La reciente interrupción del servicio informático de CrowdStrike sirvió como ensayo general para un posible ciberataque a infraestructura crítica que podría ser orquestado por un estado-nación como China. La interrupción del servicio informático de CrowdStrike fue un ejercicio útil de lo que podría suceder si China actuara de manera disruptiva contra sistemas críticos. “Realmente se trata de generar resiliencia en nuestras redes y nuestros sistemas para que podamos soportar interrupciones significativas y al menos reducir el tiempo de recuperación para poder brindar servicios”, dijo Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) durante una sesión informativa en Black Hat USA 2024. “Pensé que la interrupción del servicio informático de CrowdStrike fue un ejercicio útil, como un ensayo general, de lo que China podría querer hacer. Si algo así vuelve a suceder, tenemos que ser capaces de responder y recuperarnos muy rápidamente en un mundo donde la actualización de contenido no se revierte”. El precedente de Volt Typhoon En mayo, CISA emitió una actualización sobre la amenaza inminente que representan los actores cibernéticos patrocinados por el estado de la República Popular China (RPC), conocidos como Volt Typhoon. El aviso confirmó que Volt Typhoon se ha estado infiltrando activamente en las redes de organizaciones de infraestructura crítica de EE. UU. Esta infiltración no es para espionaje, robo de datos o robo de IP, sino para lanzar un ataque disruptivo en caso de un conflicto importante en el Estrecho de Taiwán. El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido también ha emitido duras advertencias sobre el potencial Volt Typhoon, que podría sentar las bases para ciberataques disruptivos o destructivos. Desde que emitió tales declaraciones, CISA ahora está tratando de discernir si esto ha llevado a los actores de Volt Typhoon a un lugar donde ya no pueden encontrarlos, o cambiando sus tácticas y técnicas. «No creo que hayamos visto ningún cambio material todavía», dijo Easterly. Lecciones aprendidas por CISA de la interrupción de CrowdStrike Durante la interrupción global de TI del 19 de julio, causada por una actualización de contenido del sensor Falcon de CrowdStrike que provocó interrupciones en los sistemas operativos Microsoft Windows, CISA trabajó con CrowdStrike para brindar orientación de mitigación a los afectados. Al abordar el problema, Easterly describió tres aprendizajes del incidente de CrowdStrike. «Como comunidad, estábamos bastante bien conectados en términos de tener un proceso llave en mano para llegar a las empresas de tecnología y la infraestructura crítica muy rápidamente», dijo. «En segundo lugar, reforzó lo que hemos estado diciendo sobre la importancia de que los proveedores de tecnología diseñen, desarrollen, prueben e implementen software que sea seguro por diseño. Vimos que los proveedores cibernéticos no son inmunes a los problemas relacionados con la calidad del software», explicó Easterly. «Sin embargo, la gran lección… es la resiliencia, lo que pasaba por mi mente era que esto es exactamente lo que China quiere hacer, pero sin revertir la actualización», dijo. Para la directora ejecutiva de NCSC, Felicity Oswald, el incidente de CrowdStrike destacó la necesidad de que las organizaciones desarrollen resiliencia en cada etapa. Oswald también dijo que el NCSC jugó un papel fundamental al aclarar que la interrupción del servicio de CrowdStrike no fue una amenaza maliciosa, así como al garantizar que el nuevo gobierno, que asumió el cargo en julio, pudiera brindarles a las empresas la información que necesitaban para lidiar con el incidente.