¿Qué es CrowdStrike (CRWD) y cómo provocó cortes de TI a nivel mundial?
George Kurtz, cofundador y director ejecutivo de CrowdStrike Inc., habla durante la Cumbre de Montgomery en Santa Mónica, California.
Patrick T. Fallon | Bloomberg | Getty Images
Una falla en una actualización emitida por la empresa de ciberseguridad CrowdStrike provocó un efecto cascada en los sistemas de TI globales el viernes, con industrias que van desde la banca hasta las aerolíneas enfrentando interrupciones.
Los bancos y los proveedores de atención médica vieron interrumpidos sus servicios y las emisoras de televisión dejaron de funcionar mientras las empresas de todo el mundo luchaban contra la interrupción continua. Los viajes aéreos también se vieron muy afectados, con aviones en tierra y servicios retrasados.
En el centro del problema se encuentra el proveedor de ciberseguridad con sede en Texas Golpe de masasEl viernes, la firma de ciberseguridad experimentó una interrupción importante después de un problema con una actualización de software.
¿Qué pasó exactamente? CNBC analiza el asunto.
¿Qué es CrowdStrike y qué hace?
CrowdStrike es un proveedor de ciberseguridad que desarrolla software para ayudar a las empresas a detectar y bloquear ataques informáticos. Lo utilizan muchas de las empresas Fortune 500 del mundo, incluidos los principales bancos globales, empresas de atención médica y de energía.
CrowdStrike es lo que se conoce como una empresa de «seguridad de puntos finales», ya que utiliza tecnología en la nube para aplicar protecciones cibernéticas a los dispositivos que están conectados a Internet.
Esto difiere de los enfoques alternativos utilizados por otras empresas cibernéticas, que implican aplicar protección directamente a los sistemas de servidores back-end.
«Muchas empresas utilizan [CrowdStrike software] e instalarlo en todas sus máquinas en toda su organización», dijo Nick France, director de tecnología de la empresa de seguridad informática Sectigo, al programa «Squawk Box Europe» de CNBC el viernes.
«Entonces, cuando ocurre una actualización que puede tener problemas, causa este problema donde las máquinas se reinician y la gente no puede volver a ingresar a sus computadoras».
¿Qué pasó el viernes?
El viernes, personas de todo el mundo comenzaron a encontrarse con una pantalla de error conocida como la «pantalla azul de la muerte».
Este problema, un problema común entre las PC, por ejemplo, si una máquina se sobrecalienta, fue el resultado de una actualización de la empresa de ciberseguridad Golpe de masas sobre su producto Falcon.
Falcon es una plataforma desarrollada por la empresa que está diseñada para detener las infracciones cibernéticas mediante tecnología en la nube; es el eje central del enfoque de la empresa en los puntos finales. CrowdStrike dijo el viernes que está en proceso de revertir la actualización a nivel mundial.
El software de CrowdStrike requiere un acceso profundo al sistema operativo de una computadora para analizarla en busca de amenazas. En el caso de la interrupción del servicio del viernes, las máquinas que ejecutaban el sistema operativo Windows de Microsoft dejaron de funcionar debido a un error en la forma en que una actualización de software emitida por CrowdStrike interactuaba con Windows.
«Nos han informado de un problema que afecta a las máquinas virtuales que ejecutan Windows Client y Windows Server, que ejecutan el agente CrowdStrike Falcon, que pueden encontrar una comprobación de errores (BSOD) [blue screen of death]) y se queda atascado en un estado de reinicio. Calculamos que el impacto comenzó alrededor de las 19:00 UTC del 18 de julio», dijo Microsoft en una actualización a las 5:40 am ET.
«Podemos confirmar que CrowdStrike ha retirado la actualización afectada. Los clientes que sigan experimentando problemas deben comunicarse con CrowdStrike para obtener asistencia adicional», agregó la empresa.
Satnam Narang, investigador principal de Tenable, dijo a CNBC el viernes que la interrupción fue «totalmente sin precedentes».
«El desafío aquí es que el software de seguridad, dado que está haciendo su trabajo de proteger a las organizaciones, tiene que tener acceso más privilegiado a estas máquinas», dijo.
Entonces, aunque las personas puedan ver sus problemas de TI como un problema con Windows, «en realidad no es un problema de Windows, está relacionado con una actualización defectuosa o mala de ese software de seguridad», agregó Narang.
Se ha publicado una solución
Anteriormente, Microsoft dijo que sus servicios en la nube habían sido restaurado después de una interrupción que afectó a sus servicios de Azure y al conjunto de aplicaciones Microsoft 365 en la región central de EE. UU. Un portavoz de la empresa dijo que se trata de dos problemas diferentes y no relacionados: uno está relacionado con Azure y el otro con CrowdStrike.
Agregaron que «anticipan que se llegará a una resolución» con respecto al problema de CrowdStrike.
CrowdStrike está «trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows», dijo el viernes el director ejecutivo George Kurtz en una actualización en la plataforma de redes sociales X. Agregó que los hosts Mac y Linux no están afectados.
«No se trata de un incidente de seguridad ni de un ciberataque. El problema ha sido identificado, aislado y se ha implementado una solución». Kurtz dijo.
Sin embargo, esa solución podría ser difícil de implementar. Andy Grayland, director de información y seguridad de la empresa de inteligencia de amenazas Silobreaker, dijo que para implementar una solución, los ingenieros tendrían que ingresar a cada centro de datos individual que ejecute Windows.
Luego tendrían que iniciar sesión, navegar hasta un determinado archivo de CrowdStrike, eliminarlo y luego reiniciar todo el sistema, dijo.
«Cuando las máquinas están encriptadas, también es necesario introducir manualmente claves de encriptación complejas. A menos que Microsoft y CrowdStrike (si están involucrados) saquen algo milagroso de la manga, podría resultar difícil recuperarse de esto».