Hemant Rathod, un ejecutivo indio, estaba tomando té en una sala de conferencias el viernes por la mañana en Delhi, a punto de enviar un largo correo electrónico a su equipo, cuando su computadora se volvió loca.
La computadora portátil HP de repente dijo que necesitaba reiniciarse. Entonces la pantalla se volvió azul. Intentó en vano reiniciar. Al cabo de 10 minutos, las pantallas de otros tres colegas en la sala también se volvieron azules.
“Me había tomado mucho tiempo redactar ese correo electrónico”, Rathod, vicepresidente senior de Pidilite Industries, una empresa de materiales de construcción, dijo por teléfono medio día después, todavía llevando consigo su computadora portátil muerta. “Realmente espero que siga ahí para no tener que volver a escribirlo”.
La interrupción, una de las más trascendentales de los últimos tiempos, paralizó computadoras en todo el mundo y puso de manifiesto la fragilidad de los sistemas de software globales entrelazados de los que dependemos.
Provocado por una actualización de software errónea de la empresa de ciberseguridad CrowdStrike, la perturbación se extendió mientras la mayoría de la gente en la costa este de Estados Unidos dormía y los de Asia comenzaban sus días.
En el transcurso de menos de 80 minutos antes de que CrowdStrike lo detuviera, la actualización llegó a las computadoras basadas en Microsoft Windows en todo el mundo, convirtiendo las computadoras portátiles corporativas en ladrillos inutilizables y paralizando las operaciones en restaurantes, compañías de medios y otros negocios. Los centros de llamadas al 911 de Estados Unidos sufrieron interrupciones, el sistema de correo electrónico corporativo de los empleados de Amazon.com falló y decenas de miles de vuelos globales fueron retrasados o cancelados.
‘En mis 30 años de carrera técnica, este es, con diferencia, el mayor impacto que he visto en mi vida’, dijo B.J. Moore, director de información del sistema de salud Providence, con sede en Renton, Washington, cuyos hospitales tuvieron dificultades para acceder a los registros de los pacientes. realizar cirugías y realizar tomografías computarizadas.
Solucionar el problema implicó pasos técnicos que confundieron a muchos usuarios que no son expertos en tecnología. Algunos departamentos de TI corporativos todavía estaban trabajando para descongelar los sistemas informáticos el viernes por la noche. CrowdStrike dijo que la interrupción no es un ciberataque.
Sumándose al caos, y subrayando aún más la vulnerabilidad del sistema global de TI, un problema separado afectó al sistema de computación en la nube Azure de Microsoft el jueves, poco antes del problema de CrowdStrike, causando una interrupción para los clientes, incluidas algunas aerolíneas estadounidenses y usuarios de Xbox y Microsoft 365.
El problema de CrowdStrike puso al descubierto los riesgos de un mundo en el que los sistemas de TI están cada vez más entrelazados y dependen de innumerables empresas de software, muchas de las cuales no son conocidas. Eso puede causar grandes problemas cuando su tecnología no funciona correctamente o se ve comprometida. El software funciona en nuestras computadoras portátiles y dentro de las configuraciones de TI corporativas, donde, sin que lo sepa la mayoría de los usuarios, se actualizan automáticamente para realizar mejoras o nuevas protecciones de seguridad.
En un hack de 2020, los perpetradores rusos insertaron código malicioso en las actualizaciones del software SolarWinds de una manera que comprometió a una parte del gobierno de EE. UU. y a decenas de empresas privadas.
La creciente frecuencia y el impacto de los ciberataques, incluidos los que insertan ransomware y spyware dañinos, han ayudado a impulsar el crecimiento de CrowdStrike y de competidores como Palo Alto Networks y SentinelOne en los últimos años. Los ingresos anuales de CrowdStrike se han multiplicado por 12 en los últimos cinco años hasta superar los 3.000 millones de dólares.
Pero el software de ciberseguridad como el de CrowdStrike puede ser especialmente perjudicial cuando las cosas van mal porque debe tener un acceso profundo a los sistemas informáticos para rechazar ataques maliciosos.
No todas las actualizaciones ocurren automáticamente y los ataques informáticos a menudo ocurren porque las personas o las empresas tardan en adoptar los parches enviados por las compañías de software para corregir vulnerabilidades; en esencia, no tomar el medicamento que recetan los médicos. En este caso, el propio medicamento perjudica a los pacientes.
La interrupción global comenzó con una actualización del llamado ‘archivo de canal’, un archivo que contiene datos que ayudan al software de CrowdStrike a neutralizar las amenazas cibernéticas, dijo CrowdStrike. La fecha de la actualización fue las 4:09 a. m. UTC, poco después de la medianoche en Nueva York y alrededor de las 9:30 a. m. en India.
Esa actualización provocó que el software de CrowdStrike colapsara el cerebro del sistema operativo Windows, conocido como kernel. Reiniciar la computadora simplemente provocó que volviera a fallar, lo que significa que muchos usuarios tuvieron que eliminar quirúrgicamente el archivo ofensivo de cada computadora afectada.
La naturaleza del parche significó que el impacto fue desigual, y las personas en la misma oficina incluso experimentaron la interrupción de manera muy diferente. Las Mac de Apple, que no utilizan el software de Windows afectado, estaban bien, y los servidores y PC que no estaban encendidos ni conectados a Internet no recibieron la actualización tóxica.
CrowdStrike pronto se dio cuenta de que algo andaba mal y la actualización del archivo se revirtió 78 minutos después. Eso significaba que no afectaría a las computadoras que estuvieran apagadas o en modo de suspensión durante ese período. Pero para muchos de los que estaban encendidos, el daño ya estaba hecho.
En una publicación de blog, CrowdStrike les dijo a esos usuarios que iniciaran en el “modo seguro” de Windows, eliminaran el archivo infractor (llamado C-00000291*.sys) y reiniciaran.
Los equipos de TI a menudo pueden solucionar problemas en las computadoras de los empleados utilizando software de acceso remoto, herramientas que se volvieron especialmente comunes durante el auge del trabajo desde casa durante la pandemia. Pero para las computadoras portátiles y otras PC, ese enfoque no funciona si las máquinas no pueden reiniciarse. Para esos sistemas, la reparación de CrowdStrike tuvo que realizarse en persona, ya sea por una persona de soporte técnico en el sitio o por un empleado regular que intentaba aplicar las instrucciones.
Moore, el CIO de atención médica del estado de Washington, estaba de vacaciones e inicialmente no estaba preocupado cuando los correos electrónicos sobre aplicaciones informáticas que funcionaban mal comenzaron a llegar a su bandeja de entrada el jueves por la noche.
Pero a las 11 p.m. hora del Pacífico, se enteró de que la interrupción había afectado a los aproximadamente 50 hospitales y 1.000 clínicas del sistema de salud sin fines de lucro en siete estados. Cientos de empleados de TI comenzaron a implementar parches, que requirieron corrección manual, dijo.
Algunas de las computadoras y dispositivos afectados del sistema fueron reparados a las 6 a. m., y la mayoría volvían a funcionar a las 10 a. m. ‘Será el final del día antes de que lo terminemos todo’, dijo Moore el viernes por la mañana.
Mientras las empresas lidiaban con el impacto, el cofundador y director ejecutivo de CrowdStrike, George Kurtz, estaba en la televisión tratando de tranquilizar a los clientes (y a los accionistas) luciendo demacrados después de una larga noche.
‘Identificamos esto muy rápidamente y revertimos este archivo de contenido en particular’, dijo Kurtz en una entrevista con CNBC unas nueve horas después de la actualización defectuosa. ‘Es posible que algunos sistemas no se recuperen por completo, y estamos trabajando individualmente con todos y cada uno de los clientes para asegurarnos de que podamos ponerlos en funcionamiento y operativos’, añadió.
El plazo para la recuperación podría ser de horas o “un poco más”, dijo. Kurtz dijo en X que la interrupción no es ‘un incidente de seguridad o un ciberataque’.
El director ejecutivo de Microsoft, Satya Nadella, recurrió a X para garantizar que la empresa estaba trabajando estrechamente con CrowdStrike para volver a poner los sistemas en línea. El director ejecutivo de Tesla, Elon Musk, respondió: ‘Esto provocó un ataque a la cadena de suministro automotriz’ y luego dijo: ‘Acabamos de eliminar CrowdStrike de todos nuestros sistemas’.
Para Rathod, vicepresidente senior de Pidilite, los problemas no terminaron con la posible pérdida de su correo electrónico. Después de cambiar a su iPad para seguir trabajando, tuvo que correr al aeropuerto para tomar un vuelo, solo para encontrar largas colas y personal de seguridad desconcertado revisando las tarjetas de embarque manualmente. Las pantallas de información de vuelo no funcionaban, por lo que tuvo que buscar al personal de la aerolínea para que lo indicara hasta la puerta correcta.
‘Fue un desastre en el aeropuerto de Delhi’, dijo Rathod. ‘¿Cómo podemos depender tanto de una sola empresa?’