Tecnologías Informáticas Cray

Blog

Incidente Reciente con Microsoft y CrowdStrike

Incidente Reciente con Microsoft y CrowdStrike

Controlando los Desafíos en la Nube


Introducción

En los últimos días, concretamente el viernes 19 de Julio, hemos enfrentado un incidente significativo debido a un error humano en la modificación de una actualización de CrowdStrike, una empresa de seguridad que colabora con Microsoft. Este problema no fue resultado de un ciberataque ni de un fallo de seguridad, sino de una actualización defectuosa que afectó a sistemas Windows, incluyendo máquinas virtuales en Windows 365 y servicios de Microsoft 365, como Office 365, SharePoint y OneDrive entre otros.
Este suceso fue provocado por una actualización de contenido del sensor Falcon de CrowdStrike, que introdujo un archivo problemático en los sistemas Windows, llevando a fallos operativos significativos.


Impacto y Medidas Tomadas

El fallo, que comprometió la operatoria de aeropuertos, bancos, hospitales, oficinas públicas y empresas varias, provocó bucles de reinicio y bloqueos, interrumpiendo el acceso a servicios críticos.

Durante el fin de semana, nuestro equipo ha trabajado incansablemente para controlar y solucionar estos problemas en los servidores afectados, asegurando que nuestros clientes experimenten la menor interrupción posible. No todos los clientes se han visto afectados, ya que no todos utilizan los softwares comprometidos. Para aquellos afectados, hemos solucionado o estamos en vías de resolver los problemas y en cuanto nos sea posible, les enviaremos un informe detallado conforme obtengamos más información y completemos las soluciones. Este informe incluirá recomendaciones personalizadas para cada caso.


Problema de Pantalla Azul (BSOD) y Solución

Uno de los problemas más comunes fue la aparición de la pantalla azul de la muerte (BSOD), que causaba que los sistemas Windows se reiniciaran en bucle. La solución más popular y efectiva hasta ahora ha sido reiniciar los dispositivos en modo seguro o en el entorno de recuperación y cambiar manualmente el archivo defectuoso del controlador. Esta medida ha permitido que muchos sistemas afectados vuelvan a funcionar correctamente.



La solución (hasta el momento)

Si bien este incidente es difícil de valorar y, aún más, poder estimar en qué fecha no oiremos hablar más de él, CrowdStrike y Microsoft han proporcionado las siguientes instrucciones:

  1. Identificación y Eliminación del Archivo Problemático: Se requiere identificar el archivo específico introducido por la actualización del sensor Falcon y proceder a eliminarlo manualmente de cada servidor afectado. El archivo en cuestión se encuentra en los directorios del sistema relacionados con el agente de CrowdStrike Falcon.
  2. Actualización de Contenido del Sensor: CrowdStrike ha lanzado una actualización corregida del contenido del sensor Falcon. Es imperativo que los administradores de sistemas actualicen todos los agentes de Falcon en sus servidores con esta nueva versión para prevenir la reintroducción del archivo problemático.
  3. Verificación y Monitoreo: Después de la eliminación del archivo y la actualización del sensor, se recomienda realizar una verificación exhaustiva del sistema para asegurar que todos los componentes funcionan correctamente. Además, se debe monitorizar continuamente los servidores para detectar cualquier actividad anómala o residual del problema original.

Estas acciones deben ser realizadas servidor por servidor para asegurar una remediación completa y evitar futuras interrupciones. La coordinación entre los equipos de TI y el seguimiento de las guías proporcionadas por CrowdStrike y Microsoft es crucial para el éxito de este proceso de remediación.

Para obtener más detalles técnicos y guías específicas sobre cómo ejecutar estos pasos, puedes consultar los recursos oficiales de CrowdStrike y Microsoft​ (CrowdStrike)​​ (CrowdStrike)​.


Riesgos y Ventajas de la Nube

La nube ofrece múltiples beneficios, como accesibilidad y escalabilidad, pero también conlleva riesgos. Incidentes como este subrayan, en aquellas empresas que consideran trabajar en la nube, la importancia de tener un enfoque híbrido, combinando soluciones en la nube y locales. No todas las empresas se benefician de una solución 100% en la nube; algunas pueden necesitar mantener sistemas locales para mayor seguridad y control.

Ventajas de la Nube:

  • Accesibilidad: Permite acceder a los datos y aplicaciones desde cualquier lugar y en cualquier momento.
  • Escalabilidad: Facilita aumentar o disminuir los recursos según las necesidades, haciendo hincapié en aquellas temporales, sin inversiones iniciales grandes.

Riesgos de la Nube:

  • Dependencia de Internet: Sin una conexión confiable, el acceso a los datos puede verse interrumpido.
  • Seguridad: Los datos en la nube pueden ser vulnerables a ciberataques si no se protegen adecuadamente.

Evaluación de Necesidades

No todas las empresas tienen la necesidad de subir a la nube sus sistemas. Empresas más pequeñas, debido a su tamaño y estructura, pueden no ver una reducción significativa de costes al implementar soluciones en la nube. Además, un hacker puede encontrar más rentable atacar un único lugar que nuclea muchos blancos que atacar varios objetivos con distintos niveles de protección y desafíos de seguridad.

Nuestro compromiso

Nos comprometemos a monitorear y gestionar nuestros sistemas continuamente para prevenir y mitigar cualquier problema. Aconsejamos a las empresas evaluar cuidadosamente sus necesidades antes de optar por soluciones exclusivamente en la nube.

Para aquellos interesados en más detalles sobre cómo estamos manejando la situación y recomendaciones para mejorar su seguridad, por favor, continúen leyendo.


Recomendaciones para una Estrategia Híbrida

  • Evaluación de Necesidades: Analice las aplicaciones y datos que deben permanecer locales por razones de seguridad o cumplimiento normativo.
  • Implementación de Backups Locales y en la Nube: Asegure que sus datos estén respaldados tanto en la nube como localmente para mayor resiliencia.
  • Monitoreo y Actualización Continuos: Mantenga sus sistemas actualizados y monitoree constantemente las amenazas.


Conclusión

Este incidente deja de manifiesto que:

  • La nube no es una solución única para todas las empresas. Evaluar cuidadosamente sus necesidades y optar por una combinación de soluciones en la nube y locales puede ofrecer una mayor seguridad y flexibilidad.
  • La ciberseguridad no trata sólo de agregar antivirus y otros elementos, trata de informar y formar a los usuarios de las empresas sobre los riesgos de trabajar en Internet.