El pasado viernes día 19 de julio, el mundo entraba en un cierto caos, cuando los ordenadores de grandes aeropuertos y otras infraestructuras informáticas públicas y gubernamentales, y de empresas privadas, dejaban de funcionar debido a una actualización defectuosa de un producto de ciberseguridad de la empresa CrowdStrike, especializada en ofrecer servicios a grandes organizaciones.
Concretamente, la actualización defectuosa correspondía a un escáner endpoint, es decir, instalado en los ordenadores que se encuentran en los puntos finales de la red, como los que están instalados en los mostradores de facturación de los aeropuertos, y que solamente se conectan con la infraestructura de la red corporativa que está “más arriba” en el escalafón, a un nivel superior, como los servidores de la misma compañía que proporciona el servicio de facturación.
Dicho escáner se instala a nivel del kernel del sistema operativo Windows de Microsoft, es decir, su núcleo. Cómo esto significa que lo tenemos incrustado “en lo más profundo” del sistema, componente que se carga cuando este arranca, la actualización defectuosa provocará indefectiblemente que el sistema no pueda cargar correctamente, dando lugar a un fallo que, además, sólo se puede arreglar trabajando directamente sobre la máquina afectada, y no solucionarse con una actualización en remoto.
Ello es debido a que, si no se carga el sistema operativo, no tenemos acceso a nada, por lo que tampoco podemos disfrutar de conexión a la red ni de servicios de instalación para la corrección de la actualización que provoca el problema.
¿Debemos preocuparnos los usuarios finales con este tipo de problema? En el caso concreto de CrowdStrike no, ya que su producto y servicio va dirigido y es utilizado por grandes organizaciones, pero un problema similar podría producirse con otros productos y servicios. Así que, ¿cómo evitarlo?
De siempre se nos ha dicho que lo mejor es instalar las actualizaciones a la mayor brevedad posible, ya que estas corrigen vulnerabilidades de seguridad que pueden ser explotadas por ciberdelincuentes. No obstante, la pronta instalación de esta actualización es la que provocó el problema.
Las grandes organizaciones solucionan la duda de si instalar rápidamente las nuevas actualizaciones, o bien esperar un tiempo prudencial, con una infraestructura de ciberseguridad perimetral, de forma que, teóricamente, los ordenadores que se encuentran en la parte más interna de la red ni siquiera necesitarían de protecciones -algo que, a la práctica, no es así, pero estoy hablando de un plano teórico-, con lo que pueden esperar una actualización de seguridad crítica por un periodo de tiempo prudencial no muy prolongado.
Y, durante este periodo, es necesario contar con un sistema de prueba de las actualizaciones, que se despliegan una vez asegurado su buen funcionamiento. Este comportamiento lo podemos complementar con un despliegue por sectores, dividiendo el parque de ordenadores de nuestra organización en varios grupos, y desplegando la actualización escalonadamente a cada uno de dichos grupos.
De esta forma, y si se nos ha escapado algo en las máquinas de prueba que puede afectar a nuestros sistemas, sólo lo hará de una forma localizada a un subgrupo de máquinas, con lo que podremos esperar a un nuevo parche corrector para las demás, mientras solucionamos el problema en solamente una parte de los ordenadores.
Esto, para las empresas u otras organizaciones, pero ¿y a nivel particular? En primer lugar, también podemos implementar una buena seguridad perimetral a nivel de router, con un hardware dedicado conectado a este, o bien a través de los mismos servicios que proporciona el router, que a veces incorpora antimalware. Si nuestro router no dispone de este tipo de servicios, podemos sopesar la posibilidad de cambiarlo, adquiriendo otro que sí los tenga.
Una vez asegurada la seguridad perimetral, y contando también con software antimalware en nuestros ordenadores, podemos evitar actualizar nuestro sistema cada vez que salen nuevas actualizaciones, pudiendo esperar, por ejemplo, 24 horas, para ver si hay problemas.
En todo caso, esto requiere configurar el sistema operativo para que no se actualice automáticamente, sinó que nos deje a nosotros hacerlo manualmente en todos los casos, o bien ya dilatar la instalación de aplicaciones un día o el lapso de tiempo que estimemos oportuno.
Para finalizar, solamente señalar que mantener actualizados nuestros sistemas informáticos es crucial, puesto que las amenazas a su buen funcionamiento y a la integridad de nuestros datos, son reales.
