El viernes 19 de julio de 2024, el Reino Unido se despertó con la noticia de una interrupción de TI de rápida propagación, aparentemente de naturaleza global, que afectaba a cientos (si no miles) de organizaciones.
La interrupción comenzó en las primeras horas de la mañana del viernes en Australia, antes de extenderse rápidamente por Asia, Europa y América, siendo la industria de viajes una de las más afectadas.
La interrupción fue rápidamente rastreada hasta la empresa de seguridad cibernética CrowdStrike, que ya participa en la respuesta a incidentes en medio del caos. Manténgase al tanto de este incidente en desarrollo durante los próximos días y semanas con nuestra Guía esencial.
¿Qué hace CrowdStrike?
CrowdStrike es una de las empresas de ciberseguridad más destacadas del mundo, con miles de clientes en todo el mundo. Con sede en Texas, emplea a más de 8.000 personas y registra alrededor de 3.000 millones de dólares en ingresos al año. Existe desde 2011.
La organización se anuncia así: “CrowdStrike ha redefinido la seguridad con la plataforma nativa de la nube más avanzada del mundo que protege y habilita a las personas, los procesos y las tecnologías que impulsan las empresas modernas. CrowdStrike protege las áreas de riesgo más críticas (puntos finales y cargas de trabajo en la nube, identidad y datos) para mantener a los clientes por delante de los adversarios actuales y detener las infracciones”.
CrowdStrike resultará desconocido para la mayoría de las personas que no están familiarizadas con la industria de la tecnología, aunque los fanáticos de la Fórmula 1 lo sabrán gracias a su patrocinio principal del equipo Mercedes AMG Petronas: su marca aparece en el dispositivo de seguridad halo y se ve claramente en las imágenes a bordo. del coche de Lewis Hamilton.
Los profesionales de la seguridad conocerán a CrowdStrike por sus frecuentes contribuciones a las investigaciones de incidentes importantes, incluido el hackeo de Sony Pictures, la crisis de WannaCry y el hackeo del Comité Nacional Demócrata en 2016 por parte de Rusia.
¿Qué pasó durante la interrupción de CrowdStrike?
Al principio, la interrupción se manifestó en forma de la infame pantalla azul de la muerte, que indica un error fatal del sistema, en las PC con Windows.
Dado que, para empezar, la interrupción parecía ser un problema de Microsoft, fue Redmond el primero en responder, confirmando justo antes de las 8 am BST que estaba investigando problemas que afectan los servicios en la nube en los EE. UU.
Rápidamente se hizo evidente que el problema no se debía a la propia Microsoft, sino a un archivo de canal defectuoso implementado en el producto de sensor Falcon de CrowdStrike.
Falcon es una solución diseñada para prevenir ataques cibernéticos unificando antivirus de próxima generación, detección y respuesta de endpoints (EDR), inteligencia y búsqueda de amenazas, e higiene de seguridad. Todo esto se gestiona y entrega a través de un sensor liviano, entregado y administrado en la nube, que parece ser de donde surgió el problema.
El lanzamiento fallido provocó efectivamente lo que se conoce como un bucle de arranque. Esta es una situación que ocurre cuando un dispositivo Windows se reinicia sin previo aviso durante su proceso de inicio, lo que significa que la máquina no puede finalizar un ciclo de inicio completo y estable y, por lo tanto, no se enciende.
Al momento de escribir este artículo, no se han establecido completamente los hechos del incidente y es probable que la investigación lleve algún tiempo.
Sin embargo, estos problemas generalmente ocurrirán debido a pruebas inadecuadas en varios entornos de escritorio y servidor, o debido a la falta de mecanismos adecuados de sandboxing y reversión para actualizaciones que involucran una interacción a nivel de kernel.
¿Existe una amenaza a la seguridad cibernética por la interrupción de CrowdStrike?
Aunque similar en sus efectos y orígenes a un ataque a la cadena de suministro, es importante señalar que la interrupción de CrowdStrike no es un incidente de seguridad cibernética y no se sabe que nadie haya sido atacado como resultado de ello.
Sin embargo, como afecta a un producto de seguridad cibernética, existe la posibilidad de que los actores de amenazas busquen aprovechar el tiempo de inactividad causado y cualquier brecha en la cobertura que surja.
Es casi seguro que en los próximos días y semanas los actores de amenazas explotarán el incidente en ataques de phishing e ingeniería social en un intento de atraer nuevas víctimas. Los posibles señuelos podrían incluir ofertas de soporte técnico o actualizaciones falsas de CrowdStrike, y las consecuencias podrían incluir filtración de datos, implementación de ransomware y extorsión.
Los líderes y administradores de seguridad y TI harían bien en comunicar los posibles peligros posteriores a sus usuarios.
¿Quién se vio afectado por la interrupción de CrowdStrike?
Por ahora no se conoce el número total de organizaciones afectadas por la interrupción. Sin embargo, aquellos que se sabe que han experimentado algún impacto, o se ha confirmado que lo han hecho, incluyen:
- Aerolíneas que incluyen American Airlines, Delta, KLM, Lufthansa, Ryanair, SAS y United;
- Aeropuertos como Gatwick, Luton, Stansted y Schiphol;
- Organizaciones financieras como la Bolsa de Valores de Londres, Lloyds Bank y Visa;
- Atención médica, incluida la mayoría de las consultas de médicos de cabecera y muchas farmacias independientes;
- Organizaciones de medios como MTV, VH1, Sky y algunos canales de la BBC;
- Minoristas, organizaciones de ocio y hostelería, incluidas Gail’s Bakery, Ladbrokes, Morrisons, Tesco y Sainsbury’s;
- Organismos deportivos, incluidos los equipos de F1 Aston Martin Aramco, Mercedes AMG Petronas y Williams Racing, todos compitiendo el fin de semana del 20 y 21 de julio en el Gran Premio de Hungría, y el Comité Organizador de París 2024 para los Juegos Olímpicos y Paralímpicos, que comienzan el 26 de julio. ;
- Empresas operadoras de trenes (TOC) como Avanti West Coast, Merseyrail, Southern y Transport for Wales.
¿Qué dice CrowdStrike sobre la interrupción?
En una declaración inicial, el director ejecutivo de CrowdStrike, George Kurtz, dijo: “CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows. Los hosts Mac y Linux no se ven afectados. Este no es un incidente de seguridad ni un ciberataque.
“El problema ha sido identificado, aislado y se ha implementado una solución. Remitimos a los clientes al portal de soporte para obtener las últimas actualizaciones y continuaremos brindando actualizaciones completas y continuas en nuestro sitio web.
“Además, recomendamos a las organizaciones que se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales. Nuestro equipo está completamente movilizado para garantizar la seguridad y estabilidad de los clientes de CrowdStrike”.
En una entrevista televisiva matutina con NBC en Estados Unidos, Kurtz añadió: “Lamentamos profundamente el impacto que hemos causado a los clientes, a los viajeros y a cualquier persona afectada por esto, incluidas nuestras empresas”.
La declaración completa de Microsoft, compartida con la BBC y atribuida a un portavoz, dice: “Somos conscientes de un problema que afecta a los dispositivos Windows debido a una actualización de una plataforma de software de terceros. Anticipamos que habrá una resolución próxima”.
¿Puedo solucionar el problema de CrowdStrike yo mismo?
CrowdStrike ha revertido los cambios en el producto afectado automáticamente, pero es posible que los hosts sigan fallando o no puedan permanecer en línea para recibir la actualización correctiva.
La respuesta corta a la pregunta es sí, pero desafortunadamente, estos problemas pueden ser difíciles de solucionar, lo que requiere que los equipos de TI trabajen mucho. Pueden pasar días, o incluso más, antes de que se pueda llegar a todos los dispositivos afectados.
Se recomienda a los administradores del sistema que sigan los siguientes pasos:
- Inicie Windows en modo seguro o en el entorno de recuperación de Windows;
- Navegue al directorio C:\Windows\System32\drivers\CrowdStrike;
- Localice el archivo que coincida con “C-00000291*.sys”. Eliminar este archivo;
- Arranca normalmente.
Los clientes de CrowdStrike pueden acceder a más información iniciando sesión en su portal de soporte.
¿Cómo puedo evitar problemas similares en el futuro?
Las empresas de seguridad como CrowdStrike se encuentran bajo una gran presión en lo que respecta al desarrollo y las actualizaciones de productos, lo que debe realizarse con frecuencia mientras se esfuerzan por mantener a sus clientes protegidos contra nuevos días cero, ransomware y similares.
Esta presión también llega a los propios clientes, quienes, comprensiblemente, a menudo querrán aprovechar la configuración para permitir que sus herramientas de seguridad se actualicen automáticamente.
Para evitar ser víctimas de este tipo de problemas en el futuro, los equipos de TI deberían considerar adoptar un enfoque gradual para las actualizaciones de software (particularmente si pertenecen a soluciones de seguridad) y probarlas en un entorno de pruebas, o en un conjunto limitado de dispositivos, antes de comenzar. despliegue completo.
También es aconsejable tener incorporado algún nivel de redundancia del sistema para aislar y administrar adecuadamente los dominios de fallas, particularmente cuando se ejecuta infraestructura crítica.