El viernes pasado, CrowdStrike, una empresa especializada en soluciones de ciberseguridad liberó una actualización para su producto EDR Falcon. Esta actualización provocó un error en sistemas Windows y Azure, impidiendo que el sistema operativo se iniciara, causando interrupciones en las operaciones de varias empresas, incluidas aerolíneas, bancos, hospitales y otros sectores críticos.
Inicialmente, surgieron alertas que sugerían la posibilidad de un ataque de ransomware u otro tipo de software malicioso, sin embargo, estas preocupaciones fueron rápidamente descartadas al confirmarse que el problema se debía a una actualización defectuosa que afectaba únicamente a sistemas Windows, sin impactar a otras plataformas como Linux o Mac.
Más tarde, CrowdStrike emitió un comunicado indicando que estaban trabajando en una solución, la que provisionalmente, recomendaba iniciar en modo seguro el equipo afectado y eliminar un archivo de sistema para restaurar la funcionalidad del equipo.
Lamentablemente con este hecho, surgieron diversas situaciones, por ejemplo, sin tener un panorama totalmente claro respecto a la incidencia, comenzaron a aparecer los comentarios sensacionalistas, los influencers, los amantes de una u otra plataforma y diversas personas entregando información incorrecta, dando por hecho distintas suposiciones y soluciones mágicas, más tarde se compartió libremente por redes sociales, la “solución” entregada por CrowdStrike.
Ha pasado bastante agua bajo el puente desde que generó el incidente y se pueden dejar varias cosas en claro.
Lecciones y reflexiones:
- La disponibilidad de los sistemas se vio afectada, lo que constituye claramente a un incidente de ciberseguridad.
- Ninguna plataforma es 100% fiable.
- Existe una enorme dependencia de las plataformas tecnológicas que dominan el mercado.
- Las actualizaciones silenciosas de terceros pueden generar problemáticas.
- Depender de plataformas todo en uno basadas en IA para reducir la dotación de personal tiene sus riesgos.
- Hay poca rigurosidad y control al lanzar nuevas actualizaciones.
- Los usuarios y las organizaciones tienen un conocimiento limitado de las políticas de seguridad ante este u otros hechos informáticos.
En este último punto me detengo, si bien CrowdStrike ofreció una solución momentánea para reparar el evento, esta estaba enfocada en un proceso completamente manual, dejando en evidencia que:
- A pesar de los esfuerzos de algunas organizaciones por automatizar todos sus procesos, si estos sufren algún incidente, no podrían repararse sin el factor humano.
- Cientos de plataformas fueron afectadas en distintas organizaciones y en cada una de ellas debiera existir uno o varios especialistas que puedan aplicar la “solución” planteada.
- Se genera una problemática al utilizar una información que se difundió libremente por redes sociales y canales formales para “solucionar” el problema siguiendo unos simples pasos, pero ¿qué pasa entonces con las políticas de seguridad de una compañía que se vio afectada por este incidente? ¿Puede un usuario común intervenir un sistema eliminando un archivo? ¿Qué sucede si el equipo está cifrado por BitLocker u otra solución de cifrado?
Convengamos que normativas como el NIST o La ISO 27001 establecen directrices sobre el tratamiento de datos, bajo ese concepto y desde la perspectiva de las mejores prácticas de seguridad de la información, un usuario común no debería poder ni intentar eliminar archivos del sistema por su cuenta. Si experimenta problemas, debería reportarlos al departamento de TI o soporte técnico para su manejo adecuado.
Esta omisión es algo que un experto en ciberseguridad no debería cometer, considerando el modo en que se planteó la solución. ¿Qué pasaría si un ente malicioso manipulara la información y difundiera contenido erróneo, en el cual se incitara a eliminar otros archivos críticos de un sistema? Es más, mientras se desarrollaba el incidente, se registraron varios dominios relacionados con el mismo, simulando ser dominios de actualización. ¿Cuántos ciberdelincuentes se habrán aprovechado de esta situación y habrán tenido éxito? considerando que, según los últimos reportes de Microsoft, el alcance fue de aproximadamente 8.5 millones de dispositivos.
Por otra parte, algunas fuentes indican que el archivo causante del incidente realizó un bypass de un controlador del kernel, con el fin de saltarse el proceso de certificación de Microsoft, lo que resultaría ser una acción extremadamente grave realizada por una empresa de ciberseguridad.
Por último, es importante destacar que la intención de este artículo no es debatir temas técnicos, los cuales podemos encontrar en abundancia, sino más bien concienciar sobre el uso y la dependencia de software y las capacidades que tenemos para afrontar con resiliencia este y otros posibles incidentes. Una cultura organizacional que entienda la ciberseguridad como una herramienta fundamental para sus operaciones permitirá enfrentar de mejor manera estos hechos.
No debemos asumir que contar con una solución externa de ciberseguridad resolverá todos los problemas a los que pueda enfrentarse una organización, sin contrastar y revisar sus procesos de prueba y desarrollo seguro, o su filosofía como compañía. Además, no disponer de un sistema de recuperación de incidentes aumentará significativamente la vulnerabilidad de la empresa frente a amenazas cibernéticas y dificultará su capacidad de respuesta efectiva ante posibles ataques o brechas de seguridad. Esto podría resultar en tiempos de inactividad prolongados, pérdidas financieras considerables y daños a la reputación de la organización.
Contar con personal capacitado y concienciado marcará la diferencia entre una organización y otra cuando ocurran estos incidentes. Las empresas que cuentan con especialistas en ciberseguridad, socios de ciberseguridad o asesores externos estarán mejor preparadas para identificar, responder y mitigar los impactos de los incidentes, minimizando el tiempo de inactividad y las pérdidas financieras. Además, podrán implementar medidas preventivas y mejorar continuamente sus políticas y procedimientos de seguridad, fortaleciendo su postura de ciberseguridad y reduciendo el riesgo de futuros incidentes.
Probablemente con el transcurso de los días obtendremos más información y se irán despejando las dudas de este gigantesco incidente, las cuales iré compartiendo en anexos a este artículo.
A medida que surjan nuevos detalles, iré actualizando los anexos de este artículo para mantenerlos informados. Estaré atento a cualquier desarrollo adicional, lecciones aprendidas o mejores prácticas que puedan emerger de este evento, con el objetivo de contribuir a nuestra preparación colectiva frente a futuros desafíos en ciberseguridad.
Actualizaciones
Microsoft proporciona a la comunidad de administradores TI una herramienta para facilitar la recuperación de los sistemas: https://techcommunity.microsoft.com/t5/intune-customer-success/new-recoverytool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959
Cowdstrike publica un centro de orientación: https://www.crowdstrike.com/falcon-content-update-remediation-andguidance-hub/
La caída de Crowdstrike estaría beneficiando al proveedor SentinelOne: https://www.xtb.com/lat/analisis-y-noticias/analisis-de-mercado/crowdstrike-profundiza-las-caidas-cayendo-un-13-sentinelone-sube-un-7-debido-al-aumento-potencial-de-participacion-de-mercado
Fuentes:
Efe. (2024, July 20). Microsoft estima que el error de Crowdstrike afectó a 8,5 millones de dispositivos Windows. SWI swissinfo.ch. https://www.swissinfo.ch/spa/microsoft-estima-que-el-error-de-crowdstrike-afect%C3%B3-a-8%2C5-millones-de-dispositivos-windows/84453811
CrowdStrike. (2024, July 21). Falcon Content Update Remediation and Guidance Hub | CrowdStrike. crowdstrike.com. https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Buggy CrowdStrike EDR update crashes windows systems worldwide. (2024, July 19). Darkreading.com; Dark Reading. https://www.darkreading.com/cyberattacks-data-breaches/crowdstrike-outage