El viernes, el mundo sufrió lo que muchos han sufridodescritocomo la mayor interrupción de TI en la historia, cuando8,5 millonesLas computadoras con Windows fallaban y no se reiniciaban.

La causa fue un error provocado por una actualización automática de un software del que hasta el viernes nadie más allá de los nerds de la seguridad cibernética había oído hablar: CrowdStrike's Falcon.

Falcon es un tipo de software conocido como "detección y respuesta de endpoints", o EDR para abreviar.Es algo así como un antivirus con esteroides.Cuando se instala, Falcon monitorea una computadora en busca de signos de ataques cibernéticos.

Puede recopilar datos sobre qué archivos abre, qué programas ejecuta, qué sitios web visita, etc.Esto lo hacesoftware altamente privilegiado.Cuando un empleado abre accidentalmente un archivo adjunto de correo electrónico malicioso, Falcon está observando, eternamente vigilante.

Los programas EDR se consideran mejores prácticas,recomendadopor la principal agencia de ciberdefensa del gobierno australiano.

Lo que significa que en 2024, la mejor estrategia que recomiendan los expertos en ciberseguridad pasa por un software que espíe todo lo que sucede en nuestros ordenadores.

¿Cómo llegamos hasta aquí? ¿Existe un mejor camino a seguir?

El caso de la EDR

CrowdStrike es líder del mercado en EDR, de ahí que tantos sistemas fallaran a fines de la semana pasada.Y existen buenas razones para recomendar tecnologías EDR como Falcon.Para las organizaciones individuales, son invaluables para alertar a los equipos de seguridad de TI sobre signos de intrusión cibernética.

Esto ayuda a los equipos de TI a frustrar a un atacante antes de que pueda causar un daño significativo.En el caso de ataques más sigilosos, ayuda a detectar comportamientos sospechosos que podrían indicar una intrusión de larga data.ElHackear Medibankde 2022 es un buen ejemplo.Después de obtener acceso inicialmente, el pirata informático pasó semanas dentro de las redes de Medibank sin ser detectado.

Tecnologías como Falcon de CrowdStrike también proporcionan información valiosa sobre las amenazas cibernéticas emergentes a nivel mundial.Debido a que su software se implementa en tantas organizaciones alrededor del mundo, CrowdStrike tiene una vista panorámica que, al menos en teoría, le permite identificar patrones de comportamiento malicioso más allá de lo que cualquier organización individual puede ver.

Por esta razón, también es unlíder en inteligencia sobre amenazas cibernéticas, proporcionando información a los equipos de TI sobre qué buscar.Si una organización detecta un ciberataque, los datos recopilados por herramientas EDR como Falcon también pueden ayudar a descubrir exactamente cómo ocurrió la intrusión.

Una vez más, el hackeo de Medibank sirve como un buen ejemplo.Tribunal FederalLos documentos contienen información detallada sobre la cronología de los eventos que llevaron al ataque, incluido cómo ocurrió la intrusión inicial y qué hizo el atacante una vez que obtuvo acceso a las redes de Medibank.

Sin la visión omnisciente que ofrecen las herramientas de vigilancia como EDR, reunir este tipo de información sería increíblemente desafiante.

¿Cuáles son las desventajas?

Tras la interrupción del viernes, vale la pena cuestionar las desventajas de las tecnologías EDR.Muchos ya han planteado las preguntas obvias sobre la dependencia de nuestra sociedad de muy pocos gigantes tecnológicos globales, y lariesgos de los monocultivos tecnológicos.

Pero conocemos estos riesgos desde hace más dedos décadas.Probablemente no podemos esperar que este incidente deshaga los monopolios que impregnan los mercados tecnológicos.

Otro inconveniente es el puro riesgo técnico.El software EDR como Falcon adquiere su omnisciencia al estar estrechamente integrado en el núcleo de Microsoft Windows: el software fundamental que controla la mayoría de nuestras computadoras.Es por eso que podría causar los accidentes que vimos en primer lugar.

Como fabricante de software altamente privilegiado, CrowdStrike tenía la responsabilidad de garantizar que sus actualizaciones fueran seguras.Es evidente que fracasó y todos deberíamos exigir estándares de responsabilidad mucho más altos por parte de los fabricantes de software crítico.

Compensaciones de privacidad

Todas estas cuestiones han sido ampliamente analizadas en los días posteriores al incidente.Menos discutidos han sido los compromisos de privacidad.

Si le pide a un profesional de seguridad cibernética que nombre qué tipo de software espía todo lo que hace en su computadora, es probable que mencione el software espía antes de mencionar EDR.

El software espía es un software malicioso que los piratas informáticos instalan en los ordenadores de las víctimas para capturarinformación sensible, comocontraseñas,información bancaria, ofotos de desnudos, entre otras cosas.

De hecho, algunos científicos informáticos preocupados por la privacidadequiparar EDR con software espía.

Al igual que con otras formas de vigilancia corporativa, existe una tensión clara entre el derecho individual a la privacidad y el imperativo organizacional de protegerse de las intrusiones cibernéticas.

Las tecnologías EDR se han implementado en las principales organizaciones con poco debate sobre su impacto en la privacidad y la confianza de los usuarios.Esta interrupción puede brindar una oportunidad para finalmente tener esos debates.

¿Existe una mejor manera?

A raíz de este incidente, vale la pena considerar si las compensaciones realizadas por la tecnología EDR actual son las correctas.

Abandonar la EDR sería un regalo para los ciberdelincuentes.Pero la tecnología de seguridad cibernética puede (y debe) implementarse mucho mejor.

Desde un punto de vista técnico, Microsoft y CrowdStrike deberían trabajar juntos para garantizar que herramientas como Falcon funcionen a distancia del núcleo de Microsoft Windows.Eso reduciría en gran medida el riesgo que plantean futuras actualizaciones defectuosas.Algunomecanismosya existen que pueden permitir esto.Tecnología competidora del Falcon de CrowdStrikeya funciona de esta manera.

Para proteger la privacidad del usuario, las soluciones EDR deben adoptar métodos que preserven la privacidad para la recopilación y el análisis de datos.Apple ha demostrado cómo se pueden recopilar datos a escala desde iPhonessin invadir la privacidad del usuario.Sin embargo, para aplicar estos métodos a la EDR, probablemente necesitaremos nuevas investigaciones.

Más fundamentalmente, este incidente plantea interrogantes sobre por qué la sociedad sigue dependiendo de programas informáticos que son tan evidentemente poco fiables.Especialmente en Australia donde estamosreconocido internacionalmentelíderes mundialesen la ingeniería de sistemas informáticos altamente seguros, como los queproteger información altamente clasificada.

A largo plazo, deberíamos reducir nuestra dependencia de tecnologías invasivas como EDR centrando nuestros esfuerzos en crear software que sea confiable y seguro en primer lugar.

Este artículo se republica desdeLa conversaciónbajo una licencia Creative Commons.Lea elartículo original.