Spanish English Eesti French German Italian Portuguese
Marketing Social
InicioGeneralStartupsLo que se conoce sobre el fallo en la actualización de CrowdStrike

Lo que se conoce sobre el fallo en la actualización de CrowdStrike

Una interrupción masiva se ha producido durante la noche a nivel mundial debido a una actualización de software defectuosa lanzada por la empresa de seguridad líder CrowdStrike. Esta incidencia ha impactado a computadoras con sistema operativo Windows, generando repercusiones en diversas entidades como empresas, aeropuertos, estaciones de tren, entidades bancarias y el ámbito de la salud.

Según CrowdStrike, la interrupción no fue atribuible a un ciberataque, sino a un «defecto» presente en una actualización de software destinada a su principal producto de seguridad, Falcon Sensor. Este fallo ocasionó el bloqueo total de todas las computadoras con sistema operativo Windows que contaban con la instalación de Falcon, impidiendo su arranque completo.

En un comunicado el viernes, la empresa CrowdStrike informó que ha identificado y aislado el problema, y ha implementado una solución. Según George Kurtz, director ejecutivo de CrowdStrike, algunas empresas y organizaciones están comenzando a recuperarse, pero se espera que las interrupciones persistan hasta el fin de semana o la próxima semana debido a la complejidad de la solución. Kurtz mencionó a NBC News que la recuperación de algunos sistemas puede llevar tiempo, ya que no se recuperan automáticamente. Posteriormente, en un tweet, Kurtz se disculpó por las interrupciones.

Qué pasó

Durante la noche del jueves hasta el viernes, se reportaron incidencias de disfunciones informáticas en las que las computadoras con el sistema operativo Windows experimentaban la conocida «pantalla azul de la muerte». Esta pantalla de error azul brillante con un mensaje se presenta cuando Windows detecta un fallo crítico, se bloquea o no puede iniciar correctamente.

Los cortes fueron detectados por primera vez en Australia al inicio del viernes, seguido rápidamente por informes en el resto de Asia y Europa a medida que estas regiones iniciaban su jornada, así como en Estados Unidos.

Poco después, se verificó por parte de CrowdStrike que una actualización de software de Falcon presentaba fallos, lo cual resultaba en la inoperatividad de los equipos con Windows que contaban con dicha actualización. Falcon posibilita a CrowdStrike llevar a cabo análisis y verificaciones remotas de amenazas maliciosas y malware en los equipos donde está instalado.

Casi simultáneamente, Microsoft notificó sobre una interrupción significativa en una de las regiones de nube de Azure más empleadas, que abarca una extensa área en el centro de los Estados Unidos. Un representante de Microsoft comunicó que dicha interrupción no guardaba relación con el incidente de CrowdStrike.

El viernes alrededor del mediodía, en horario de la costa este, el director ejecutivo de Microsoft, Satya Nadella, publicó en la red social X que la empresa está informada sobre la falla en la actualización de CrowdStrike y está colaborando estrechamente con dicha empresa y con el sector en general para ofrecer a los clientes orientación técnica y soporte con el fin de restablecer de forma segura sus sistemas en línea.

Cuál es la función de Falcon Sensor de CrowdStrike

Fundada en 2011, CrowdStrike ha experimentado un rápido crecimiento y se ha consolidado como una empresa líder en el sector de la ciberseguridad. Actualmente, brinda software y servicios a una amplia base de clientes corporativos, que incluye aproximadamente la mitad de las empresas de Fortune 500, 43 estados de los Estados Unidos y ocho de las principales compañías tecnológicas, según la información proporcionada en su página web.

El software de ciberseguridad Falcon de la empresa es ampliamente empleado por diversas organizaciones para administrar la seguridad de una gran cantidad de computadoras a nivel global. Entre los usuarios de este software se encuentran grandes empresas, instituciones hospitalarias, entidades de transporte y organismos gubernamentales. Es importante destacar que la mayoría de los dispositivos de uso personal no utilizan Falcon y, por lo tanto, no se ven afectados por la mencionada interrupción.

Uno de los logros más destacados recientes de la empresa fue el descubrimiento de un grupo de piratas informáticos vinculados al gobierno ruso que intentaban acceder al Comité Nacional Demócrata antes de las elecciones presidenciales de Estados Unidos en 2016. CrowdStrike es reconocida por asignar nombres con temáticas de animales a los grupos de piratas informáticos que investiga, basándose en su nacionalidad. Por ejemplo, se mencionan: «Oso de lujo«, asociado a la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU); «Oso acogedor«, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR); «Panda gótico«, presuntamente relacionado con un grupo gubernamental chino; y «Gatito encantador«, supuestamente respaldado por el estado iraní. La empresa incluso ha desarrollado figuras de acción que representan a estos grupos, las cuales se comercializan como productos de colección.

CrowdStrike es una empresa de ciberseguridad de gran envergadura que ha alcanzado tal prominencia que se ha convertido en uno de los patrocinadores del equipo Mercedes de Fórmula 1. Este año, la empresa logró un hito al difundir un anuncio durante la Super Bowl, lo cual es inusual en el ámbito de la ciberseguridad.

A quiénes impactan las interrupciones

Cualquier individuo que interactúe regularmente con un sistema informático que utilice software de CrowdStrike se ve impactado, independientemente de ser el propietario del equipo o no.

Dentro de esta variedad de dispositivos se incluyen las cajas registradoras utilizadas en establecimientos comerciales, los paneles de información presentes en aeropuertos y estaciones de tren, los equipos informáticos en entornos educativos, así como las computadoras portátiles y de escritorio proporcionadas por los empleadores, los sistemas de facturación en terminales aéreas, las plataformas de emisión de boletos y programación de aerolíneas, y las redes de salud, entre otros. La presencia generalizada del software de CrowdStrike ha generado caos a nivel mundial debido a interrupciones que afectan de diversas maneras. La afectación de un solo ordenador con Windows en una flota de sistemas podría ser suficiente para perturbar toda la red.

En diferentes países se están observando y experimentando interrupciones en el servicio, incluso en lugares como puntos de viaje y consultorios médicos, así como en la red de Internet. El viernes por la mañana, la Administración Federal de Aviación de Estados Unidos implementó una suspensión de vuelos a nivel nacional, atribuyéndola a dichas interrupciones. Hasta el momento, la red ferroviaria nacional de Amtrak parece estar operando con normalidad.

Qué acciones ha emprendido el gobierno de los Estados Unidos

Debido a que la problemática surge en una entidad empresarial, las posibilidades de intervención por parte del gobierno federal de Estados Unidos son limitadas. Según un reporte elaborado por un comité de especialistas, el presidente Biden ha sido notificado acerca de la interrupción en el servicio de CrowdStrike y «su equipo se encuentra en comunicación con CrowdStrike y las entidades perjudicadas». Esta situación se explica en gran medida por el hecho de que el gobierno federal es cliente de CrowdStrike y se vio impactado por esta incidencia.

El incidente ha tenido repercusiones en diversas agencias federales, como el Departamento de Educación y la Administración del Seguro Social. Esta última informó el cierre de sus oficinas el viernes como consecuencia del apagón.

El informe del grupo señaló que el equipo de Biden se compromete a colaborar estrechamente con cada departamento para recibir informes actualizados de forma continua a lo largo del día, y está preparado para ofrecer apoyo según sea requerido.

En un mensaje en Twitter aparte, la agencia de Seguridad Nacional comunicó que se encontraba colaborando con la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de Estados Unidos, la empresa CrowdStrike y Microsoft, junto con sus colaboradores a nivel federal, estatal, local y de infraestructura crítica, con el fin de «analizar y resolver de manera integral las interrupciones del sistema».

Los investigadores del gobierno y del Congreso seguramente plantearán preguntas a CrowdStrike, y en cierta medida a Microsoft, cuya interrupción no relacionada también generó inconvenientes para sus clientes durante la noche.

En este momento, se priorizará la restauración de los sistemas que han sido impactados.

Cómo pueden los clientes reparar sus equipos Windows

El principal inconveniente radica en el mal funcionamiento del software Falcon Sensor de CrowdStrike, lo cual ha provocado bloqueos en las máquinas con sistema operativo Windows. Lamentablemente, no existe una solución sencilla para este problema.

Hasta el momento, CrowdStrike ha emitido un parche y proporcionado una solución alternativa para restablecer el funcionamiento de los sistemas afectados mientras se desarrolla una solución definitiva. Se sugiere a los usuarios reiniciar el equipo afectado para permitir la descarga del archivo corregido desde el canal revertido.

En un comunicado dirigido a los usuarios, la empresa CrowdStrike proporcionó instrucciones detalladas sobre los procedimientos que los clientes pueden llevar a cabo para abordar la situación. Uno de los pasos mencionados implica la necesidad de contar con acceso físico al sistema afectado con el fin de proceder a la eliminación del archivo problemático. Según CrowdStrike, se recomienda a los usuarios arrancar el equipo en modo seguro o acceder al entorno de recuperación de Windows. Una vez en este punto, se les instruye a navegar hasta el directorio de CrowdStrike y proceder con la eliminación del archivo defectuoso identificado como “C-00000291*.sys”.

La reparación manual de archivos puede representar un desafío significativo para empresas u organizaciones con numerosos equipos o servidores con sistema operativo Windows, ubicados en centros de datos dispersos geográficamente, incluso en distintos países.

CISA alerta sobre la explotación por parte de actores maliciosos de la interrupción

En una declaración emitida el viernes, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) atribuyó las interrupciones a una actualización defectuosa realizada por la empresa CrowdStrike, descartando la posibilidad de un ciberataque. CISA informó que se encuentra colaborando estrechamente con CrowdStrike, así como con diversos socios a nivel federal, estatal, local, tribal, territorial e internacional, incluyendo socios de infraestructuras críticas, con el fin de evaluar los impactos y brindar apoyo en las labores de corrección de la situación.

No obstante, la CISA ha indicado que ha detectado a individuos que aprovechan este incidente para llevar a cabo actividades maliciosas como el phishing. Aunque la agencia de ciberseguridad no ha ofrecido información adicional al respecto, ha instado a las organizaciones a permanecer vigilantes.

Según la experta en ingeniería social Rachel Tobac, los individuos con intenciones maliciosas pueden sacar provecho de situaciones de confusión y desorden para perpetrar ciberataques de manera independiente. Tobac, fundadora de la empresa de ciberseguridad SocialProof Security, recomienda en una serie de publicaciones sobre X la verificación de la autenticidad de las identidades antes de llevar a cabo acciones delicadas.

Tobac advirtió que los criminales buscarán aprovechar la interrupción del servicio informático para suplantar identidades de personal de tecnologías de la información con el fin de obtener acceso no autorizado, contraseñas, códigos, entre otros.

Cuál es el estado actual en relación a la desinformación

Resulta comprensible por qué algunos individuos podrían haber interpretado esta interrupción como un incidente de ciberseguridad. Se presentaron interrupciones inesperadas, pantallas azules en los aeropuertos, sistemas informáticos de oficina saturados de mensajes de error, lo cual generó caos y confusión. Como era de prever, se ha difundido una considerable cantidad de información errónea, inclusive con la incorrecta clasificación de temas como «ciberataque» en plataformas de redes sociales.

Es importante hacer referencia a fuentes oficiales de noticias e información al verificar la veracidad de la información, ya que lo que parece ser muy beneficioso podría resultar ser engañoso.

RELACIONADOS

SUSCRÍBETE A TRPLANE.COM

Publica en TRPlane.com

Si tienes alguna historia interesante sobre transformación, IT, digital, etc con cabida en TRPlane.com por favor envíanosla y la compartiremos con toda la Comunidad

MÁS PUBLICACIONES

Activar Notificaciones OK No gracias