Com és conegut, fa unes setmanes hi va haver una apagada informàtica que va afectar una gran part del món (podeu veure un article publicat per Projecte grip aprofundint-hi en el següent enllaç). Aquest problema, que va afectar gairebé 9 milions de dispositius Windows (1% de les màquines a tot el món), va ser degut a una actualització defectuosa de CrowdStrike Falcon, un sensor del famós EDR encarregat de bloquejar atacs contra sistemes i que captura i registra tota l'activitat a temps real, per tal de detectar ràpidament amenaces.
Primera lliçó: un problema evitable
Però, la pregunta és: tot això es podria haver evitat? Per això hem d'entendre l'arrel del problema.
Segons el que han explicat des de la pròpia companyia, el problema va ser degut a la presència d'un fitxer corrupte en l'actualització de CrowdStrike Falcon, cosa que va provocar que tot sistema que la va obtenir col·lapsés en no ser capaços de llegir-lo. Ja que el problema afectava a nivell kernel, els sistemes es quedaven en bucle en arrencar provocant la tan coneguda “pantalla blava” (BSOD).
Com és possible que una cosa així passi en ple 2024? No es fan revisions abans de llançar una actualització d'aquest tipus? Normalment sí, però no sempre ha de ser així. En aquest cas, CrowdStrike Falcon tenia la certificació de Microsoft, però a les actualitzacions no totes les peces que el conformen necessiten ser certificades.
I heus aquí el problema, aquests components aprofiten la certificació de Falcon per colar-se al nucli del sistema operatiu i qualsevol error en ell pot ser fatal. Per tant, és molt important controlar bé els proveïdors que poden accedir a aquesta part del S.O.
Tot això ens fa qüestionar-nos que si l'actualització tenia un risc tan alt, per què CrowdStrike no va provar l'actualització abans de llençar-la mundialment? Doncs segons expliquen alguns experts, “CrowdStrike es va haver d'arriscar perquè van descobrir diverses vulnerabilitats crítiques al sistema, i aquestes actualitzacions tenien com a finalitat eliminar-les abans que qualsevol atacant pogués aprofitar-les”.
Després de tot això i tornant a la pregunta inicial, si tot aquest problema es podria haver evitat, doncs molt probablement sí.
Segona lliçó: honestedat i humilitat
Després de l'incident, era important buscar algú que assumís la responsabilitat del que havia passat, i hem de parlar des del punt de vista de Microsoft i de CrowdStrike.
Per part de Microsoft, és recurrent la pregunta, per què permet que programari de tercers arribi tan lluny, sent això tan arriscat per als seus sistemes?
En les declaracions al diari The Wall Street Journal, un portaveu del gegant tecnològic va acusar la Comissió Europea d'obligar-lo a fer-ho, arran d'un acord que les dues parts van signar el 2009. Aquest acord tenia com a propòsit promoure la lliure competència. Microsoft havia adquirit diversos antivirus per prestar serveis de ciberseguretat amb accés directe al kernel de Windows, cosa que li donava un clar avantatge sobre els altres competidors. Per això es va acordar que la companyia havia de permetre als altres poder conèixer el sistema operatiu tant com les solucions pròpies de Microsoft.
Un representant de la comissió va respondre que Microsoft ha d'adaptar la seva infraestructura de seguretat d'acord amb l'acord signat, ja que el problema no es va limitar als territoris de la UE. També va afirmar que Microsoft mai no havia mostrat ni plantejat una preocupació sobre aquest aspecte de seguretat ni abans ni després de l'incident.
Després de les declaracions de Microsoft, molts experts han donat la seva opinió i asseguren que, malgrat l'acord, no hi ha cap bona raó perquè la companyia tecnològica no el pogués complir amb els “controls adequats”. Deixant clar que l'acord no obliga que tots els antivirus hagin d'accedir al nucli kernel, sinó que simplement els dóna la possibilitat de fer-ho. De fet, no tots ho fan, ja que busquen altres fórmules i innovació pròpia per protegir el sistema.
Per la part de CrowdStrike, després de l'incident va oferir als seus socis una targeta de regal d'Uber Eats per un valor aproximat de 9 euros com a disculpa. Per si no n'hi hagués prou, després de l'allau de persones que el van voler bescanviar, l'aplicació ho va reconèixer com a frau i va cancel·lar els cupons.
Com és normal, les crítiques han estat abundants. Una compensació de 9 euros no és ni de bon tros proporcional al dany causat, arribant a ser insultant per a entitats com ADIF, una de les més copejades per la situació.
És imprescindible ser honest i tenir molta humilitat a l'hora d'afrontar públicament un succés d'aquest calibre i els departaments de relacions públiques han d'estar a l'alçada.
Tercera lliçó: no cal dependre d'una única solució
Cada cop més s'utilitzen grans programaris que centralitzen els recursos, la qual cosa genera una gran dependència de la tecnologia. Això és eficient, però també molt perillós, ja que, si un component crític falla, pot provocar un efecte dòmino. I en això posa molt èmfasi la regulació europea DORA (Digital Operational Resilience Act), que dedica un apartat a proposar solucions per al que anomenen “risc de concentració”, convidant que les empreses no depenguin únicament de 3 o 4 proveïdors i distribueixin els seus necessitats de serveis i productes entre més organitzacions, evitant així que es generin dependències que els facin perdre el control.
L'incident succeït només posa en manifest aquest fet i que l'afany actual de connectar-ho tot (les infraestructures crítiques, les empreses, les administracions públiques, tota mena de gadgets, els electrodomèstics, etc.) genera més risc de ciberatacs, ja que depenem de Internet per a gairebé tot. De fet, no només les empreses espanyoles van ser greument afectades, sinó que també va afectar unes 125 empreses de les Fortune 500. Què hauria passat si hagués afectat MacOS i Linux? I si hagués afectat el 100% de les màquines Windows del món? La situació hauria passat de ser caòtica a ser apocalíptica.
Quarta lliçó: ciberseguretat com a prioritat
Avui dia és més important que mai tenir entre les màximes prioritats la ciberseguretat, ja sigui una empresa, una administració pública, una institució o un usuari. El nombre de ciberatacs ha augmentat fins a límits mai vists i cal estar a l'alçada de les circumstàncies.
L'apagada informàtica que va afectar Windows va ser històrica i afecta a molts sectors mundials i, encara que no és la primera gran apagada succeïda, molts experts se segueixen sorprenent que les empreses de sectors crítics com la banca, les aerolínies i/o els mitjans de comunicació, no tinguessin o no poguessin abordar una millor resposta amb els seus plans de contingència i recuperació davant d'incidents. A més, arran del problema, alguns actors maliciosos s'estan aprofitant per fer campanyes de phishing amb un fitxer maliciós que suposadament soluciona el problema. El dolent mai desaprofita una bona oportunitat.
Per tot això i per esdeveniments similars anteriors, és que la ciberseguretat deu ser una prioritat en tot àmbit si de debò no es volen lamentar pèrdues, ja siguin monetàries o de dades sensibles de les empreses o usuaris.