Índice de temas
Por qué ha caído Azure
El mundo online vuelve a estar en shock, un error informático a escala planetaria está afectando a diversos sectores esenciales, paralizando compras online, acceso a cajeros o incluso viajes. Al parecer no se trata de un ciberataque como sucediera con Wannacry que provocó graves caídas a muchas empresas en todo el mundo. El problema se ha originado debido a una actualización defectuosa de un programa de ciberseguridad de CrowdStrike, que ha provocado la caída de la nube Microsoft Azure, impidiendo la operación en red y la gestión de grandes volúmenes de datos.
Empresas afectadas en España
La caída se inició en Estados Unidos y ha ido propagándose a otros países, entre ellos, España. Según publica el diario larazon.es, Iberia y Vueling han reportado problemas, al igual que Repsol y otras gasolineras. Unicaja ha experimentado dificultades en su operativa bancaria, mientras que Movistar, Amazon y Google han informado de incidencias. Osakidetza, el Servicio Vasco de Salud, también ha reconocido problemas, y en Madrid, la EMT y algunos servicios municipales no están funcionando con normalidad. Como ha sucedido en España, miles de empresas alrededor del mundo se han visto afectadas, incluyendo infraestructuras de transporte, sistemas ferroviarios, bancos, medios de pago, servicios de emergencia e incluso administraciones públicas.
Microsoft trabaja para mitigar el impacto
Microsoft ha informado que está trabajando activamente para mitigar el impacto de las incidencias causadas por la actualización defectuosa de CrowdStrike. La compañía ha comunicado que sus servicios están experimentando mejoras continuas mientras abordan el problema. La firma de Redmond ha subrayado su compromiso de resolver la situación lo más rápido posible y mantener informados a sus clientes sobre los avances en la solución del fallo.
Comunicado de CrowdStrike
Desde CrowdStrike también trabajan a marchas forzadas y aseguran haber dado con la clave del problema.
COMUNICADO DE CROWDSTRIKE
“CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows. Los hosts de Mac y Linux no están afectados. Esto no es un incidente de seguridad ni un ciberataque. El problema ha sido identificado, aislado y se ha desplegado una solución. Recomendamos a los clientes consultar el portal de soporte para las últimas actualizaciones y continuaremos proporcionando información completa y continua en nuestro sitio web. Además, recomendamos a las organizaciones asegurarse de comunicarse con los representantes de CrowdStrike a través de los canales oficiales. Nuestro equipo está totalmente movilizado para garantizar la seguridad y estabilidad de los clientes de CrowdStrike.”
El INCIBE sale al rescate
El Instituto Nacional de Ciberseguridad (INCIBE), por su parte, informa que “Crowdstrike está ya aplicando medidas de mitigación y recuperación en los sistemas y clientes afectados, logrando ya levantar varios de estos sistemas. En paralelo están trabajando en una nueva actualización que sustituya la que está dando problemas para no impactar en nuevos servicios”.
MEDIDAS DE MITIGACIÓN Y CORRECCIÓN RECOMENDADAS POR INCIBE
1. La actualización de componentes de Crowdstrike que están provocando bucles de pantalla azul.
2. Se recomienda no ejecutar la actualización del agente Crowdstrike hasta que esté disponible una solución verificada.
3. El archivo de canal defectuoso se ha revertido y desde el fabricante se espera que esto mitigue una mayor expansión. Para los sistemas que ya fallan, algunos se reinician a un estado de funcionamiento normal y se considera que deberían elegir el nuevo archivo del componente que no da problemas frente al que da problemas. Algunos sistemas simplemente fallan en bucle y pueden necesitar una intervención manual.
4. Si los sistemas fallan y es por tanto necesaria una intervención manual se está recomendando seguir los siguientes pasos:
– Se debe de iniciar Windows en modo seguro.
– Se debe de acceder al directorio C:\Windows\System32\drivers\CrowdStrike en el Explorador.
– Hacer la búsqueda del archivo “C-00000291*.sys” y eliminarlo.
– Iniciar el sistema normalmente.
Interpretación del CISO de Acronis
Kevin Reed, CISO de Acronis, ofrece su interpretación: “La reciente interrupción de CrowdStrike parece tener su origen en un error de su agente EDR, que lamentablemente no fue probado a fondo. Esto provocó una interrupción generalizada, ya que muchas instalaciones se vieron afectadas en todo el mundo. La actualización defectuosa requiere una intervención manual para resolverse, concretamente reiniciar los sistemas en «modo seguro» y borrar el archivo del controlador defectuoso. Este proceso es engorroso y deja los sistemas vulnerables en el ínterin, invitando potencialmente a ataques oportunistas.
Este incidente pone de relieve la importancia de realizar pruebas rigurosas y actualizaciones escalonadas de los agentes EDR. Normalmente, las pruebas se realizan con cada lanzamiento y pueden llevar de días a semanas, dependiendo del tamaño de la actualización o de los cambios. La facilidad con la que se pueden eliminar sus archivos de controladores también plantea dudas sobre los mecanismos de autoprotección del software de CrowdStrike.
Cuando la seguridad se convierte en ‘fuego amigo’
Sancho Lerena, CEO de la tecnológica española Pandora FMS, ha explicado que este incidente demuestra que incluso los grandes especialistas en seguridad no están exentos de sufrir colapsos. “CrowdStrike es uno de los fabricantes de seguridad más potentes del mundo, pero este suceso refleja que a mayor complejidad tecnológica, mayor es la probabilidad de fallos”, afirmó.
El experto en seguridad y gestión IT subraya la paradoja de un software de seguridad que, en lugar de proteger, termina colapsando el sistema que debería resguardar. “La tecnología y especialmente el software cada vez son más complejos. No se trata solo de elegir al mejor proveedor, sino de entender que más tecnología implica más riesgo de fallo”, añade.
Complejidad de los sistemas actuales
Desde el sector TIC, se señala que el exceso de complejidad tecnológica y la necesidad de constante actualización pueden pasar factura. Lerena compara la situación actual con la exploración espacial: “Quizás por esto mismo no hemos vuelto a la luna desde los años 60. Antes, la tecnología se usaba con más cabeza y era menos compleja. Hoy, el exceso pasa factura y la calidad del software, aunque no sea menor, es mucho más compleja”.
Visión de CyberArk sobre el suceso
Según un comunicado remitido de CyberArk, empresa de seguridad, este suceso es uno de los problemas cibernéticos más importantes de 2024. La actualización defectuosa de CrowdStrike ha causado que los sistemas operativos afectados entren en el temido estado conocido como “pantalla azul de la muerte”. “La resolución de este problema implica una recuperación manual, terminal por terminal, lo que puede prolongar la interrupción durante días”, aseguran desde esta firma.
Los mismos expertos afirman que la causa de la avería aún está bajo análisis, con posibilidades que van desde un error humano en la actualización del software hasta un posible ciberataque profundo. Las próximas actualizaciones de CrowdStrike serán cruciales para entender y resolver completamente el incidente.
En conclusión, “el incidente pone de relieve la necesidad de seguir invirtiendo en formación y en sistemas de seguridad informática robustos, capaces de adelantarse a situaciones críticas y minimizar daños. Este evento también destaca la interdependencia y vulnerabilidad de los sistemas tecnológicos modernos, donde un fallo en una actualización puede desencadenar un caos global”, termina el comunicado.
