¿Qué pasó con CrowdStrike? La caída mundial de servidores explicada
El viernes en la mañana de Chile CrowdStrike, que es una empresa de ciberseguridad bien importante en el mundo, lanzó una actualización de un software llamado Falcon. Esta actualización afectó a los computadores que tienen Windows, colgándolos con una pantalla azul de la muerte. Los otros sistemas operativos, como Linux y Mac, aunque usen el mismo programa, no se vieron afectados.
Es importante aclarar que no es un problema de Windows, como salió en muchos noticieros. Solo Windows fue afectado, sí, pero no es un problema de ese sistema operativo.
Falcon requiere permiso para actualizarse de forma automática y periódica, ya que CrowdStrike agrega constantemente detecciones al sistema para defenderse contra amenazas nuevas y en evolución. La desventaja, sin embargo, es el riesgo de que este sistema, que pretende mejorar la seguridad y la estabilidad, termine socavándolo.
Mucha gente pregunta en los medios por qué no hay tantos afectados acá en Chile mientras en el mundo entero se cayeron sistemas operativos de trenes, bancos y hospitales, entre muchas otras industrias.
Hay dos razones: primero, que somos un país que no tiene tantos recursos para pagar CrowdStrike, por eso pocas organizaciones lo pueden contratar. La segunda razón es que en realidad sí hubo afectados: todavía no salen tantos a la luz y el gobierno tiene que guardar sus nombres por ley. Aunque, en términos de magnitud es más pequeño que en otros países.
Aquí hay que hacer un punto bien importante: no estamos frente a un ciberataque. Los medios, lógicamente, no son expertos en estos temas todavía, y para muchos puede haber parecido uno, pero la verdad es que se trató de un incidente de ciberseguridad, pero no de un hackeo ni nada por el estilo.
También hay algunos diciendo que ni siquiera es un incidente, como si simplemente se hubiese caído un vaso de agua arriba de un servidor. Pero, en realidad este evento sí corresponde a uno de los tres atributos clásicos de ciberseguridad: confidencialidad, integridad y disponibilidad; y en este caso estamos ante un claro problema de disponibilidad: todos los computadores individuales con Windows que estuvieran conectados a una red con Falcon se vieron afectados.
Es llamativo lo rápido que los medios salieron a dar la noticia sin chequear los componentes técnicos más básicos. Entendemos que quieran divulgar la noticia a personas no expertas y que quieran hacerlo rápido, pero eso no puede significar sembrar el pánico por falta de conocimiento.
¿Dónde encontrar información oficial?
En la web del Equipo de Respuesta ante Incidentes de Seguridad Informática, el CSIRT: puedes encontrar updates en tiempo real de lo que sucedió:
¿Qué dijeron los responsables?
El CEO de CrowdStrike ya salió a pedir disculpas:
Mientras tanto, el valor de la acción de CrowdStrike se vio bastante afectado:
Y es que el impacto fue bien dramático. Muchas máquinas tuvieron que ser llevadas manualmente a través de una serie de pasos correctivos, incluido el reinicio. En el Reino Unido, Israel y Alemania, los servicios de atención médica y los hospitales vieron cómo se cancelaban citas al tiempo que perdían conexión con algunos pacientes. Hasta el 911 en EE.UU. se vio afectado. Sky News en el Reino Unido tuvo que suspender las transmisiones de noticias en vivo.
Pero tal vez la industria que más afectada se vio fueron las aerolíneas, que tuvieron que bajar muchos de sus vuelos por un buen rato. El mapa de vuelos en línea, que todos conocimos durante la pandemia, es bastante impactante:
Crazy visual: 12-hour timelapse shows plane traffic over the US with the FAA grounding Delta, United, and American Airlines flights during this morning's outage pic.twitter.com/KRuL3HjZVf
— Morning Brew ☕️ (@MorningBrew) July 19, 2024
¿Cuánto se va a demorar en volver todo a la normalidad?
El director de CrowdStrike dijo a NBC que "Podría pasar algún tiempo porque algunos sistemas simplemente no se recuperarán automáticamente". En otras palabras, habrá que seguir el proceso de recuperación manual para cada computador afectado. Ya veremos si esto es un llamado de atención tanto para la empresa desarrolladora como para sus clientes, o si bien entienden que es parte del negocio de la ciberseguridad. Las pérdidas en términos monetarios, todavía se están calculando, y al parecer tomará tiempo.