5 claves sobre un incidente histórico
Un incidente que afecta a Windows y CrowdStrike ha provocado la caída de equipos informáticos de cientos de miles de empresas y organizaciones en todo el mundo
Aeropuertos, bancos, empresas de todos los sectores… Desde las 9 de la noche del 18 de julio hora española, cientos de miles de organizaciones en todo el mundo han sufrido una caída de sus sistemas informáticos. ¿Por qué? Al actualizar Falcon Sensor, un antivirus de Crowdstrike, una de las compañías de programas de ciberseguridad más importantes del planeta, los sistemas operativos Windows dejaron de funcionar correctamente, entrando en un bucle de reinicios infinitos. El incidente en el que están involucrados Windows y CrowdStrike sigue investigándose, pero se ha descartado la hipótesis de un ciberataque.
Las consecuencias de la caída de equipos informáticos empresariales no se han hecho esperar. Aeropuertos de todo el mundo, como Madrid, Berlin o Londres-Stansted, se han visto afectados por el incidente de Windows y CrowdStrike, hasta el punto de que han tenido que emplear sistemas manuales para gestionar actividades críticas como la facturación o el embarque de viajeros. Esto ha provocado retrasos generalizados en los vuelos.
De hecho, en Estados Unidos se han registrado problemas, también, en lo relativo a las comunicaciones aéreas. Por ello, algunas de las principales compañías aéreas de todo el mundo como American Airlines o Delta Airlines han dejado sus aviones en tierra, provocando una cancelación masiva de vuelos en la principal economía del mundo.
El incidente de Windows y CrowdStrike afecta a sectores críticos
Aunque el sector de la aviación ha acaparado los titulares ante las situaciones de caos que se han producido en los aeropuertos, el fallo masivo de equipos Windows tras la actualización de Falcon Sensor ha repercutido en todos los sectores económicos: el sanitario, la banca, las telecomunicaciones, los medios de comunicación, las compañías de logística, los supermercados…
Al fin y al cabo, vivimos en un mundo 100% digitalizado y Windows es el sistema operativo más empleado del planeta. De hecho, millones de empresas usan en su día a día no solo equipos informáticos con Windows como SO, sino también su entorno de trabajo Cloud, Microsoft365.
Si a ello le sumamos que CrowdStrike es una compañía líder en la comercialización de Software as a Service en materia de ciberseguridad, no debe sorprendernos que se hayan visto afectadas por el incidente de CrowdStrike y Windows cientos de miles de negocios y administraciones públicas.
Así, numerosas organizaciones de todos los tamaños han sufrido interrupciones en su funcionamiento habitual y problemas en la realización de actividades cotidianas, lo que ha supuesto un golpe a su continuidad de negocio.
Es más, como ya señalamos antes, algunas aerolíneas han tenido que paralizar sus vuelos. El sistema sanitario del Reino Unido ha sufrido disrupciones en la atención primaria. Y miles de tiendas abiertas al público no han podido abrir al no funcionar sus equipos informáticos o se han visto obligadas a aceptar, solo, pagos en efectivo.
¿En qué consiste el incidente de Windows y CrowdStrike?
A lo largo de esta madrugada, miles de equipos y sistemas informáticos Windows que están protegidos por el software CrowdStrike Falcon Sensor han actualizado dicho programa. El problema es que la actualización incluye un bug.
El propio CEO de CrowdStrike ha señalado que el fallo detectado en la actualización solo afecta a los hosts de Windows, por lo que los equipos cuyos sistemas operativos son Mac o Linux funcionan con perfecta normalidad.
Dicho bug provoca que en la pantalla de los ordenadores solo se vean pantallazos azules y estos equipos entren en reinicios infinitos. De tal manera que no pueden ser usados para trabajar ni realizar ninguna actividad.
De hecho, en los aeropuertos se han podido ver estos pantallazos azules en las pantallas que debían mostrar los vuelos y las puertas de embarque.
El incidente de Windows y CrowdStrike tiene una complejidad añadida ya que las empresas no pueden optar por deshabilitar Falcon Sensor. ¿Por qué? Si este EDR deja de funcionar, las organizaciones estarían expuestas a miles de ciberataques.
No debemos olvidar que en un contexto como el actual, en el que se producen ciberataques de manera constante, los EDR son esenciales a la hora proteger los equipos informáticos detectando incidentes y respondiendo ante ellos.
Las actualizaciones de software son vitales, pero pueden crear problemas
Al igual que los antivirus y EDR son imprescindibles para incrementar el nivel de seguridad de empresas y administraciones públicas, también es importante destacar la relevancia de las actualizaciones de software.
Hoy en día, los negocios y las instituciones emplean decenas de software en su día a día. Las empresas desarrolladoras de programas y aplicaciones diseñan periódicamente actualizaciones que incluyen mejoras en los software, pero también parches de seguridad para prevenir ataques y solventar vulnerabilidades antes de que sean explotadas por los delincuentes y actores hostiles.
Sin embargo, no es la primera vez que la actualización de un software presenta un bug o una vulnerabilidad que puede causar interrupciones en su funcionamiento o afectar a los equipos que emplean dicho programa.
Por eso, las compañías de ciberseguridad ponen el foco en que es fundamental garantizar que las actualizaciones funcionan y no incluyen brechas de seguridad antes de lanzarlas al mercado.
Asimismo, los expertos también destacan que las empresas no deben ser reacias a implementar actualizaciones a pesar del incidente de Windows y CrowdStrike, ya que mantener programas obsoletos es uno de los vectores de entrada de los delincuentes a la infraestructura tecnológica de los negocios.
Así se pueden recuperar los equipos afectados por el incidente de Windows y CrowdStrike
El incidente de Windows y CrowdStrike aún debe seguirse investigando. Sin embargo, a las pocas horas de que el fallo de los dispositivos Windows comenzase, se hizo pública la siguiente operativa para recuperar sus equipos afectados por el incidente de Windows y CrowdStrike:
- Arrancar Windows en modo seguro.
- Navegar al directorio C:\Windows\System32\drivers\CrowdStrike.
- Borrar los ficheros que sigan el patrón «C-00000291*.sys».
- Reiniciar con normalidad los equipos.
Asimismo, ambas compañías recordaron que es de capital importancia que todos los negocios con equipos afectados por el bug estén permanentemente al tanto de las comunicaciones de Windows y CrowdStrike para recuperar la normalidad y continuar con su operatividad.
El principal problema de la operativa anterior es que se debe realizar de manera individual en cada equipo afectado. Por lo que las empresas con decenas o cientos de ordenadores que dejaron de funcionar deben emplear demasiado tiempo y esfuerzo en realizar este método.
Para facilitar el trabajo, Microsoft publicó una herramienta de reparación USB que agiliza la recuperación de los equipos afectados y permite eliminar el driver defectuoso de la actualización de Falcon.
Una peligrosa derivada del ataque: campañas de phishing contra empresas afectadas
Aunque la mayoría de empresas ya han podido recuperar la normalidad y volver a disponer de sus dispositivos, el incidente de Windows y CrowdStrike va a seguir generando consecuencias en las próximas semanas.
Sin ir más lejos, ya se han detectado campañas que combinan phishing y malware para atacar a empresas que se han podido ver afectadas por el incidente.
A través de dichas campañas, los delincuentes suplantan la identidad de CrowdStrike y otras empresas para ofrecer a través de email ayuda o asistencia para resolver las incidencias provocadas por la actualización defectuosa. Las víctimas son redirigidas a webs falsas con apariencia de ser reales haciéndoles creer que van a descargarse una nueva actualización de CrowdStrike que solventará los fallos, sin embargo, lo que se descarga y ejecuta en los dispositivos es un malware como un wiper que procede a borrar todos los datos de los equipos generando un grave problema para las empresas.
España es uno de los países que ha sufrido ya en sus propias carnes esta clase de ataques. Puesto que un grupo de delincuentes ha enviado emails falsos a clientes del BBVA, una de las principales entidades financieras de nuestro país, redirigiéndolos a una supuesta web del banco en la que se les conmina a instalar una supuesta actualización para evitar problemas al conectarse a la red corporativa.