPenguinxd (@LaPenguinxd) August 8, 2023
La falla hizo que los ordenadores entraran en un bucle de arranque de recuperación que impide su inicio correcto. CrowdStrike asegura haber identificado el problema y haber implementado una solución, pero la reparación de las máquinas afectadas será complicada para los administradores de TI. La causa principal parece ser una actualización del controlador a nivel de kernel que CrowdStrike emplea para proteger las máquinas Windows.
Aunque la empresa ha revertido la actualización defectuosa tras recibir "informes generalizados de BSOD en equipos con Windows", esta medida no ha solucionado los problemas en las máquinas ya afectadas.
Esta no es la primera vez que la empresa tiene una falla en sus productos. En abril, la empresa envió una actualización para clientes que usaban Linux, la cual provocó bloqueos en los ordenadores, según un informe interno obtenido por The New York Times.
Además, la empresa ha participado en investigaciones de varios ataques cibernéticos importantes, incluyendo el hackeo a Sony Pictures en 2014. En 2016, el Partido Demócrata de Estados Unidos contrató a CrowdStrike para investigar una brecha en su red informática.
Sin embargo, en junio del año pasado, un alto miembro del Congreso de los Estados Unidos expresó su preocupación por la creciente dependencia del Departamento de Defensa en Microsoft para herramientas y servicios de ciberseguridad, advirtiendo que esta exclusividad podría representar un riesgo de seguridad y limitar la competencia entre proveedores.
El medio de comunicación Newsweek informó que muchos líderes de TI del Pentágono habían cuestionado la decisión del año pasado de abandonar un programa de ciberseguridad de larga data, que era abierto a múltiples proveedores, en favor de las herramientas de seguridad de Microsoft.
Actualmente se estima que la empresa cuenta con aproximadamente 24 mil clientes, incluidos algunos de los mayores corporaciones globales. Además, la compañía emplea a cerca de 8,500 personas y cotiza en la bolsa de valores Nasdaq desde 2019.
Satya Nadella, CEO de Microsoft afirmó que su empresa está trabajando para ayudar a los clientes a "restablecer sus sistemas".
No presioné ctrl + S :( pic.twitter.com/LHBt7A6vmT
— KillerPenguinxd (@LaPenguinxd) August 8, 2023
Sin embargo, la responsabilidad completa de las fallas mundiales dimensionan la peligrosidad de depender de una sola empresa de ciberseguridad y de cerrar la posibilidad a más empresas.
Pero además, afloran los cuestionamientos sobre las responsabilidades que ella y otros fabricantes de software deben asumir en caso de interrupciones graves e incidentes de ciberseguridad, que según opinan expertos, pueden incrementarse durante este apagón.
“Actualmente nos encontramos en una de las mayores interrupciones de TI globales de la historia. Recuerde: verifique que las personas sean quienes dicen ser antes de realizar acciones sensibles. Los delincuentes intentarán utilizar esta interrupción de TI para hacerse pasar por TI o usted ante TI para robar acceso, contraseñas, códigos, etc”, señala Rachel Tobac, Directora ejecutiva de SocialProof Security, y Friendly Hacker a través de X.
La vulnerabilidad es causada por un riesgo que permite a un atacante enviar un paquete de red malicioso a un sistema cercano con Wi-Fi, tal como lo explica Jaime Restrepo, CEO de DragonJar, a través de LinkedIn.
“La vulnerabilidad CVE-2024-30078 es un fallo crítico en el controlador Wi-Fi de Windows, con una alta gravedad. Permite a un atacante enviar un paquete de red malicioso a un sistema cercano con Wi-Fi, lo que puede resultar en la ejecución de código malicioso con privilegios de SISTEMA. No requiere autenticación ni interacción del usuario, lo que la hace especialmente peligrosa en lugares con muchos dispositivos conectados, como hoteles y en congresos”, escribió.
Para protegerse, el experto en hackeo de activos, recomienda aplicar de inmediato el parche que Microsoft ha lanzado. Además, activar un firewall para bloquear estos ataques, y desactivar el Wi-Fi cuando la reducción de riesgo no sea posible.
