¿Qué es CrowdStrike?
CrowdStrike es una empresa estadounidense de ciberseguridad fundada en 2011 por George Kurtz, Dmitri Alperovitch y Gregg Marston. La compañía es conocida por su plataforma de protección de endpoints basada en la nube, llamada Falcon. Esta plataforma utiliza inteligencia artificial y aprendizaje automático para detectar, prevenir y responder a amenazas cibernéticas en tiempo real.
CrowdStrike ha ganado reconocimiento global por su eficacia en detectar y mitigar ciberataques complejos, ofreciendo soluciones que abarcan desde la protección contra malware y ransomware hasta la seguridad en la nube y la gestión de incidentes. Además, la empresa proporciona servicios de inteligencia de amenazas, análisis forense y asesoramiento en seguridad para ayudar a las organizaciones a fortalecer su postura de ciberseguridad.
La Errónea Actualización de CrowdStrike
El 19 de julio de 2024, CrowdStrike lanzó una actualización de configuración del sensor para sistemas Windows que provocó errores significativos. Esta actualización, destinada a mejorar los mecanismos de protección de la plataforma Falcon, desencadenó un error de lógica que resultó en fallos del sistema y pantallas azules (BSOD) en los sistemas afectados.
Impacto del Error
El problema afectó a los clientes que ejecutaban la versión 7.11 y superiores del sensor Falcon para Windows y que estaban en línea entre las 04:09 UTC y las 05:27 UTC del 19 de julio de 2024. Los sistemas que descargaron la configuración actualizada durante este periodo fueron susceptibles a fallos del sistema. Este incidente no estuvo relacionado con un ciberataque.
El impacto fue considerable, con organizaciones experimentando una interrupción de sus operaciones debido a la inestabilidad de los sistemas afectados. Las pantallas azules (BSOD) llevaron a reinicios inesperados y pérdida de datos no guardados, afectando la productividad y confianza en la seguridad del sistema. Los equipos de TI tuvieron que desviar recursos para manejar estas interrupciones, lo que generó costos adicionales y tiempos de inactividad prolongados.
Detalles Técnicos
El archivo de configuración involucrado, conocido como Channel File 291, controla cómo Falcon evalúa la ejecución de tuberías nombradas en sistemas Windows. La actualización estaba diseñada para dirigirse a tuberías nombradas maliciosas utilizadas en ciberataques, pero desencadenó un error de lógica que provocó los fallos del sistema. La causa subyacente fue un error en la interpretación de ciertas condiciones de ejecución, lo que llevó a que el sistema tratara operaciones benignas como maliciosas, desencadenando así el fallo.
Respuesta de CrowdStrike
CrowdStrike actuó rápidamente para remediar la situación. En menos de 24 horas, lanzó un parche que solucionó el problema. Además, implementó mejoras en sus procesos de prueba y validación de software para evitar problemas similares en el futuro. La empresa también realizó un análisis exhaustivo de la causa raíz para identificar mejoras en sus procesos y evitar que esto vuelva a ocurrir.
CrowdStrike ofreció soporte adicional a los clientes afectados, incluyendo asistencia directa para la implementación del parche y la restauración de sistemas afectados. La empresa también reforzó su comunicación con los usuarios, proporcionando actualizaciones frecuentes y detalladas sobre el progreso de la solución.
Repercusiones
El incidente con la actualización errónea de CrowdStrike ha tenido repercusiones significativas tanto en la operativa de los clientes como en la percepción del mercado. A pesar de la respuesta rápida y el parche de corrección, la confianza en la plataforma se ha visto afectada, lo cual se refleja en la caída de sus acciones en bolsa. Esto pone de manifiesto la importancia de fortalecer los procesos de prueba y validación para evitar futuros incidentes similares y recuperar la confianza de los usuarios y del mercado.