La interrupción en las empresas de todo el mundo provocada por el fallo en la plataforma de CrowdStrike no ha supuesto un incidente de seguridad, sino que aparentemente se debe a un error humano, pero plantea cuestiones acerca del alcance que tiene la tecnología actualmente, que ha crecido en complejidad, y la importancia de la fase de pruebas ante un lanzamiento.
El fallo en la plataforma Falcon de CrowdStrike ha afectado a empresas de todos los sectores de todo el mundo que usan equipos con el sistema de Microsoft, dado que se ha identificado en la actualización de contenidos para ‘hosts’ de Windows.
El CEO de Crowdstrike, George Kurtz, ha confirmado que están “trabajando activamente” con los clientes afectados por este error registrado y que no se trata de “un incidente de seguridad ni un ciberataque“.
Es, sin embargo, una muestra del alcance que tiene la tecnología en la actualidad. “La tecnología y especialmente el software cada vez suponen una mayor complejidad. Hoy el exceso pasa factura y la calidad del software no es que sea menor, es que es muchísimo más compleja”, ha apuntado el CEO de la tecnológica española Pandora FMS, Sancho Lerena, en una nota remitida a Europa Press.
Crowdstrike ya ha identificado y aislado el problema, e incluso ha implementado una corrección para solucionarlo. No obstante, como explican desde Kaspersky, “la dificultad radica en que cuando se produce un problema de esta índole, cada dispositivo (ordenador, portátil o servidor) debe reiniciarse en modo seguro manualmente, ya que no puede hacerse utilizando herramientas de gestión”.
En la misma línea se ha expresado el CISO de Acronis, Kevin Reed, al señalar que la actualización defectuosa “requiere una intervención manual para resolverse, concretamente reiniciar los sistemas en ‘modo seguro’ y borrar el archivo del controlador defectuoso”, un proceso que “deja los sistemas vulnerables en el ínterin, invitando potencialmente a ataques oportunistas”. Y ha añadido que la interrupción “parece tener su origen en un error de su agente EDR, que lamentablemente no fue probado a fondo”.
Este problema “podría ser un vector de ataque perfectamente plausible, pero no lo ha sido”, aclara en declaraciones a Europa Press José Rosell, socio director de S2 Grupo. “Aparentemente esto ha sido un fallo humano en una actualización. Ha sido en la distribución de un fichero, erróneo, y esto simplemente es un fallo del proceso, una equivocación de una persona que ha distribuido un fichero con un fallo”.
Sin embargo, y “como hipótesis”, un fallo así podría ser aprovechado para diseñar un ataque con las mismas premisas del error. “Podría ser un vector de ataque, pero entiendo que también la firma de seguridad CrowdStrike estará suficientemente protegida para evitar este tipo de ataques pasivos contra sus clientes”, matiza Rosell.
LA IMPORTANCIA DE LAS PRUEBAS
Reed también ha añadido que la interrupción “parece tener su origen en un error de su agente EDR, que lamentablemente no fue probado a fondo”. Tanto desde esta firma y como desde Kaspersky -que han facilitado explicado en sendas notas de prensa- coinciden en la necesidad de las pruebas exhaustivas antes de lanzar las actualizaciones.
Habitualmente, los proveedores de seguridad suelen acompañar el lanzamiento de las actualizaciones de “un importante número de pruebas y comprobaciones internas”, como detallan en Kaspersky, que destaca también la importancia de “respetar el principio de liberación granular de las actualizaciones”, esto es, evitar distribuir a todos los clientes al mismo tiempo al actualización para que, en caso de fallo, detectarlo y solucionarlo en el menor tiempo posible.
Para el CISO de Acronis, “este incidente pone de relieve la importancia de realizar pruebas rigurosas y actualizaciones escalonadas. Normalmente, las pruebas se realizan con cada lanzamiento y pueden llevar de días a semanas, dependiendo del tamaño de la actualización o de los cambios”, apostilla.
