Por: Rodolfo Guerrero Martínez (México).
El 19 de julio del año 2024, la industria tecnológica experimentó un colapso sin precedentes debido a uno de los mayores desastres informáticos de la historia, que involucró la invasión de pantallas azules de la muerte (BSoD) en el sistema operativo Microsoft Azure a nivel global. Como consecuencia, innumerables empresas, organizaciones y usuarios en todo el mundo sufrieron graves pérdidas y perturbaciones en sus operaciones -para las acciones de Microsoft representó un cierre de semana de 437 dólares, es decir, tuvo una disminución en su valor de 441 mil millones de dólares (1)-.
La fallida actualización de los controladores de CrowdStrike, un sistema de ciberseguridad de Microsoft, provoco el colapso sin precedentes aparentemente por una simple actualización de software, no obstante, se convirtió en un cataclismo digital que revelo la vulnerabilidad de la infraestructura tecnológica global.
Entre las empresas afectadas a nivel internacional resaltan los servicios de Ryanair, con miles de pasajeros afectados, Iberia, Vueling, Lufthansa, Air France-KLM y Wizz Air. Concretamente en países como Reino Unido represento problemas para la cadena Sky News, en el diario “The Telegraph”, y en supermercados tales como Aidi, Morrison´s y Waitrose, así como el cese de las operaciones de la Bolsa de Londres.
Ahora bien, para Francia el fallo cibernético significo consecuencias para el servicio informático de los Juegos Olímpicos de Paris 2024. En Alemania existieron retrasos en el check in para su aeropuerto en Berlín Brandenberg; en Italia algunos servicios como el sistema de las autopistas; en Suiza el aeropuerto de Zurich estuvo bloqueado durante horas.
Por otra parte, en México la caída de Microsoft repercutió en los servicios de aerolíneas como Volaris (2), impactando en su sistema de reservaciones. Además de en el Aeropuerto Internacional de Ciudad de México que cancelo seis salidas y nueve entradas (3). También en los servicios financieros significó el cierre de bancos en la ciudad de Guadalajara y Zapopan tanto de sucursales de Santander como de Banorte.
Sin embargo, en medio del desastre informático, Microsoft y CrowdStrike emitieron breves declaraciones donde se culpaban mutuamente, mientras sus sistemas de soporten colapsaban bajo la presión de la magnitud del problema que ellos han generado. En consecuencia, los afectados, incluyendo usuarios y clientes se vieron obligados a enfrentar el reto de solucionar el problema manualmente, requiriendo habilidades informáticas especializadas y sin garantía de una solución a corto plazo.
Sin duda, este incidente expuso las vulnerabilidades de los sistemas de ciberseguridad supuestamente infalibles y la dependencia excesiva del mundo en la tecnología. Un recordatorio importante de que, a pesar de los avances, el tema de infraestructura critica continúa siendo una agenda pendiente y permanente para las naciones.
Resaltando como infraestructura critica, el elemento, sistema o parte de este situado en los Estados miembros que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población, cuya perturbación o destrucción afectaría gravemente a un Estado miembro al no poder mantener esas funciones (4).
El presente artículo abordará diversas interrogantes sobre las acciones de CrowdStrike, la dependencia de los sistemas de ciberseguridad, las versiones oficiales de CrowdStrike y Microsoft sobre el incidente, así como las recomendaciones hechas a los clientes afectados.
(1) ¿Porqué CrowdStrike no reviso y testeo adecuadamente la actualización de contenido antes de implementarla?
Se pueden realizar diferentes deducciones sobre las posibles razones:
La primera es la falta de procesos rigorosos de control de calidad, debido a que CrowdStrike no dio seguimiento a protocolos estrictos de pruebas y validación antes de liberar la actualización, lo cual pudo deberse a fallas en sus procesos internos, presiones por tiempo o simple negligencia.
En segundo término, la complejidad del software, considerado que el sistema es complejo que interactúa con diferentes sistemas operativos y entornos. Posiblemente no hayan anticipado los efectos de la actualización en ciertos escenarios o configuraciones específicas.
Como tercer punto esta la sobre confianza en su propia tecnología, resultado de la robustez técnica y el minimizar los riesgos de su propia actualización.
La cuarta razón son los errores humanos, comprendiendo que, a pesar de los procesos automatizados, es posible que durante su desarrollo, pruebas e implementación de la actualización se hayan pasado desapercibidos los problemas críticos.
(2) ¿Cuáles fueron las versiones oficiales de CrowdStrike y Microsoft sobre este incidente y qué acciones recomendaron a sus clientes afectados?
La empresa de ciberseguridad CrowdStrike, encargada de la actualización que resultó en el caos, emitió un comunicado oficial (5) admitiendo su responsabilidad, así como señalar que el incidente fue causado por un defecto en una única actualización de contenido destinada a hosts de Windows. Resaltando también que, no fue un ciberataque, sino un fallo en su propia plataforma.
Por otro lado, Microsoft (6), cuyo sistema operativo Azure fue severamente impactado, no emitió una declaración oficial detallada sobre el incidente. Sin embargo, en su blog de Azure, proporciono algunas opciones de recuperación para las máquinas virtuales afectadas (más adelante se detallarán). Estas opciones incluían reiniciar las máquinas virtuales, restaurar desde una instantánea anterior o implementar nuevas máquinas virtuales desde imágenes no afectadas.
En ese sentido, algunas de las opciones mencionadas en el blog de Azure (7) son:
(I) Conectar el disco del sistema operativo de una máquina virtual de reparación en el portal de Azure.
(II) Tras la conexión del disco, los clientes podrán intentar eliminar el archivo: Windows/System32/Controladores/CrowdStrike/C-00000291*.sys
(III) Posteriormente, el disco logrará conectarse y volver a conocer a la máquina virtual original.
En cuanto a CrowdStrike las acciones recomendadas incluyen: (I) Desinstalar o desactivar la actualización problemática en los sistemas afectados; aplicar parches o actualizaciones correctivas; reiniciar copias de seguridad o configuraciones anteriores en caso de que los sistemas no pudieran recuperarse; y conectar al equipo de soporte técnico de CrowdStrike para obtener asistencia personalizada en casos complejos.
(3) Un sistema critico jamás debe tener actualizaciones automáticas
Existe una palabra para referir una actualización hecha los viernes en la cultura popular, delmoting, entendiendo la acción de un programador al desplegar una pieza de código un viernes por la tarde, y que se ausenta el fin de semana estando completamente inconsciente que su operación destruyó por completo el producto, la cual fue acuñada por Sebastián Delmon, desarrollador de software venezolano.
(4) ¿Cómo protegernos en un futuro de esta clase fallos?
En primera instancia se debe tener un plan de contingencia robusto donde las organizaciones tengan protocolos claros para responder a fallos masivos, incluyendo cómo comunicarse con los empleados y clientes, y cómo mantener las operaciones esenciales funcionando.
Adicionalmente, como segunda y tercera medida se deben tener: reducir la dependencia de un solo proveedor y desarrollar software propio, beneficiando a los países y organizaciones al desarrollar su propio software para disminuir el uso de proveedores extranjeros.
Cabe resalta en lo descrito líneas arriba, los casos de Rusia y China sobre la independencia tecnológica. Comenzando por Rusia que creó el sistema operativo denominado Astra Linux diseñado específicamente para atender las necesidades de seguridad nacional y ciberdefensa del país. Generando afectaciones nulas ante el problema suscitado por CrowdStrike, dado a la implementación de dicho software local en infraestructuras críticas, creando importantes beneficios, por ejemplo, para la aviación civil nacional.
Respecto a China, aunque diversos equipos informáticos utilizan Windows, no ejecutan el servicio de CrownStrike ya que tienen empresas locales que comprenden estos sectores. En ese sentido, este país ha continuado sus trabajos impulsando sus propios sistemas operativos como KylinOS, desarrollado principalmente pasa uso gubernamental, militar y empresarial; y OpenKylin, una versión de código abierto destinada a la comunidad y usuarios en general -aproximadamente 1,3 millones de personas lo utilizan-.
Fuentes de consulta
Acciones de Microsoft al cierre del viernes, día 19 de julio del 2024. Google Finance. https://www.google.com/finance/quote/MSFT:NASDAQ?hl=es
x.com. (2024). https://x.com/viajaVolaris/status/1814114869840650241?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1814114869840650241%7Ctwgr%5Ebd00aecdc666cd130f63fc0b370a90402e2d3c14%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fd-3706753358560388907.ampproject.net%2F2406131415000%2Fframe.html
Mundo, P. R. (2024). Estos son los vuelos cancelados en el Aeropuerto de CDMX por el fallo de Microsoft. Infobae. https://www.infobae.com/mexico/2024/07/20/estos-son-los-vuelos-cancelados-en-el-aeropuerto-de-cdmx-por-el-fallo-de-microsoft/
Artículo segundo. Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32008L0114
Nuestra declaración sobre la interrupción de hoy. (n.d.). Crowdstrike.com. (2024) https://www.crowdstrike.com/statement-on-falcon-content-update-for-windows-hosts-latam/
How to identify hosts possibly impacted by Windows crashes. (2024). https://www.crowdstrike.com/wp-content/uploads/2024/07/How-To-Identify-Hosts-Possibly-Impacted-By-Windows-Crashes-2.0.1.pdf
Portal.azure.com. (2024) https://portal.azure.com/#cloudshell/
***
Rodolfo Guerrero es abogado por la Benemérita Universidad de Guadalajara y maestro en derecho con orientación en materia Constitucional y administrativo por la misma casa de estudios. Es Socio Fundador y Representante Legal de la Sociedad Civil Coffee Law “Dr. Jorge Fernández Ruiz”. Socio fundador de la Academia Mexicana de Derecho “Juan Velásquez” A.C. Titular de la Comisión de Legaltech del Ilustre y Nacional Colegio de Abogados de México A.C. Capítulo Occidente. Vicepresidente de la Academia Mexicana
- Plumas NCC | Principios rectores de la Inteligencia Artificial - noviembre 18, 2024
- NCC Radio – Emisión 285 – 18/11/2024 al 24/11/2024 – La UNAM y la Comisión de Búsqueda capacitan a estudiantes en desapariciones - noviembre 18, 2024
- NCC Radio Cultura – Emisión 285 – 18/11/2024 al 24/11/2024 – La influencia italiana en la arquitectura de Guayaquil en Ecuador - noviembre 18, 2024