Falla masiva de Microsoft provoca caos a nivel mundial

Este incidente creó un caos en todo el mundo: aeropuertos, bancos, emisoras de radio y TV, proveedores de atención médica y otros negocios de todos los tamaños y verticales que tuvieron que interrumpir sus operaciones por la caída del servicio de sus aplicaciones de Microsoft.

Falla de Microsoft en aeropuerto. Foto: cortesía de Lumu Technologies. Portal ERP México.

Este viernes 19 de julio, el mundo se enfrentó a una extraña falla en los sistemas y aplicaciones de Microsoft que impidió que se realizarán una serie de actividades cotidianas y empresariales. Este incidente creó un caos en todo el mundo: aeropuertos, bancos, emisoras de radio y TV, proveedores de atención médica y otros negocios de todos los tamaños y verticales tuvieron que interrumpir sus operaciones por la caída del servicio de sus aplicaciones de Microsoft.

Horas más tarde, el CEO de la compañía CrowdStrike, George Kurtz, dio a conocer que la falla fue ocasionada por una actualización defectuosa de Falcon, misma que causó esta interrupción generalizada en las operaciones de una gran variedad de empresas que usan aplicaciones de Microsoft.

En un comunicado desplegado en X, Kurtz dijo que su compañía estaba: "trabajando activamente con los clientes afectados por un defecto encontrado en una sola actualización de contenido para los hosts de Windows (...) Esto no es un incidente de ciberseguridad o un ataque cibernético. El problema se ha identificado, aislado y se ha implementado una solución", al menos así lo aseveró.

Ya varios expertos en ciberseguridad han compartido sus perspectivas de lo que pudo haber ocurrido, entre ellos Amit Yoran, Presidente y Director General de Tenable: “Esta caída sin precedentes evidencia cuán dependientes son nuestros sistemas críticos de que el software opere todo el tiempo como debe. Este es un perfecto caso de estudio sobre por qué nadie debe depender de un solo proveedor, ya sea CrowdStrike, Microsoft o cualquier otro. Aunque hasta el momento no tenemos motivos para creer que esto fue el resultado de un ciberataque, es un severo recordatorio del amplio impacto que la tecnología puede tener en nuestra vida diaria. Esto también hará que los directores de TI y los profesionales de seguridad dejen de aplicar actualizaciones automáticas de proveedores a ciegas. Los días de la auto-actualización se han sometido a un escrutinio masivo.” 

Por su parte, Óscar Sánchez, Senior Solution Engineer de F5 México, expresa que es importante que ante estas situaciones, las empresas incorporen en sus estrategias un Plan de Respuesta a Incidentes, para enfrentar estos acontecimientos que causaron pérdidas económicas a nivel mundial. “Hoy en día la mayoría de los planes de contingencia se centran en ciberataques más que en accidentes. Debido a que los incidentes de ciberseguridad ocurren con frecuencia y causan muchos más daños, y recuperarse de ellos suele llevar semanas o meses, debido a su amplitud, complejidad y naturaleza dinámica, sin embargo, experiencias como esta enseñan que cualquier parte de la cadena de seguridad de una empresa es crítica".

¿Qué pudo haber sucedido?

Si bien hasta ahora no hay informes de actividad de un actor malicioso, desde la perspectiva de Lumu Technologies, este incidente está teniendo el mismo impacto que algunos de los ataques cibernéticos más devastadores que hemos visto en el pasado. Este hecho nos recuerda que un incidente en la continuidad puede ocurrir sin la participación de un actor de ciberamenazas, lo que afecta los principios fundamentales de seguridad: disponibilidad, integridad y confidencialidad. Cuando alguno de estos principios se ve comprometido, la seguridad general del sistema se ve afectada. 

Te recomendamos: Estrategia proactiva de resiliencia: clave para combatir el ransomware

Dado el número significativo de máquinas afectadas, es probable que un proceso de prueba exhaustivo por parte de CrowdStrike haya identificado el problema durante la fase de prueba. Si se hubieran realizado pruebas, el problema podría haberse detectado y abordado de manera oportuna. Estos son los posibles escenarios, según Lumu Technologies:

• CrowdStrike no probó la actualización adecuadamente, lo cual es muy poco probable debido a las múltiples certificaciones de seguridad de Crowdstrike, incluida FedRamp.
• La actualización pasó la etapa de prueba con éxito, pero es probable que se modificó después de que se completaron los Q/A. Es probable que esto haya sucedido de dos maneras: a través de un empleado ya sea por error humano o intencionalmente, o a través de un cibercriminal. La investigación que se está llevando a cabo en este momento ayudará a arrojar luz sobre cómo sucedió exactamente.

Si bien es demasiado pronto para decirlo, para Lumu una cosa está clara: los adversarios reconocen la interrupción que puede ocurrir al apuntar hacia las actualizaciones del sistema o puntos únicos de falla en la infraestructura crítica. Esto motiva a los adversarios a llevar a cabo ataques similares en el futuro y a aprovechar las circunstancias actuales. Ya hay docenas de sitios de phishing que se hacen pasar por el servicio de asistencia y soporte de CrowdStrike.

"La interrupción de CrowdStrike es un recordatorio de los peligros a los que se enfrentan las organizaciones cuando se trata de la plataformización, que es una tendencia que estamos viendo en toda la industria. La consolidación de las herramientas puede llevar a una dependencia excesiva de un solo proveedor, lo que puede ser devastador en situaciones similares", comentó Mario Lobo, Cybersecurity Specialist de Lumu Technologies en un blog de la compañía.