Crowdstrike, la seguridad y los castillos de naipes
Compañías en todo el mundo están notificando problemas a la hora de mantener su actividad debido a un problema en la actualización de una aplicación de seguridad, Crowdstrike, que ha generado problemas en el arranque de Windows.
La aplicación Crowdstrike Falcon es una aplicación de seguridad que bloquea ataques al sistema al tiempo que captura y graba toda la actividad. CrowdStrike es una empresa de ciberseguridad que fue especialmente crítica con Microsoft por la serie de ataques a los que la empresa ha tenido que enfrentarse recientemente, y que este año, en aparente respuesta, lanzó un producto diseñado para funcionar con la propia herramienta antivirus Defender de Microsoft, que ha sido instaladas por grandes compañías en todo el mundo.
El lema de la aplicación, especialmente crítico con Microsoft, rezaba «Cyber risk that starts with Microsoft… ends with CrowdStrike», o «los ciber riesgos que comienzan con Microsoft… terminan con Crowdstrike». Microsoft, en su momento, contestó a aquella agresiva campaña diciendo aquello de que «la seguridad es un deporte de equipo», y tuvo que ver cómo muchos de sus clientes, en un clima de intenso cuestionamiento de la seguridad de su plataforma, optaban por instalar las aplicaciones de Crowdstrike para, supuestamente, protegerse de cualquier posible discontinuidad en sus negocios.
Pero todo indica que, en una vuelta salvaje del karma empresarial, la compañía cometió un error en su última actualización que ha provocado que las máquinas afectadas no sean capaces de arrancar Windows y, en su lugar, devuelvan la archiconocida BSOD, Blue (o Black, si estás en Windows 11) Screen Of Death, lo que convierte a Crowdstrike en la causante de un problema que ahora mismo afecta a empresas de todo tipo, desde gestores aeroportuarios hasta medios de comunicación, pasando por distribuidores de energía eléctrica, bancos, hospitales, etc. Ahora, el lema se reescribe: «las crisis de continuidad de negocio comienzan por culpa de Crowdstrike».
Aparentemente, la solución al problema publicada por el momento es arrancar cada una de las máquinas afectadas en modo seguro, acceder al directorio del sistema en el que se encuentra la aplicación de Crowdstrike (generalmente C:\Windows\System32\drivers\Crowdstrike ), localizar los ficheros cuyo nombre coincida con «C-00000291*.sys», eliminarlos y volver a arrancar normalmente. Esto deshabilita la actualización, y aunque podría llegar a causar problemas de seguridad más adelante, permite al menos volver a arrancar la máquina afectada y mantener la actividad. Pero en un contexto de grandes compañías con departamentos de tecnología completamente colapsados, llevar a cabo esa simple operación puede convertirse en un problema importante que prolongue el problema un cierto tiempo.
Para los administradores de sistemas en todo el mundo, un auténtico «happy Friday!» Un enorme problema de continuidad de negocio que puede afectar a muchísimas operaciones, y que se debe no a un problema de seguridad, sino a los cada vez más complejos castillos de naipes que hay que montar, dependiendo de todo tipo de proveedores más o menos inspirados, para simplemente hacer que una máquina funcione sin problemas y sin recibir ataques. En esta ocasión, es un proveedor de una herramienta de seguridad que lanza una actualización automática que obviamente no estaba suficientemente probada, y peor aún, que lo hace después de haber criticado frontalmente a Microsoft y de utilizar descaradamente esas críticas como una potente herramienta de marketing. Lo que decíamos: karma is a bitch…
Hasta aquí lo que aparentemente sabemos por el momento. Ahora veremos cómo evoluciona el tema, cómo se esclarecen las responsabilidades, y cuánto se tarda en normalizar la situación.
Nota: https://www.enriquedans.com/