El pasado 19 de julio, sistemas de aeropuertos, bancos o compañías de energías se vieron afectados por un fallo informático. Ahora Microsoft ha confirmado que había subestimado el impacto de una actualización de software de CrowdStrike que causó fallos en aproximadamente 8.5 millones de ordenadores Windows, un número que ahora se cree que es bajo. Además, este incidente ha sacado a la luz la fragilidad de los sistemas Windows cuando están involucrados controladores de kernel de terceros, lo que ha llevado a una reevaluación significativa de las prácticas de seguridad por parte de Microsoft.

El fallo originado por una actualización defectuosa de CrowdStrike en sistemas Windows causó problemas muy importantes y significativos a nivel global. Sitios como DownDetector observaron picos de problemas en aplicaciones clave de Microsoft como Azure. La interrupción se entendió a sectores como los medios de comunicación, con afectaciones en cadenas como ABC y Sky, y en el sector financiero, impactando a la Bolsa de Londres y a entidades como Bizum y Visa. Problemas similares se confirmaron en servicios de emergencia, transporte, y aerolíneas como Frontier Airlines en EE.UU., y compañías en Alemania y la India. En Australia, Telstra también se enfrentó a dificultades.

La cifra inicial de 8.5 millones de sistemas afectados por el fallo se basó en informes de fallos compartidos por los usuarios con Microsoft. Sin embargo, David Weston, vicepresidente de Seguridad Empresarial y de SO en Microsoft, admitió que este número representaba solo un subconjunto del impacto real. La dependencia de los controladores de kernel, que operan en el nivel más confiable de Windows, fue identificada como un factor clave en los fallos generalizados del sistema.

Nuevas prácticas de seguridad

En respuesta al incidente, Microsoft ha publicado un nuevo conjunto de directrices titulado «Mejores prácticas de seguridad de Windows para la integración y gestión de herramientas de seguridad». Estas directrices enfatizan la necesidad de minimizar el uso de controladores de kernel, que pueden comprometer la estabilidad del sistema a pesar de sus beneficios en mejorar el rendimiento y la seguridad.

Redefinición del uso de controladores de Kernel

Microsoft sugiere que los proveedores de seguridad deben limitar su uso de controladores de kernel a funciones esenciales como la recopilación de datos y la aplicación, mientras trasladan otras funcionalidades al modo de usuario para mejorar la recuperabilidad del sistema. Este enfoque pretende equilibrar las necesidades de seguridad con la resiliencia del sistema, reduciendo el riesgo de interrupciones graves por actualizaciones de software.

Mejora de la colaboración

La Iniciativa de Virus de Microsoft (MVI) juega un papel también importante en esta nueva estrategia, sirviendo como plataforma de colaboración entre Microsoft y los proveedores de seguridad. La iniciativa se centra en definir puntos de extensión confiables, compartir las mejores prácticas e impulsar mejoras en la seguridad y la fiabilidad de la plataforma.

Pasos futuros

Para prevenir incidentes futuros similares al fallo de CrowdStrike, Microsoft planea implementar varias mejoras clave relacionadas como son:

  1. Prácticas de implementación segura: Desarrollar directrices y tecnologías que aseguren actualizaciones más seguras de los productos de seguridad, minimizando el riesgo de fallos del sistema durante las actualizaciones.
  2. Reducción de dependencias de Kernel: Al disminuir la necesidad de acceso al kernel, Microsoft pretende limitar el potencial de errores que pueden llevar a un impacto sistémico generalizado.
  3. Mejora del aislamiento y la seguridad: La introducción de tecnologías como los enclaves VBS proporcionará mejores capacidades de aislamiento y anti-manipulación, fortaleciendo la postura de seguridad general de los sistemas Windows.
  4. Enfoques de confianza cero: Implementar la atestación de alta integridad para evaluar el estado de seguridad de las máquinas basado en la salud de las características de seguridad nativas de Windows.
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre