Expertos afirman que la actualización dañina de CrowdStrike probablemente no pasó por las verificaciones necesarias

Expertos en seguridad señalaron que la actualización rutinaria del software de ciberseguridad de CrowdStrike, que provocó que los sistemas informáticos de los clientes se bloquearan a nivel mundial el viernes, aparentemente no fue sometida a controles de calidad adecuados antes de ser implementada.

La última versión de su software Falcon Sensor tenía como objetivo hacer que los sistemas de los clientes de CrowdStrike fueran más seguros contra el hacking actualizando las amenazas contra las que se defiende. Sin embargo, un código defectuoso en los archivos de la actualización resultó en una de las interrupciones tecnológicas más generalizadas de los últimos años para las empresas que utilizan el sistema operativo Windows de Microsoft.

Bancos globales, aerolíneas, hospitales y oficinas gubernamentales fueron afectados. CrowdStrike liberó información para corregir los sistemas afectados, pero los expertos señalaron que devolverlos a la normalidad llevaría tiempo, ya que requería eliminar manualmente el código defectuoso.

"Lo que parece es que, potencialmente, la evaluación o el sandboxing que realizan cuando revisan el código, tal vez de alguna manera este archivo no fue incluido o se pasó por alto", dijo Steve Cobb, jefe de seguridad de Security Scorecard, que también tuvo algunos sistemas impactados por el problema.

Los problemas surgieron rápidamente después de que la actualización se implementara el viernes, y los usuarios publicaron fotos en las redes sociales de computadoras con pantallas azules mostrando mensajes de error. Estos son conocidos en la industria como "pantallas azules de la muerte".

Patrick Wardle, un investigador en seguridad que se especializa en estudiar amenazas contra sistemas operativos, dijo que su análisis identificó el código responsable de la interrupción.

El problema de la actualización estaba "en un archivo que contiene información de configuración o firmas", dijo. Dichas firmas son códigos que detectan tipos específicos de códigos maliciosos o malware.

"Es muy común que los productos de seguridad actualicen sus firmas, como una vez al día... porque están monitoreando continuamente nuevas amenazas y porque quieren asegurarse de que sus clientes estén protegidos contra las últimas amenazas", añadió.

La frecuencia de las actualizaciones "es probablemente la razón por la que (CrowdStrike) no lo probó tanto", explicó.

No está claro cómo ese código defectuoso entró en la actualización y por qué no fue detectado antes de ser liberado a los clientes.

"Idealmente, esto se habría implementado primero en un grupo limitado", dijo John Hammond, investigador principal en seguridad en Huntress Labs. "Ese es un enfoque más seguro para evitar un desastre como este".

Otras compañías de seguridad han tenido episodios similares en el pasado. La actualización defectuosa del antivirus de McAfee en 2010 paralizó cientos de miles de computadoras.

Pero el impacto global de esta interrupción refleja la dominancia de CrowdStrike. Más de la mitad de las empresas de Fortune 500 y muchos organismos gubernamentales, como la principal agencia de ciberseguridad de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad, utilizan el software de la compañía.