Microsoft ha utilizado una sentencia anticompetitiva de la UE de 2009 como línea de defensa, mientras se plantean preguntas sobre por qué un producto de terceros fue capaz de derribar Windows. El viernes 19 de julio, 8,5 millones de PC experimentaron la llamada Pantalla Azul de la Muerte, que se produce cuando el sistema operativo Windows (OS) experimenta un fallo importante y se detiene para evitar más daños. Este tipo de eventos ocurren, pero la causa principal se ha identificado como una actualización defectuosa en el software antivirus de terceros llamado Falcon, proporcionado por CrowdStrike. Falcon debería haber detectado el archivo defectuoso, pero también tenía un error que lo leía y provocaba que se bloqueara. Los bloqueos son algo habitual para los usuarios de PC, pero muy raramente provocan que el sistema se detenga. En este caso, sin embargo, como informó anteriormente Computer Weekly, Falcon se ejecuta como un controlador de dispositivo en modo kernel en lo que se conoce como Ring Zero. Esto le da acceso total al sistema operativo Windows, que es el mismo acceso que tienen los componentes básicos de Windows desarrollados por Microsoft. Según Microsoft, el motivo por el que CrowdStrike tiene este acceso se debe a una sentencia de la Comisión Europea de 2009 que estipula que Microsoft debe garantizar que los productos de terceros puedan interoperar con los productos de software relevantes de Microsoft utilizando la misma información de interoperabilidad en igualdad de condiciones que otros productos de Microsoft. Rich Gibbons, experto en licencias de software de Microsoft, dijo: «Microsoft ha recibido algunas críticas por el hecho de que un tercero haya podido afectar a Windows a un nivel técnico tan profundo. Es interesante que Microsoft haya señalado el hecho de que esto se deriva de una sentencia anticompetitiva de la UE de 2009 que significa que Microsoft debe dar a otras empresas de seguridad el mismo acceso al núcleo de Windows que ellas mismas». Gibbons cree que, dado que la sentencia de interoperabilidad de 2009 significa que es posible que otras organizaciones alteren Windows de la misma manera que lo hizo el controlador de dispositivo del núcleo de CrowdStrike, Microsoft puede utilizar la catástrofe para contrarrestar la intervención de la UE. “¿Utilizará Microsoft la situación de CrowdStrike para contrarrestar esta sentencia y/o futuras sentencias similares sobre la interoperabilidad de los productos de Microsoft, y utilizará esto como una palanca adicional para que los clientes se decanten por sus propios productos de seguridad?”, se preguntó. Lo que está claro es que antes de CrowdStrike, Microsoft no había planteado públicamente preocupaciones de seguridad sobre los riesgos de seguridad de proporcionar acceso a las mismas interfaces de programación de aplicaciones (API) que Microsoft utiliza internamente. Se entiende que los servidores Linux experimentaron un problema similar en abril con CrowdStrike, que, según algunos comentaristas de la industria, puso de relieve un fallo en el control de calidad que ni CrowdStrike ni Microsoft abordaron adecuadamente. Apple MacOS no se vio afectado por la caída del viernes, ya que ejecuta Apple Endpoint Security Framework, una API que los proveedores de antivirus utilizan para obtener información de telemetría del sistema operativo MacOS central. Esto significa que no necesitan tener su código ejecutándose dentro del núcleo de MacOS en Ring Zero, que es donde necesitaba ejecutarse la versión Windows de Falcon de CrowdStrike. Hay preguntas sobre por qué Microsoft no ha proporcionado algo similar. Parte del problema es que Windows, a diferencia de MacOS, ofrece compatibilidad con versiones anteriores que abarca muchos años. Pero las regulaciones anticompetitivas también pueden haber tenido un papel que desempeñar. Según el ex desarrollador de Windows David Plummer, Microsoft, de hecho, ofrece una serie de API para la seguridad antivirus de terceros. «CrowdStrike está predeterminado en modo kernel, presumiblemente porque necesita hacer cosas que no se pueden hacer desde el modo de usuario», dijo Plummer en un video de YouTube. «Y para mí, ahí es donde Microsoft podría ser responsable, porque en la plataforma Windows, hasta donde yo sé, algunas de las funciones de seguridad de CrowdStrike requieren una integración profunda con el sistema operativo que actualmente solo se puede lograr en el lado del kernel». Microsoft tiene una serie de API, incluida la API de control de aplicaciones de Windows Defender y Windows Defender Device Guard, que Plummer dijo que proporcionan mecanismos para controlar la ejecución de aplicaciones y garantizar que solo se ejecute código confiable en el sistema operativo. Dijo que la Plataforma de filtrado de Windows (WFP) permite que las aplicaciones interactúen con la pila de red sin requerir código de nivel de kernel. Sin embargo, citando a fuentes de Microsoft, Plummer afirmó que la compañía había «intentado hacer lo correcto» al desarrollar una API avanzada diseñada específicamente para aplicaciones de seguridad como la de CrowdStrike. «Esta API prometía una integración más profunda con el sistema operativo Windows, ofreciendo estabilidad, rendimiento y seguridad mejorados», añadió. Pero la sentencia de la UE de 2009 impidió efectivamente dicha integración, ya que podría haberle dado a Microsoft una ventaja injusta. Sin embargo, Ian Brown, consultor independiente sobre regulación de Internet, argumentó que Microsoft debería tener mejores controles de seguridad, en lugar de intentar echarle la culpa del colapso de CrowdStrike a la comisión anticompetitiva de la UE. En un blog, escribió: «Para la resiliencia de las sociedades dependientes de la tecnología, el software a nivel de núcleo del sistema operativo y sus equivalentes en sistemas de infraestructura socialmente críticos (como los viajes, la atención médica y la banca) deben probarse con mucho cuidado (e idealmente ejecutarse sobre un micronúcleo verificado formalmente) y controlarse. Pero los monopolistas de los sistemas operativos no deberían tomar las decisiones finales sobre cómo son exactamente esos controles, en lo que respecta a las implicaciones que tienen para la competencia».