Detrás de una falla masiva de TI que provocó la suspensión de vuelos, trastocó mercados y perturbó corporaciones en todo el mundo se encuentra una empresa de ciberseguridad: CrowdStrike.
CrowdStrike, conocido como un proveedor dominante de software que protege a las empresas de ataques de ransomware, se convirtió en el centro de atención el viernes mientras luchaba por reparar un parche defectuoso que provocó fallas en cascada en todo el sistema, paralizando las operaciones de clientes que van desde bancos hasta gigantes minoristas globales y sistemas de atención médica.
La reacción de Wall Street ante la monumental metedura de pata de CrowdStrike no se hizo esperar: sus acciones cayeron hasta un 15% en las operaciones de Nueva York el viernes, lo que eliminó casi 8.000 millones de dólares de su valor de mercado. La empresa todavía vale casi 80.000 millones de dólares.
CrowdStrike fue fundada por ex ejecutivos de McAfee, una empresa pionera en antivirus, y se lanzó en 2012. Se ha convertido en el principal fabricante de un tipo relativamente nuevo de software de seguridad que se considera una de las mejores defensas contra el ransomware y otras amenazas de piratería. Controla alrededor del 18% del mercado global de 12.600 millones de dólares del llamado software de protección de endpoints «moderno», por detrás del 25,8% de su archirrival Microsoft Corp., según la firma de investigación de mercado IDC.
El crecimiento de la empresa ha ido en contra de la tendencia general en materia de ciberseguridad, y la firma ha informado de unos beneficios espectaculares en su último trimestre. El consejero delegado, George Kurtz, aprovechó la oportunidad para lanzar dardos a su rival de mayor tamaño, diciendo en junio que la tecnología de CrowdStrike «crea una amplia ventaja competitiva» en el sector cibernético, donde Microsoft tiene unos ingresos anuales de 20.000 millones de dólares. Después de que un informe del Departamento de Seguridad Nacional de Estados Unidos criticara las deficiencias de seguridad de Microsoft, Kurtz dijo que CrowdStrike había recibido una «oleada de peticiones».
«Hay una crisis generalizada de confianza entre los equipos de seguridad y TI dentro de la base de clientes de seguridad de Microsoft», afirmó.
El tipo de software que ofrece CrowdStrike es independiente y distinto de los tipos de software de seguridad más antiguos y más limitados. El software antivirus tradicional era útil en los primeros tiempos de la informática y de Internet por su capacidad para buscar señales de malware conocido, pero ha caído en desuso a medida que los ataques se han vuelto más sofisticados. Ahora, los productos conocidos como software de «detección y respuesta de endpoints» que desarrolla CrowdStrike hacen mucho más, escaneando continuamente las máquinas en busca de cualquier señal de actividad sospechosa y automatizando una respuesta.
Pero para ello, es necesario permitir a estos programas el acceso a la base misma de los sistemas operativos de los ordenadores para detectar posibles defectos de seguridad. Este acceso les permite alterar los sistemas que intentan proteger. Y así es como los sistemas Windows de Microsoft entraron en juego en la interrupción del servicio del viernes.
Representantes de CrowdStrike, con sede en Austin, Texas, confirmaron informes en línea de que una actualización defectuosa fue responsable de deshabilitar potencialmente millones de computadoras corporativas y gubernamentales con Windows en todo el mundo y causar la temida «pantalla azul de la muerte».
La compañía atribuyó el incidente a «un defecto encontrado en una única actualización de contenido para hosts de Windows», en un comunicado publicado el viernes y dijo que la interrupción no se debió a un ciberataque ni a una violación de seguridad. Cualquiera que utilice una máquina Mac o Linux no se verá afectado, dijo la compañía, y agregó que «se ha implementado una solución».
Para aumentar la confusión, un incidente aparentemente independiente que afectó a los servicios en la nube Azure de Microsoft también causó interrupciones el viernes. En una actualización de estado, Microsoft dijo que había solucionado el problema subyacente, pero que los usuarios seguirían experimentando un «impacto residual».
Aunque los profesionales de la ciberseguridad afirman que la tecnología de CrowdStrike es una forma eficaz de defenderse del ransomware, su coste (que en algunos casos puede superar los 50 dólares por máquina) implica que la mayoría de las organizaciones no la instalan en todas sus computadoras. Sin embargo, eso significa que las computadoras que tienen instalado el software son de las más importantes para proteger y, si dejan de funcionar, los servicios clave también pueden dejar de funcionar.
Ahora que la solución de CrowdStrike está disponible, cualquier computadora de escritorio o portátil con Windows que tenga el producto CrowdStrike afectado por la actualización defectuosa inicial deberá actualizarse.
El grado de complejidad del proceso dependerá de si CrowdStrike puede implementar la solución automáticamente o si cada máquina deberá reiniciarse manualmente. En una entrevista con CNBC el viernes, el director ejecutivo de CrowdStrike, George Kurtz, dijo que la empresa estaba buscando formas de automatizar los pasos involucrados, lo que sugiere que al menos algunos clientes están atrapados con soluciones manuales por ahora. La empresa también ha abordado la actualización del software que está en la raíz del problema, dijo Kurtz.
«Se trataba de un error de contenido o de una actualización que enviamos y que identificamos y que revertimos», dijo Kurtz en una entrevista con CNBC el viernes. Se disculpó con los clientes afectados y dijo que algunos sistemas tardarían unas horas en volver a estar en línea, mientras que otros tardarían más.
Eso significa que las entidades afectadas (desde bancos hasta bolsas y puertos marítimos) podrían tardar días en volver a estar completamente en línea, según Alan Woodward, profesor de ciberseguridad en la Universidad de Surrey.
«Para utilizar las computadoras portátiles, tendrán que intervenir manualmente: es un gran trabajo», dijo Woodward en una entrevista anterior con Bloomberg News.
También está la cuestión de cómo se produjo el mal lanzamiento.
“El objetivo de CrowdStrike es mantener seguras estas máquinas”, dijo Woodward. “Este es el tipo de cosas que haría un ransomware, pero imaginemos que un ransomware ataca simultáneamente a las organizaciones más grandes del mundo: puertos de contenedores en el Báltico, hospitales, estaciones de tren; todas han sido atacadas a la vez debido a este pequeño archivo”.
La base de clientes de CrowdStrike está formada por grandes organizaciones que tienen que gestionar una gran cantidad de máquinas remotas, afirmó. “El impacto económico va a ser enorme”.