Juan Pablo Sierra, profesional en matemáticas aplicadas y ciencias de la computación en la Escuela de Ingeniería, Ciencia y Tecnología de la Universidad del Rosario. Vulnerability Hunter en SLB
El incidente y su impacto global
En Bogotá, el Aeropuerto El Dorado reportó problemas en sus sistemas obligando a cancelar los vuelos internacionales programados para el día de hoy. No estamos solos en esto: desde Melbourne hasta Ámsterdam, aeropuertos internacionales enfrentaron dificultades similares.
Lo curioso es que este no es un problema de Windows como tal. El culpable es un componente específico de la actualización de CrowdStrike, un software de seguridad utilizado por muchas empresas grandes. Es como si el guardaespaldas que contrataste para protegerte de repente se desmayara en la puerta, bloqueando la entrada.
Este incidente nos muestra lo complicados que son los sistemas de seguridad modernos. Una pequeña falla en una actualización puede causar un efecto mariposa, afectando a organizaciones en todo el planeta. También nos hace pensar: ¿Estamos confiando demasiado en un solo sistema de seguridad? ¿Qué pasa cuando ese sistema falla?
Análisis de las causas y alternativas
Es sumamente preocupante que una empresa de la envergadura de CrowdStrike haya permitido que una actualización con un fallo tan crítico llegara a sus clientes. Este incidente pone de manifiesto una clara negligencia en los procesos de prueba y control de calidad. Es imperativo que las empresas de seguridad informática realicen pruebas exhaustivas en todos los tipos de sistemas que soportan antes de lanzar actualizaciones al público.
Este incidente nos recuerda la importancia de contar con planes de contingencia sólidos y la necesidad de diversificar nuestras soluciones de seguridad. Esperamos que las lecciones aprendidas de esta crisis conduzcan a mejoras significativas en los procesos de desarrollo y despliegue de software de seguridad.
Cabe resaltar que este tipo de problemas rara vez se presentan en la comunidad de software libre y de código abierto (FOSS, por sus siglas en inglés). La naturaleza transparente y colaborativa del desarrollo de software libre permite una detección y corrección más rápida de errores, así como una mayor flexibilidad para adaptar el software a diferentes entornos.
Soluciones y precauciones
CrowdStrike ha proporcionado las siguientes soluciones temporales para mitigar el problema:
Soluciones para hosts individuales:
1. Reinicie el host: Esto le dará la oportunidad de descargar el archivo de canal revertido.
2. Si el host falla de nuevo:
• Arranque Windows en Modo a prueba de fallos o en el Entorno de recuperación de Windows.
• Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike.
• Busque el archivo "C-00000291*.sys" y elimínelo.
• Arranque el host normalmente.
Soluciones para entornos virtuales o en la nube:
Opción 1:
1. Desconecte el volumen del disco del sistema operativo del servidor virtual afectado.
2. Cree una instantánea o copia de seguridad del volumen del disco antes de continuar como precaución contra cambios no deseados.
3. Conecte/monte el volumen a un nuevo servidor virtual.
4. Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike.
5. Busque el archivo "C-00000291*.sys" y elimínelo.
6. Desconecte el volumen del nuevo servidor virtual.
7. Vuelva a conectar el volumen fijo al servidor virtual afectado.
Opción 2:
1. Restaure a una instantánea anterior a las 0409 UTC*.
*Fuente: Statement on Falcon Content Update for Windows Hosts - crowdstrike.com
Es importante destacar que estas soluciones son provisionales y que CrowdStrike está trabajando en una corrección definitiva. Se recomienda a los usuarios afectados que se mantengan en contacto con los representantes oficiales de CrowdStrike para obtener las últimas actualizaciones y recomendaciones.
Es crucial estar alerta ante posibles campañas de phishing que intenten aprovecharse de esta situación. Los ciberdelincuentes no pierden oportunidad para explotar momentos de crisis y confusión. Es altamente probable que en estos momentos ya estén circulando correos electrónicos fraudulentos o mensajes en redes sociales que se hagan pasar por comunicaciones oficiales de CrowdStrike o de servicios de TI.
Recuerden siempre verificar la autenticidad de los remitentes y no hacer clic en enlaces sospechosos ni descargar archivos adjuntos de fuentes no confiables. Ante cualquier duda, comuníquense directamente con los canales oficiales de soporte técnico de sus organizaciones.
