¿Qué es CrowdStrike Falcon y qué hace? ¿Está mi computador seguro?

Una interrupción masiva del servicio informático está afectando actualmente a los sistemas informáticos de todo el mundo.

En algunos países como Australia y Aotearoa Nueva Zelanda, los informes indican que los computadores de bancos, organizaciones de medios de comunicación, hospitales, servicios de transporte, cajas de tiendas, aeropuertos y otros lugares se han visto afectados.

La interrupción del servicio de este jueves no tiene precedentes en cuanto a su escala y gravedad. El término técnico para describir lo que les ha sucedido a los equipos afectados es que han quedado “bloqueados“. Esta palabra se refiere a que estos equipos han quedado tan inutilizables debido a esta interrupción que, al menos por ahora, bien podrían estar bloqueados.

La interrupción generalizada del servicio se ha relacionado con un programa llamado CrowdStrike Falcon. ¿Qué es y por qué ha provocado una interrupción tan generalizada?

CrowdStrike es una empresa estadounidense de ciberseguridad con una importante participación global en el mercado tecnológico. Falcon es uno de sus productos de software que las organizaciones instalan en sus computadoras para protegerlas de ataques cibernéticos y malware.

Falcon es lo que se conoce como software de “detección y respuesta de endpoints” (EDR, su sigla en inglés). Su trabajo es monitorear lo que sucede en los equipos en los que está instalado, buscando señales de actividad maliciosa (como malware). Cuando detecta algo sospechoso, ayuda a bloquear la amenaza.

Esto significa que Falcon es lo que llamamos software privilegiado. Para detectar señales de ataque, Falcon tiene que monitorear las computadoras con mucho detalle, por lo que tiene acceso a muchos de los sistemas internos. Esto incluye qué comunicaciones envían las computadoras a través de Internet, así como qué programas se están ejecutando, qué archivos se están abriendo y mucho más.

En este sentido, Falcon es un poco como un software antivirus tradicional, pero con esteroides.

Pero además de eso, también necesita poder bloquear amenazas. Por ejemplo, si detecta que un equipo que está monitoreando se está comunicando con un posible hacker, Falcon necesita poder detener esa comunicación. Esto significa que Falcon está estrechamente integrado con el software principal de los equipos en los que se ejecuta: Microsoft Windows.

Este privilegio y la estrecha integración hacen que Falcon sea poderoso, pero también significa que cuando Falcon falla, puede causar problemas graves. La interrupción de este jueves es el peor escenario posible.

Lo que sabemos actualmente es que una actualización de Falcon provocó un mal funcionamiento que provocó que los computadores con Windows 10 se bloquearan y luego no pudieran reiniciarse, lo que provocó la temida “pantalla azul de la muerte” (BSOD).

Este es el término cariñoso que se usa para referirse a la pantalla que se muestra cuando las computadoras con Windows fallan y necesitan reiniciarse; solo que, en este caso, el problema de Falcon significa que los computadores no pueden reiniciarse sin encontrar nuevamente el BSOD.

CrowdStrike es el líder del mercado en soluciones EDR. Esto significa que sus productos, como Falcon, son comunes y probablemente la mejor opción para las organizaciones conscientes de su ciberseguridad.

Como ha demostrado este apagón, esto incluye hospitales, empresas de medios de comunicación, universidades, grandes supermercados y muchos más. La escala total del impacto aún está por determinar, pero sin duda es global.

Si bien los productos de CrowdStrike se implementan ampliamente en importantes organizaciones que necesitan protegerse de ataques cibernéticos, su uso es mucho menos común en computadores hogareñas.

Esto se debe a que los productos de CrowdStrike están diseñados para grandes organizaciones en las que las herramientas de CrowdStrike les ayudan a monitorear sus redes en busca de señales de ataque y les brindan la información que necesitan para responder a las intrusiones de manera oportuna.

Para los usuarios domésticos, el software antivirus integrado o los productos de seguridad ofrecidos por empresas como Norton y McAfee son mucho más populares.

En esta etapa, CrowdStrike ha proporcionado instrucciones manuales sobre cómo las personas pueden solucionar el problema en las computadoras individuales afectadas.

Sin embargo, al momento de escribir este artículo, no parece que exista una solución automática para el problema. Los equipos de TI de algunas organizaciones pueden solucionar este problema rápidamente simplemente borrando los datos de los equipos afectados y restaurándolos a partir de copias de seguridad o algo similar.

Algunos equipos de TI también pueden “revertir” (volver a una versión anterior) la versión afectada de Falcon en las computadoras de su organización. También es posible que algunos equipos de TI tengan que solucionar el problema manualmente en las computadoras de su organización, una a la vez.

Debemos esperar que en muchas organizaciones pueda pasar un tiempo antes de que el problema pueda resolverse por completo.

Lo irónico de este incidente es que los profesionales de seguridad llevan años animando a las organizaciones a implementar tecnologías de seguridad avanzadas como EDR. Sin embargo, esa misma tecnología ha provocado una interrupción importante como no hemos visto en años.

Para empresas como CrowdStrike, que venden software de seguridad altamente privilegiado, este es un recordatorio oportuno para ser increíblemente cuidadosos al implementar actualizaciones automáticas en sus productos.

*Toby Murray, profesor asociado de ciberseguridad, Facultad de Informática y Sistemas de Información, Universidad de Melbourne