Seguridad

Lecciones del apagón de CrowdStrike

Como es conocido, hace unas semanas hubo un apagón informático que afectó a una gran parte del mundo (podéis ver un artículo publicado por Flu Project profundizando en ello en el siguiente enlace). Este problema, que afectó a casi 9 millones de dispositivos Windows (1% de las máquinas en todo el mundo), fue debido a una actualización defectuosa de CrowdStrike Falcon, un sensor del famoso EDR encargado de bloquear ataques contra sistemas y que captura y registra toda la actividad a tiempo real, con el fin de detectar amenazas rápidamente.

Primera lección: un problema evitable

Pero, la pregunta es ¿todo esto se podría haber evitado? Para ello debemos entender la raíz del problema.

Según lo que han contado desde la propia compañía, el problema fue debido a la presencia de un fichero corrupto en la actualización de CrowdStrike Falcon, lo que provocó que todo sistema que la obtuvo colapsara al no ser capaces de leerlo. Ya que el problema afectaba a nivel kernel, los sistemas se quedaban en bucle al arrancar provocando la tan conocida “pantalla azul” (BSOD).

¿Cómo es posible que algo así suceda en pleno 2024? ¿No se hacen chequeos antes de lanzar una actualización de este tipo? Normalmente sí, pero no siempre tiene por qué ser así. En este caso, CrowdStrike Falcon tenía la certificación de Microsoft, pero en las actualizaciones no todas las piezas que lo conforman necesitan ser certificadas.

Y he aquí el problema, estos componentes aprovechan la certificación de Falcon para colarse en el núcleo del sistema operativo y cualquier error en él puede ser fatal. Por lo tanto, es muy importante controlar bien los proveedores que pueden acceder a esta parte del S.O. 

Todo esto nos hace cuestionarnos que si la actualización tenía un riesgo tan alto ¿por qué CrowdStrike no probó la actualización antes de lanzarla mundialmente? Pues según explican algunos expertos, “CrowdStrike se tuvo que arriesgar porque descubrieron varias vulnerabilidades críticas en el sistema, y esas actualizaciones tenían como fin eliminarlas antes de que cualquier atacante pudiera aprovecharlas”.

Tras todo esto y volviendo a la pregunta inicial, si todo este problema se podría haber evitado, pues muy probablemente, sí.

Segunda lección: honestidad y humildad

Tras el incidente, era importante buscar alguien que asumiera la responsabilidad de lo sucedido, y debemos hablar desde el punto de vista de Microsoft y de CrowdStrike.

Por la parte de Microsoft, es recurrente la pregunta, ¿por qué permite que software de terceros llegue tan lejos, siendo esto tan arriesgado para sus sistemas?

En las declaraciones al periódico The Wall Street Journal, un portavoz del gigante tecnológico acusó a la Comisión Europea de obligarle a hacerlo, a raíz de un acuerdo que ambas partes firmaron en 2009. Este acuerdo tenía como propósito promover la libre competencia. Microsoft había adquirido varios antivirus para prestar servicios de ciberseguridad con acceso directo al kernel de Windows, lo cual le daba una clara ventaja sobre los demás competidores. Por eso se acordó que la compañía debía permitir a los demás poder conocer el sistema operativo tanto como las soluciones propias de Microsoft.

Un representante de la comisión respondió que Microsoft debe adaptar su infraestructura de seguridad conforme al acuerdo firmado, ya que el problema no se limitó a los territorios de la UE. También afirmó que Microsoft nunca había mostrado ni planteado una preocupación sobre este aspecto de seguridad ni antes ni después del incidente.

Tras las declaraciones de Microsoft, muchos expertos han dado su opinión y aseguran que, a pesar del acuerdo, no hay ninguna buena razón para que la compañía tecnológica no pudiera cumplirlo con los “controles adecuados”. Dejando claro que el acuerdo no obliga a que todos los antivirus tengan que acceder al kernel, sino que simplemente les da la posibilidad de hacerlo. De hecho, no todos lo hacen, ya que buscan otras fórmulas e innovación propia para proteger el sistema.

Por la parte de CrowdStrike, tras el incidente ofreció a sus socios una tarjeta de regalo de Uber Eats por un valor aproximado de 9 euros como disculpa. Por si fuera poco, tras el aluvión de personas que lo quisieron canjear, la aplicación lo reconoció como fraude y canceló los cupones.

Como es normal, las críticas han sido abundantes. Una compensación de 9 euros no es ni por asomo proporcional al daño causado, llegando a ser insultante para entidades como ADIF, una de las más golpeadas por la situación.

Es imprescindible ser honesto y tener mucha humildad a la hora de afrontar públicamente un suceso de este calibre, y los departamentos de relaciones públicas deben de estar a la altura.

Tercera lección: no se debe depender de una única solución

Cada vez más se utilizan grandes softwares que centralizan los recursos, lo cual genera una gran dependencia de la tecnología. Esto es eficiente, pero también muy peligroso, ya que, si un componente crítico falla, puede provocar un efecto dominó. Y en esto pone mucho hincapié la regulación europea DORA (Digital Operational Resilience Act), que dedica un apartado a proponer soluciones para lo que denominan “riesgo de concentración”, invitando a que las empresas no dependan de únicamente 3 o 4 proveedores y distribuyan sus necesidades de servicios y productos entre más organizaciones, evitando así que se generen dependencias que les hagan perder el control.

El incidente sucedido solo pone en manifiesto este hecho y que el empeño actual de conectar todo (las infraestructuras críticas, las empresas, las administraciones públicas, todo tipo de gadgets, los electrodomésticos, etc.) genera más riesgo de ciberataques, ya que dependemos de Internet para casi todo. De hecho, no solo las empresas españolas fueron gravemente afectadas, sino que también afectó a unas 125 empresas de las Fortune 500. ¿Qué habría pasado si hubiera afectado a MacOS y Linux? ¿Y si hubiera afectado al 100% de las máquinas Windows del mundo? La situación habría pasado de ser caótica a ser apocalíptica.

Cuarta lección: ciberseguridad como prioridad

Hoy en día es más importante que nunca tener entre las máximas prioridades a la ciberseguridad, ya sea una empresa, una administración pública, una institución o un usuario. El número de ciberataques ha aumentado hasta límites nunca vistos y hay que estar a la altura de las circunstancias.

El apagón informático que afectó a Windows fue histórico y afecto a muchos sectores mundiales y, aunque no es el primer gran apagón sucedido, muchos expertos se siguen sorprendiendo de que las empresas de sectores críticos como la banca, las aerolíneas y/o los medios de comunicación, no tuvieran o no pudiesen abordar una mejor respuesta con sus planes de contingencia y recuperación ante incidentes. Además, a raíz del problema, algunos actores maliciosos se están aprovechando para realizar campañas de phishing con un fichero malicioso que supuestamente soluciona el problema. El malo nunca desaprovecha una buena oportunidad.

Por todo esto y por sucesos similares anteriores, es que la ciberseguridad debe de ser una prioridad en todo ámbito si de verdad no se quieren lamentar pérdidas, ya sean monetarias o de datos sensibles de las empresas o usuarios.
Javier Muñoz, Analista de Ciberseguridad en Zerolynx

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.