Los usuarios de Microsoft de todo el mundo deberían revisar el estado de sus configuraciones de seguridad de infraestructura a raíz de la fallida actualización de software de CrowdStrike que dejó sin servicio a millones de dispositivos Windows en todo el mundo el viernes 19 de julio de 2024. Como se afirma en una publicación de blog, escrita por el vicepresidente de seguridad empresarial y de sistemas operativos de Microsoft, David Weston, el 20 de julio de 2024, «no fue un incidente de Microsoft», sino uno que «afecta a nuestro ecosistema» y ha perturbado las empresas y «las rutinas diarias de muchas personas». Según los cálculos de Microsoft, alrededor de 8,5 millones de dispositivos Windows, lo que equivale a menos del 1% del total mundial de máquinas Windows en uso, se vieron afectados por el incidente. Y aunque ese porcentaje puede parecer pequeño en el gran esquema de las cosas, Owen Sayers –un consultor de seguridad independiente con más de 20 años de experiencia asesorando a clientes del sector público y de la policía sobre cómo proteger sus sistemas– dijo que las cifras involucradas son “aterradoras” cuando se combinan con la información obtenida del propio blog de informes de incidentes de CrowdStrike. Como lo confirma su blog “Detalles técnicos: actualización de contenido de Falcon para hosts de Windows”, la actualización de software corrupta que causó la interrupción del servicio del viernes 19 de julio solo estuvo en línea durante 78 minutos antes de que fuera eliminada y reemplazada por una versión corregida. “Afectó a menos del 1% de los dispositivos Windows globales en ese tiempo, eso es impresionante”, dijo Sayers, pero también tiene implicaciones preocupantes para el estado de nuestros sistemas de TI globales. Saber que un error en un producto de seguridad de terceros podría causar tanto estrago en tan poco tiempo podría dar a los piratas informáticos de los estados nacionales algo en qué pensar sobre cómo lanzar su próxima ola de ataques. “Los chinos y los rusos ahora saben cómo derribar los sistemas informáticos globales: basta con encontrar un producto de seguridad utilizado por el objetivo y modificar ese código”, dijo Sayers. “Y hay una gran posibilidad de que los elimine en una hora y media”. Interrupciones en los viajes El incidente de CrowdStrike causó interrupciones en los viajes en los principales aeropuertos y estaciones de tren, además de afectar las operaciones diarias de los consultorios médicos, los minoristas y otras empresas que utilizan tecnologías de Microsoft. Y, en algunos casos, sus efectos todavía se sienten días después. “A la gente le gusta pensar en interrupciones como esta en términos de un día completo o incluso un fin de semana [of disruption being caused] “El problema es que el error se debe a que el problema persiste, pero cuando se reduce la causa a una duración de menos de una hora y media, el impacto es mayor”, dijo Sayers. “Esta vez, el error se produjo en un producto de terceros que solo utilizan unas pocas organizaciones, pero observe la escala y la extensión del daño”. Teniendo esto en cuenta, ¿qué sucedería si un producto de terceros con mayores tasas de aceptación dentro de la comunidad de usuarios de Microsoft sufriera una actualización de software fallida similar? ¿O si Microsoft lanzara una actualización del sistema operativo o del paquete de servicios a su base de usuarios que también pusiera en peligro los dispositivos de sus clientes? Puede parecer una pregunta alarmista, pero Eric Grenier, analista director de Gartner for Technical Professionals, un observador del mercado, dijo a Computer Weekly que cualquier proveedor de TI que “se enganche” al núcleo de Windows de una manera similar a CrowdStrike podría sufrir un destino similar si lanzara una actualización defectuosa. “Incluso se puede ir un paso más allá y decir que cada proveedor que lanza una actualización tiene el potencial de lanzar un ‘mal parche’”, dijo. Por este motivo, Grenier afirmó que la situación debería hacer reflexionar a toda la industria del software para asegurarse de no convertirse en el próximo CrowdStrike. «Este es un buen momento para que todos en la industria del software revisen sus procesos de control de calidad, así como sus procesos de prueba de actualización de software, y los fortalezcan lo mejor que puedan», añadió. Protección del usuario Las organizaciones de usuarios finales cuyos sistemas Windows no se vieron afectados por la actualización del viernes 19 de julio deberían ver la situación como una llamada de atención, en lugar de un escape afortunado, dijo Rich Gibbons, director de desarrollo y participación del mercado de gestión de activos de TI en la consultora independiente de licencias de software Synyega. «Si su organización evitó este problema, [it is] “Probablemente porque no son clientes de CrowdStrike, así que tomen esto como una llamada de atención”, dijo a Computer Weekly. “Desafortunadamente, todas las organizaciones están expuestas al riesgo de que su negocio se vea afectado negativamente por un proveedor externo que cometa un gran error. Aceptar ese riesgo y tener un sólido plan de recuperación ante desastres y continuidad comercial [strategy] es clave y debe ser una prioridad para cada negocio”. Tener sistemas sólidos de gestión de activos de TI (ITAM) y gestión de activos de software (SAM) también es imprescindible, continuó Gibbons. “Saber qué software y hardware tiene, dónde está, [as well as its] “El soporte y el estado de fin de vida, el último parche y el tiempo de actualización y los datos también son clave para tener un plan de recuperación ante desastres y continuidad comercial eficaz, ya sea que los recursos estén en las instalaciones o en la nube dentro de entornos híbridos”, dijo. Como señala Grenier de Gartner, tener una estrategia de recuperación ante desastres y continuidad comercial en marcha es una cosa, pero las empresas también deben asegurarse de probarlas regularmente. “Esta no es la última vez que un proveedor lanzará un ‘mal parche’, por lo que para mitigar el riesgo, las organizaciones cliente deberán revisar [these] “Las organizaciones también deberían aprovechar la oportunidad para revisar qué aplicaciones de su entorno se actualizan automáticamente y evaluar las posibles consecuencias de una actualización incorrecta”, afirmó. “Eso no quiere decir que Grenier esté defendiendo que se desactive la función de actualización automática en todas las empresas del mundo para mitigar el riesgo de que se produzca otro CrowdStrike. “Eso debería determinarse en función del nivel de aceptación de riesgos de la organización y de si pueden aplicar parches a las aplicaciones por sí mismas”, afirmó. “Las empresas deberían tener un inventario documentado de qué aplicaciones están configuradas para actualizarse automáticamente, si se puede desactivar la actualización automática y saber cuál podría ser el impacto si se entrega una actualización o un parche incorrectos para cada aplicación configurada para actualizarse automáticamente”. “Si eligen actualizar manualmente las aplicaciones, también deberán crear procesos y flujos de trabajo en torno a las actualizaciones de prueba para cada aplicación”, afirmó Grenier.