Reacciones de expertos en ciberseguridad tras el fallo mundial de Microsoft y CrowdStrike
El fallo de sistemas informáticos a nivel mundial con mayor repercusión en lo que va de año en principio no fue un acto intencionado de ciberdelincuentes.
Una actualización defectuosa del software propiedad de la empresa de ciberseguridad CrowdStrike causó un fallo masivo en equipos con sistema operativo Windows. No se trataba de un ciberataque, si bien alguno no lo descarta, y hay quien lo ha llegado a calificar como el mayor apagón informático de la historia.
La actualización defectuosa provocó que diversas computadoras quedaran atrapadas en un ciclo de arranque, también conocido en el sector como la “Pantalla Azul de la Muerte” (BSOD), afectando a servicios aeroportuarios, aerolíneas, redes ferroviarias, medios de comunicación y otras organizaciones en todo el mundo.
El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, informó sobre el incidente de sistemas de información que afectó a diferentes organizaciones a nivel mundial. Los primeros logs en los reportes se empiezaron a detectar en la red de vigilancia a las 10:20 PM del jueves 18/07/2024.
El problema fue generado por una actualización de un componente de ciberseguridad (sensor de antivirus) de la empresa CrowdStrike, que generó problemas en su interacción con plataformas de Microsoft. Dicha actualización provocó problemas técnicos en los clientes de Microsoft, donde pronto se procedió a realizar la actualización de dicho componente. El problema se reflejó en la generación de un pantallazo azul de bloqueo del sistema que impide su correcto funcionamiento.
CrowdStrike empezó desde las primeras horas a aplicar medidas de mitigación y recuperación en los sistemas y clientes afectados, logrando ya levantar varios de estos sistemas. En paralelo se empezó a trabajar en una nueva actualización que sustituya la que está dando problemas para no impactar en nuevos servicios.
Desde varias compañías de ciberseguridad se han lanzado mensajes, comentarios y recomendaciones acerca de lo ocurrido. Es el Caso de Kaspersky, desde donde se enviado el siguiente comunicado:
"El mundo entero ha seguido la noticia de un fallo informático global que ha afectado a miles de entidades empresariales de todo el mundo, incluidos aeropuertos y bancos. Ya se sabe que ha sido causado por un problema de actualización de software lanzada por un proveedor de ciberseguridad.
Según los medios de comunicación, el número de empresas afectadas puede superar el centenar y son miles los dispositivos que estas compañías utilizan. En la fase actual, es difícil estimar cuánto tiempo se tardará en solucionar el problema. La dificultad radica en que cuando se produce un problema de esta índole, cada dispositivo (ordenador, portátil o servidor) debe reiniciarse en modo seguro manualmente, ya que no puede hacerse utilizando herramientas de gestión. Se trata, por tanto, de un problema muy grave que ha afectado a numerosos procesos, incluidos los de infraestructuras críticas.
Para evitar estas situaciones, los proveedores de seguridad de la información deben ser muy responsables con la calidad de las actualizaciones que publican. Todas las actualizaciones deben ir acompañadas de un importante número de pruebas y comprobaciones internas antes de distribuirlas a los clientes.
También es importante respetar el principio de liberación granular de las actualizaciones. Esto significa que no se distribuyen globalmente a todos los clientes al mismo tiempo, sino de forma gradual, para que en caso de cualquier problema imprevisto, sea posible localizarlo y solucionarlo rápidamente".
Por parte de la compañía CyberArk, su CIO Omer Grossman ha comentado lo siguiente:
“Este suceso será, sin duda, uno de los problemas cibernéticos más importantes de 2024. El daño a los procesos empresariales a nivel mundial está siendo dramático. El fallo se debe a una actualización de software de solución EDR de CrowdStrike, una herramienta que se ejecuta con altos privilegios y que protege los endpoints. Un mal funcionamiento de la misma puede, como estamos viendo en el incidente actual, provocar la caída del sistema operativo.
Hay dos cuestiones principales. La primera es ver cómo los clientes vuelven a estar conectados y recuperan la continuidad de sus procesos empresariales. Resulta que, como los terminales se han bloqueado (error conocido como “la pantalla azul de la muerte”), no pueden actualizarse a distancia, por lo que el problema debe resolverse manualmente, terminal por terminal. Se prevé que será un proceso que llevará días.
La segunda gira en torno a la causa de la avería. El abanico de posibilidades va desde el error humano -por ejemplo, un desarrollador que descargó una actualización sin el suficiente control de calidad-, hasta el complejo e intrigante escenario de un ciberataque profundo, preparado con antelación y en el que un atacante activó un “comando del día del juicio final” o “kill switch”. El análisis y las actualizaciones de CrowdStrike en los próximos días serán claves para la resolución del problema".
Finalmente, desde Acronis han emitido un comunicado que mostramos en este artículo de opinión.
