El viernes 19 de julio de 2024, el Reino Unido se despertó con la noticia de una interrupción de TI que se extendió rápidamente, aparentemente de naturaleza global, que afectó a cientos, si no miles, de organizaciones. La interrupción comenzó en las primeras horas de la mañana del viernes en Australia, antes de extenderse rápidamente por Asia, Europa y las Américas, siendo el sector de los viajes uno de los más afectados. La interrupción se rastreó rápidamente hasta la empresa de seguridad cibernética CrowdStrike, que ya está involucrada en la respuesta a incidentes en medio del caos. Manténgase al tanto de este incidente en desarrollo durante los próximos días y semanas con nuestra Guía esencial. ¿Qué hace CrowdStrike? CrowdStrike es una de las empresas de seguridad cibernética más importantes del mundo, con miles de clientes en todo el mundo. Con sede en Texas, emplea a más de 8.000 personas y registra alrededor de 3000 millones de dólares en ingresos por año. CrowdStrike existe desde 2011. La organización se autodenomina así: “CrowdStrike ha redefinido la seguridad con la plataforma nativa de la nube más avanzada del mundo que protege y habilita a las personas, los procesos y las tecnologías que impulsan a las empresas modernas. CrowdStrike protege las áreas de riesgo más críticas (puntos finales y cargas de trabajo en la nube, identidad y datos) para mantener a los clientes por delante de los adversarios de hoy y detener las infracciones”. CrowdStrike resultará desconocido para la mayoría de las personas que no estén inmersas en la industria de la tecnología, aunque los fanáticos de la Fórmula 1 lo conocerán gracias a su patrocinio principal del equipo Mercedes AMG Petronas: su marca aparece en el dispositivo de seguridad del halo y se ve claramente en las imágenes a bordo del auto de Lewis Hamilton. Los profesionales de la seguridad conocerán a CrowdStrike por sus frecuentes contribuciones a las investigaciones de incidentes importantes, incluido el hackeo de Sony Pictures, la crisis de WannaCry y el hackeo de 2016 del Comité Nacional Demócrata por parte de Rusia. ¿Qué sucedió durante la interrupción del servicio de CrowdStrike? La interrupción se manifestó en un principio en forma de la infame pantalla azul de la muerte (que indica un error fatal del sistema) en los PC con Windows. Dado que la interrupción parecía ser un problema de Microsoft, fue Redmond el primero en responder, confirmando poco antes de las 8 am BST que estaba investigando problemas que afectaban a los servicios en la nube en los EE. UU. Rápidamente se hizo evidente que el problema no se debía a Microsoft en sí, sino a un archivo de canal defectuoso implementado en el producto de sensor Falcon de CrowdStrike. Falcon es una solución diseñada para prevenir ataques cibernéticos unificando antivirus de última generación, detección y respuesta de endpoints (EDR), inteligencia y búsqueda de amenazas e higiene de seguridad. Todo esto se administra y se entrega a través de un sensor liviano, entregado y administrado en la nube, que parece ser de donde surgió el problema. La implementación fallida causó efectivamente lo que se conoce como un bucle de arranque. Esta es una situación que ocurre cuando un dispositivo Windows se reinicia sin previo aviso durante su proceso de inicio, lo que significa que la máquina no puede completar un ciclo de arranque completo y estable y, por lo tanto, no se enciende. Al momento de escribir este artículo, no se han establecido por completo los hechos del incidente y es probable que la investigación tome algún tiempo. Sin embargo, estos problemas en general ocurrirán debido a pruebas inadecuadas en varios entornos de escritorio y servidor, o debido a la falta de mecanismos adecuados de sandbox y rollback para actualizaciones que involucran una interacción a nivel de kernel. ¿Existe una amenaza de seguridad cibernética por la interrupción de CrowdStrike? Aunque similar en su efecto y orígenes a un ataque a la cadena de suministro, es importante señalar que la interrupción de CrowdStrike no es un incidente de seguridad cibernética y no se sabe que nadie haya sido atacado como resultado de ella. Sin embargo, como afecta a un producto de seguridad cibernética, existe la posibilidad de que los actores de amenazas intenten aprovechar el tiempo de inactividad causado y cualquier brecha en la cobertura que surja. Es casi seguro que en los próximos días y semanas veremos a los actores de amenazas explotar el incidente en ataques de phishing e ingeniería social mientras intentan atraer nuevas víctimas. Los posibles señuelos podrían incluir ofertas de soporte técnico o actualizaciones falsas de CrowdStrike, y las consecuencias podrían incluir exfiltración de datos, implementación de ransomware y extorsión. Los líderes y administradores de TI y seguridad harían bien en comunicar a sus usuarios los posibles peligros que se derivan de ello. ¿Quién se vio afectado por la interrupción del servicio de CrowdStrike? Por ahora no se conoce el número total de organizaciones afectadas por la interrupción. Sin embargo, entre las que se sabe que han experimentado algún impacto o que han confirmado que lo han experimentado se encuentran: Aerolíneas como American Airlines, Delta, KLM, Lufthansa, Ryanair, SAS y United; Aeropuertos como Gatwick, Luton, Stansted y Schiphol; Organizaciones financieras como la Bolsa de Valores de Londres, Lloyds Bank y Visa; Atención sanitaria, incluida la mayoría de los consultorios médicos de cabecera y muchas farmacias independientes; Organizaciones de medios como MTV, VH1, Sky y algunos canales de la BBC; Minoristas, organizaciones de ocio y hostelería como Gail’s Bakery, Ladbrokes, Morrisons, Tesco y Sainsbury’s; Entidades deportivas, incluidos los equipos de F1 Aston Martin Aramco, Mercedes AMG Petronas y Williams Racing, que competirán el fin de semana del 20 y 21 de julio en el Gran Premio de Hungría, y el Comité Organizador de los Juegos Olímpicos y Paralímpicos de París 2024, que comienzan el 26 de julio; empresas operadoras de trenes (TOC) como Avanti West Coast, Merseyrail, Southern y Transport for Wales. ¿Qué dice CrowdStrike sobre la interrupción? En una declaración inicial, el director ejecutivo de CrowdStrike, George Kurtz, dijo: «CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows. Los hosts de Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque. «El problema ha sido identificado, aislado y se ha implementado una solución. Remitimos a los clientes al portal de soporte para obtener las últimas actualizaciones y continuaremos brindando actualizaciones completas y continuas en nuestro sitio web. «Además, recomendamos a las organizaciones que se aseguren de comunicarse con los representantes de CrowdStrike a través de los canales oficiales. Nuestro equipo está completamente movilizado para garantizar la seguridad y la estabilidad de los clientes de CrowdStrike”. En una entrevista televisiva matutina con la NBC en EE. UU., Kurtz agregó: “Lamentamos profundamente el impacto que hemos causado a los clientes, a los viajeros, a cualquier persona afectada por esto, incluidas nuestras empresas”. La declaración completa de Microsoft, compartida con la BBC y atribuida a un portavoz, dice: “Estamos al tanto de un problema que afecta a los dispositivos Windows debido a una actualización de una plataforma de software de terceros. Anticipamos que se llegará a una resolución”. ¿Puedo solucionar el problema de CrowdStrike yo mismo? CrowdStrike ha revertido los cambios en el producto afectado automáticamente, pero los hosts pueden seguir fallando o no pueden permanecer en línea para recibir la actualización correctiva. La respuesta corta a la pregunta es sí, pero desafortunadamente, estos problemas pueden ser abrumadores de solucionar, lo que requiere que los equipos de TI trabajen mucho. Pueden pasar días, o incluso más, antes de que se pueda llegar a todos los dispositivos afectados. Se recomienda a los administradores de sistemas que tomen las siguientes medidas: Arrancar Windows en modo seguro o en el entorno de recuperación de Windows; Vaya al directorio C:\Windows\System32\drivers\CrowdStrike; Localice el archivo que coincida con “C-00000291*.sys”. Elimine este archivo; Inicie el sistema normalmente. Los clientes de CrowdStrike pueden acceder a más información iniciando sesión en su portal de soporte. ¿Cómo puedo evitar problemas similares en el futuro? Las empresas de seguridad como CrowdStrike están bajo mucha presión cuando se trata del desarrollo y las actualizaciones de productos, lo que debe hacerse con frecuencia, ya que se esfuerzan por mantener a sus clientes protegidos de nuevos ataques de día cero, ransomware y similares. Esta presión también se transmite a los propios clientes, quienes, comprensiblemente, a menudo querrán aprovechar las configuraciones para permitir que sus herramientas de seguridad se actualicen automáticamente. Para evitar ser víctimas de este tipo de problema en el futuro, los equipos de TI deben considerar la posibilidad de adoptar un enfoque gradual para las actualizaciones de software, en particular si pertenecen a soluciones de seguridad, y probarlas en un entorno de prueba o en un conjunto limitado de dispositivos, antes de la implementación completa. También es aconsejable tener incorporado algún nivel de redundancia del sistema para aislar y gestionar adecuadamente los dominios de falla, en particular cuando se ejecuta una infraestructura crítica.