CrowdStrike cambia su sistema de actualizaciones tras una gran falla

La empresa CrowdStrike está realizando cambios en el proceso de actualización de sus herramientas de seguridad después de un fallo en julio que afectó a miles de sistemas en todo el mundo. El vicepresidente senior de la empresa, Adam Meyers, anunció en una audiencia del Congreso de EE.UU. que ahora los clientes podrán elegir cuándo recibir las actualizaciones: de inmediato o más tarde. De esta forma, podrán evitar posibles problemas relacionados con la instalación de nuevas versiones.

Meyers también informó que CrowdStrike está revisando internamente su proceso de verificación de actualizaciones. Anteriormente, la empresa reconoció que durante los últimos 10 años las herramientas de verificación no lograron detectar un error en una actualización que dañó más de 8,5 millones de dispositivos con Windows. El fallo afectó sistemas críticos, como aerolíneas, hospitales y bancos que utilizan productos de CrowdStrike.

Según Meyers, la actualización problemática no era un código de software en el sentido habitual, sino un archivo de configuración con información sobre amenazas. Actualizaciones de este tipo pueden publicarse hasta 10-12 veces al día y, anteriormente, no se sometían a la misma rigurosidad de pruebas que el código. Pero después del incidente, la empresa decidió tratarlas como código completo y aplicarles revisiones más estrictas. Meyers señaló que este enfoque aún no se ha convertido en un estándar de la industria.

La verificación del código de software en CrowdStrike pasa por varias etapas. Primero se prueba internamente en la empresa ("dogfooding"), luego los primeros clientes lo revisan, y finalmente la actualización se distribuye al resto de los usuarios. Según Meyers, las nuevas medidas ayudarán a prevenir fallos similares en el futuro. Sin embargo, durante la audiencia no se explicó por qué inicialmente las actualizaciones no se verificaban como código, ni cómo se cambiará el proceso de verificación. La empresa tampoco respondió a estas preguntas ante solicitudes de los medios.

Meyers también comentó una de las principales críticas tras el incidente: el acceso profundo de CrowdStrike al núcleo del sistema operativo Windows. Meyers explicó que el núcleo es la parte central del sistema que interactúa con el hardware, y que muchos fabricantes de soluciones de seguridad, incluido CrowdStrike, utilizan el núcleo de Windows para el funcionamiento de sus productos.

Anteriormente, CrowdStrike declaró que dicho acceso al núcleo es necesario para garantizar la máxima protección y prevenir intentos de hackeo. Meyers añadió que los ciberdelincuentes buscan acceder al núcleo para desactivar los sistemas de seguridad, y es por eso que los productos de seguridad deben operar en este nivel.

Durante la audiencia, CrowdStrike tampoco respondió preguntas sobre si el incidente sería investigado por el Departamento de Seguridad Nacional de EE.UU. ni si la empresa planea compensar las pérdidas financieras de los clientes. El incidente afectó a más de 20,000 clientes, incluidas agencias gubernamentales de EE.UU.

CrowdStrike ya enfrenta amenazas de demandas por parte de grandes clientes, como Delta Airlines, que estima sus pérdidas en $500 millones debido a la cancelación de vuelos. Los economistas calcularon que el daño total para las empresas de Fortune 500 debido al fallo en las actualizaciones de CrowdStrike ascendió a más de $5,4 mil millones. Además, los inversores también manifestaron su descontento, lo que llevó a una demanda del fondo de pensiones Plymouth County Retirement Association tras la caída de las acciones de CrowdStrike.