El mundo enfrenta lo que parece ser la mayor interrupción de TI de la historia, provocada por una actualización defectuosa del software de seguridad endpoint de Crowdstrike para máquinas con Windows. La interrupción, que ya lleva más de 16 horas, ha causado un caos significativo en varias organizaciones a nivel global.
Impacto en el Mercado y Medidas de Recuperación
El precio de las acciones de Crowdstrike y Microsoft ha caído considerablemente como resultado de este incidente. Ambas compañías están ofreciendo y actualizando constantemente recomendaciones sobre cómo las organizaciones pueden recuperar los puestos de trabajo y endpoints afectados.
La recuperación puede ser relativamente rápida para las organizaciones del sector de TI con personal especializado, pero el proceso será más largo y complicado para aquellas que han externalizado sus departamentos de TI o tienen una gran cantidad de sistemas basados en Windows dispersos, como quioscos de información, sistemas de visualización y puntos de venta (PoS).
Amenazas Adicionales y Advertencias
Guy Golan, CEO y Presidente Ejecutivo de Performanta, señaló: «Este incidente va a costar a las empresas miles de millones, llevará a acciones legales y afectará a los negocios y usuarios de una manera nunca vista antes». Además, destacó que los atacantes podrían aprovechar el caos actual para identificar a quienes utilizan Crowdstrike, lo que podría causar más complicaciones de ciberseguridad en el futuro.
Crowdstrike ha advertido a las organizaciones que se aseguren de comunicarse a través de canales oficiales. Dr. Johannes Ullrich, Decano de Investigación en el SANS Technology Institute, informó haber recibido reportes de correos electrónicos de phishing que pretenden provenir de «Crowdstrike Support» o «Crowdstrike Security». Ullrich instó a tener cuidado con cualquier «parche» recibido de esta manera, ya que los atacantes probablemente estén aprovechando la atención mediática sobre el incidente.
La Necesidad de Resiliencia Cibernética
Brian Honan, CEO de BH Consulting, subrayó la necesidad de que las organizaciones consideren los riesgos cibernéticos como riesgos empresariales y no solo de TI, y planifiquen en consecuencia. «Las organizaciones deben diseñar, implementar y probar regularmente planes de ciberresiliencia y continuidad de negocio robustos, no solo para sus propios sistemas, sino también para aquellos servicios y sistemas de su cadena de suministro», afirmó Honan.
Tony Anscombe, Evangelista Jefe de Ciberseguridad en ESET, mencionó la importancia de la diversidad en la infraestructura de TI a gran escala para evitar que un solo incidente técnico cause interrupciones globales.
Comentarios desde Stackscale
Desde el área de ciberseguridad de Stackscale, David Carrero, cofundador de esta empresa europea de infraestructura y cloud que forma parte de Grupo Aire, destacó la importancia de contar con entornos de misión crítica que cumplan con las necesidades antes de actualizaciones de infraestructura por fases. «Es crucial no depender de grandes hiperescalares y tener computación de uso exclusivo en soluciones de bare-metal o cloud privado», comentó Carrero. Stackscale ofrece soluciones de misión crítica en varios centros de datos con almacenamiento síncrono real, utilizando tecnologías como NetApp con Active Sync o Pure Storage, asegurando así la continuidad y seguridad de los datos.
Preguntas Sin Responder y Consejos Futuros
Se han planteado preguntas sobre los procesos de pruebas y aseguramiento de la calidad de Crowdstrike para evitar impactos en sus clientes. Tom Lysemose Hansen, CTO de Promon, sugirió que los problemas asociados con la implementación de actualizaciones defectuosas son la razón por la cual muchas empresas esperan antes de aplicar parches.
Jake Williams, ex hacker de la NSA y VP de I+D en Hunter Strategy, indicó que este incidente resalta los riesgos de los servicios basados en SaaS que toman ciclos de actualización fuera del control de los administradores de sistemas. «Debemos esperar cambios en este modelo operativo», opinó Williams.
Actualización
Crowdstrike ha publicado detalles técnicos relacionados con lo sucedido con la actualización defectuosa, aunque la causa raíz aún está siendo investigada. La compañía ha reiterado que «este problema no es el resultado de un ciberataque».
Este incidente subraya la importancia crítica de tener planes de contingencia y la capacidad de respuesta rápida ante fallos imprevistos en el software, además de la necesidad de una coordinación efectiva y comunicación clara entre todos los actores involucrados.
