Ampliar / Una mala actualización del software de seguridad Falcon de CrowdStrike hizo que millones de PC con Windows se bloquearan la semana pasada. El director ejecutivo de CrowdStrike, George Kurtz, dijo el jueves que el 97 por ciento de todos los sistemas Windows que ejecutan su software de sensor Falcon estaban nuevamente en línea, una semana después de que una falla relacionada con la actualización del software de seguridad corporativa retrasara vuelos y dejara fuera de servicio los sistemas de respuesta de emergencia, entre muchas otras interrupciones. La actualización, que provocó que las PC con Windows mostraran la temida Pantalla Azul de la Muerte y se reiniciaran, afectó a unos 8,5 millones de sistemas según el recuento de Microsoft, dejando aproximadamente 250.000 que aún necesitan volver a estar en línea. El vicepresidente de Microsoft, John Cable, dijo en una publicación de blog que la compañía ha «contratado a más de 5.000 ingenieros de soporte que trabajan 24 horas al día, 7 días a la semana» para ayudar a limpiar el desastre creado por la actualización de CrowdStrike e insinuó cambios en Windows que podrían ayudar, si no entran en conflicto con los reguladores, de todos modos. «Este incidente demuestra claramente que Windows debe priorizar el cambio y la innovación en el área de la resiliencia de extremo a extremo», escribió Cable. «Estas mejoras deben ir de la mano con las mejoras continuas en seguridad y en estrecha cooperación con nuestros numerosos socios, que también se preocupan profundamente por la seguridad del ecosistema de Windows». Cable señaló los enclaves VBS y Azure Attestation como ejemplos de productos que podrían mantener la seguridad de Windows sin requerir acceso a nivel de kernel, como lo hacen ahora la mayoría de los productos de seguridad basados ​​en Windows (incluido el sensor Falcon de CrowdStrike). Pero no llegó a describir qué cambios específicos podrían realizarse en Windows, y se limitó a decir que Microsoft seguiría «reforzando nuestra plataforma y haciendo aún más para mejorar la resiliencia del ecosistema de Windows, trabajando abierta y colaborativamente con la amplia comunidad de seguridad». Cuando se ejecuta en modo kernel en lugar de modo usuario, el software de seguridad tiene acceso total al hardware y software de un sistema, lo que lo hace más potente y flexible; esto también significa que una mala actualización como la de CrowdStrike puede causar muchos más problemas. Las versiones recientes de macOS han dejado obsoletas las extensiones de kernel de terceros exactamente por esta razón, una explicación de por qué las Mac no fueron eliminadas por la actualización de CrowdStrike. Pero los esfuerzos anteriores de Microsoft para excluir a las empresas de seguridad de terceros del kernel de Windows (la más reciente en la era de Windows Vista) se han encontrado con el rechazo de los reguladores de la Comisión Europea. Ese nivel de escepticismo está justificado, dado el historial pasado (y continuo) de Microsoft de usar la posición de mercado de Windows para impulsar sus propios productos y servicios. Cualquier intento actual de restringir el acceso de proveedores externos al kernel de Windows probablemente atraería un escrutinio similar. Microsoft también ha tenido muchos de sus propios problemas de seguridad con los que lidiar recientemente, hasta el punto de que ha prometido reestructurar la empresa para hacer que la seguridad sea un enfoque más importante. Las consecuencias de CrowdStrike CrowdStrike ha hecho sus propias promesas a raíz de la interrupción, incluyendo pruebas más exhaustivas de las actualizaciones y un sistema de implementación por fases que podría evitar que un archivo de actualización defectuoso cause tantos problemas como el de la semana pasada. El informe inicial de incidentes de la compañía señaló que un fallo en sus procedimientos de prueba era la causa del problema. Mientras tanto, la recuperación continúa. Algunos sistemas se podían arreglar simplemente reiniciando, aunque tuvieron que hacerlo hasta 15 veces, lo que podía dar a los sistemas la oportunidad de obtener un nuevo archivo de actualización antes de que se bloquearan. Para el resto, los administradores de TI tuvieron que restaurarlos a partir de copias de seguridad o eliminar el archivo de actualización defectuoso manualmente. Microsoft publicó una herramienta de arranque que podía ayudar a automatizar el proceso de eliminación de ese archivo, pero aún así requería poner las manos en cada instalación de Windows afectada, ya sea en una máquina virtual o en un sistema físico. Y no todas las soluciones de remediación de CrowdStrike han sido bien recibidas. La compañía envió códigos promocionales de UberEats de $10 para cubrir la «próxima taza de café o refrigerio nocturno» de algunos de sus socios, lo que provocó algunas críticas en los sitios de redes sociales (el código también quedó brevemente inutilizable porque Uber lo marcó como fraudulento, según un representante de CrowdStrike). Para ponerlo en contexto, la empresa de análisis Parametrix Insurance estimó que el costo de la interrupción para las compañías Fortune 500 rondaría los 5.400 millones de dólares.