El 19 de julio vivimos una interrupción global que afectó a aeropuertos, bancos y muchas empresas. Un fallo en el software «CrowdStrike Falcon Sensor» originó el caos mundial e hizo que muchos se preguntasen qué es Crowdstrike y por qué su plataforma es tan crucial. En este post te contamos las causas del incidente, el impacto que tuvo, y que podemos hacer para intentar minimizar la afectación de este tipo de incidentes dentro de nuestras empresas.
Incidente Crowdstrike y Microsoft
El viernes 19 de julio de 2024, alrededor de las 07:00 AM (UTC), cientos de empresas estadounidenses notificaban fallos en los sistemas operativos de Microsoft tras actualizar sus sistemas y proceder a reiniciarlos para completar la actualización.
Rápidamente, los investigadores, el personal de IT de las empresas y otros expertos llegaron a la conclusión de que el fallo solo ocurría en equipos que tenían instalado el software de CrowdStrike.
Estos fallos fueron replicándose en cuestión de minutos en el resto de ordenadores de todo el mundo, llegando a paralizar miles de empresas y afectando a más de 8 millones de ordenadores, produciendo pérdidas millonarias.
¿Que es CrowdStrike?
CrowdStrike es una compañía estadounidense de ciberseguridad especializada en la protección de endpoints, como portátiles o servidores (que son los puntos más vulnerables en una red corporativa), y proporciona soluciones de software para protección contra ciberataques.
El producto que pone al servicio de las organizaciones es Crowdstrike Falcon, plataforma utilizada por miles de empresas de alto nivel, y con clientes como Microsoft, que ofrece una protección antivirus de última generación que cuenta con inteligencia artificial, análisis en tiempo real y técnicas avanzadas de detección y respuesta (EDR) para anticiparse a los ataques y detenerlos antes de que ocurran.
El fallo del CrowdStrike Falcon Sensor
El reciente fallo en Microsoft que desembocó en una interrupción global, tuvo como causa un fallo en la actualización de software “Falcon Sensor”, el cual provocó un error irrecuperable en los dispositivos Windows que provocaba un BSOD o “Pantallazo azul de la muerte”, dejando a millones de ordenadores de todo el mundo completamente paralizados.
Entre las 04:09 y las 05:27 horas (UTC) del viernes, el “Sensor Falcon, el componente que provocó el error, descargó un fichero de configuración de apenas 40KB que contenía un error y provocaba él cuelgue del sistema operativo.
A las pocas horas de producirse el incidente ya se había publicado un “workaround”, una solución alternativa que permitía arrancar los sistemas realizando una serie de pasos. El inconveniente de esta solución es que era completamente manual y requería de ciertos conocimientos, ya que había que acceder en modo seguro, montar el disco y eliminar un fichero, algo relativamente sencillo, salvo que el disco esté cifrado o haya que hacerlo en cientos de equipos.
¿Qué sectores se vieron afectados con el fallo del Falcon Sensor?
Este fallo afecto a empresas de todos los sectores, 8,5 millones de dispositivos Windows de todo el mundo, aunque los sectores más relevantes fueron:
- Empresas públicas: tales como ayuntamientos, hospitales y servicios de emergencias no pudieron acceder a sus sistemas, no pudiendo tramitar expedientes ni consultar ningún tipo de información.
- Transporte: Se retrasaron más de 3000 vuelos y se interrumpieron las conexiones de transporte público. Empresas como AENA, Iberia, Brithish Airways, Ryanair, Virgin Australia tuvieron que cancelar vuelos y sus páginas webs no permitían realizar consultas.
- Salud: Los sistemas de muchos hospitales y centros de salud se vieron afectados, obligando a cancelar las operaciones no urgentes ni consultar expedientes.
- Finanzas: Las operaciones bancarias y de pago se vieron ralentizadas o interrumpidas. Alguna de las empresas afectadas fueron Visa, Caixabank, Unicaja, Santander y BBVA entre otras.
- Empresas privadas: Innumerables empresas de todo tipo experimentaron fallos en sus sistemas informáticos, entre ellas, varias de las empresas del Ibex35 y la misma Microsoft, que vio afectados varios de sus servicios de Azure.
¿Qué se hizo para solucionar el problema del pantallazo azul de CrowdStrike?
Durante los días que duró el incidente, Microsoft colaboró estrechamente con CrowdStike, según afirman: “24 horas al día desde el incidente”, para intentar mitigar y ofrecer soporte técnico para realizar tareas de remediación, es más, publicó una herramienta de recuperación que permitía a los administradores de TI reparar los ordenadores afectados.
Microsoft recalca que “aunque las actualizaciones de software pueden causar problemas de vez en cuando, los incidentes importantes como el evento de CrowdStrike son poco frecuentes”.
De igual manera, CrowdStrike emitió un comunicado oficial indicando los procedimientos paso a paso para ejecutar las remediaciones e insistiendo en que este fallo no está relacionado en absoluto con un ciberataque.
¿Qué consecuencias ha tenido la caída del servicio de CrowdStrike?
Durante los días que duró el incidente se calcula que la caída del servicio ha supuesto pérdidas por valor de 1 billón de dólares, y aunque según las estadísticas, la afectación fue de menos del 1% de equipos a nivel mundial, la repercusión fue muy grande, ya que se trataban de equipos de mucha importancia debido a que el software de CrowdStrike por norma general está instalado en grandes empresas y entidades públicas.
La pregunta es: ¿Qué habría sucedido si el porcentaje de equipos Windows afectados hubiera sido del 100% en lugar del 1%? ¿Y si hubiera afectado también a Mac y Linux?
¿Qué puedo hacer para minimizar el impacto de este tipo de incidentes en mi empresa?
Este tipo de sucesos son completamente imprevisibles, no sabemos cuándo sucederán ni el impacto real que pueden llegar a tener.
El incidente de CrowdStrike ha hecho que el CIO se replantee su estrategia en la nube, y la mejor estrategia es contar con un plan de contingencia y tener contratado un servicio gestionado que monitorice en tiempo real el estado de salud de toda la infraestructura TI y las copias de seguridad, último recurso en caso de no existir solución alternativa.
Este incidente sirve como recordatorio de la fragilidad que pueden tener a veces los sistemas informáticos y lo importante que es tener un servicio de soporte profesional que pueda responder con agilidad para que el impacto en la empresa sea el menor posible.
Preguntas frecuentes relacionadas con el fallo del Falcon Sensor y CrowdStrike
A continuación, resolveremos algunas de las dudas frecuentes sobre el fallo del Falcon Sensor y CrowdStrike.
¿Qué es CrowdStrike Falcón Sensor?
CrowdStrike Falcon Sensor es un componente fundamental de la plataforma de seguridad de endpoints de CrowdStrike que se instala en tus dispositivos (ordenadores, servidores, etc.) para proporcionar una protección en tiempo real contra las amenazas cibernéticas más avanzadas. Este agente ligero, pero potente, ofrece una prevención de amenazas óptima, mediante el uso de inteligencia artificial (AI) y aprendizaje automático (ML) con detección y respuesta avanzada e información sobre amenazas.
¿Cómo funciona CrowdStrike?
CrowdStrike detecta y previene amenazas. Su agente liviano, Falcon Sensor, recopila datos sobre la actividad del sistema, que se envían a la nube de CrowdStrike, donde se analizan en tiempo real para identificar cualquier actividad sospechosa.
¿Qué es BSOD?
BSOD son las siglas en inglés de Blue Screen of Death, que traducido al español significa Pantalla Azul de la Muerte. Es un error crítico que aparece en los sistemas operativos Windows cuando se produce un fallo grave del sistema. Este error suele ir acompañado de un código de parada que indica la causa específica del problema.
¿Qué es una actualización de software y por qué es importante?
Una actualización de software es un conjunto de cambios y mejoras que se aplican a un programa o sistema operativo existente. Estas actualizaciones pueden incluir:
- nuevas funcionalidades
- mejoras en el rendimiento
- correcciones de errores y vulnerabilidades de seguridad.
Las actualizaciones de software son esenciales para mantener los sistemas informáticos seguros, eficientes y compatibles con las últimas tecnologías.