El incidente mundial causado por la falla en una actualización de CrowdStrike abrió la puerta para que los grupos cibercriminales lancen campañas de phishing para propagar código malicioso, robar información y realizar otro tipo de ataques.
- Víctor Ruiz, fundador de Silikn, recordó que miles de empresas enfrentaron problemas en sus operaciones a partir del pasado 19 de julio debido a que el programa de CrowdStrike, Falcon Sensor, tuvo un error en su actualización y afectó dispositivos que utilizan el sistema operativo Windows de Microsoft.
- Esto último se tradujo en que los dispositivos afectados presentaran la temida “pantalla azul”, es decir, su funcionamiento se detuvo por completo y requieren un reinicio.
David Weston, vicepresidente de Seguridad Empresarial y del sistema operativo de Microsoft, indicó el fin de semana que este incidente afectó a 8.5 millones de dispositivos Windows, lo que representa menos de 1.0% de todas las máquinas con este sistema operativo.
Sin embargo, al inicio del incidente algunas estimaciones realizadas por expertos consideraban cerca de un billón de equipos afectados.
Ruiz añadió que cada cliente de CrowdStrike es una gran corporación, por lo que se dificulta estimar la cantidad de computadoras individuales afectadas y, si bien, ya se lanzó una solución será complicado implementarla.
Los dispositivos afectados por el pantallazo azul deberán recibir una actualización adicional para estabilizarse y es probable que la solución deba aplicarse a cada dispositivo afectado de manera individual, lo que representa un gran desafío para los departamentos de tecnología en todo el mundo”, detalló.
Justamente esto es lo que están aprovechando los cibercriminales para lanzar sus campañas de phishing y aprovechar el caos.
Los métodos
Actualmente ya se detectaron campañas de phishing que suplantan la identidad de CrowdStrike, así como la aparición de dominios maliciosos que se hacen pasar por dicha empresa.
- José Ramírez, director de ventas regionales para América Latina de Stellar Cyber, añadió que estas campañas comenzaron a detectarse en las primeras 12 horas del incidente y son de cuidado.
- Hay muchas páginas y correos apócrifos que parecen venir de CrowdStrike y te dicen, descarga este archivo, lo instalas en una USB y lo dispersas en tus equipos para recuperarlos, pero en realidad caes en otra amenaza porque esto sí es un ciberataque”, advirtió en una entrevista con Excélsior.
A veces se pueden detectar estas campañas maliciosas simplemente revisando la dirección de correo electrónico, ya que suelen cometer errores ortográficos como escribir CrouwdStrike, o revisar bien la página web porque direcciones como crowdstrikebluescreen.com no son oficiales.
El fundador de Silikn comentó que también se ha detectado que los ciberdelincuentes están buscando en foros clandestinos código malicioso que pueda aprovechar esta falla.
- Esto porque hay conversaciones en las que aseguran conocer una empresa que utiliza CrowdStrike y quieren saber si hay disponible o a la venta un código malicioso que pueda eludir los sensores de las computadoras.
- Ante esta situación, ambos expertos de ciberseguridad recomiendan a todas las empresas afectadas estar atentas sólo a las comunicaciones oficiales de CrowdStrike para no caer, debido a la inmediatez, en alguna campaña maliciosa por parte de cibbercriminales.
También instan a que actualicen sus procedimientos de seguridad, implementen controles de calidad más rigurosos para las actualizaciones y tengan planes de contingencia.
Se acabaron las actualizaciones hechas a ciegas
El incidente causado por CrowdStrike que dejó sin operación a aerolíneas, bancos, hospitales y otro tipo de empresas alrededor del mundo provocará un cambio en los procesos de la industria tecnológica relacionados con ciberseguridad.
- CrowdStrike es una empresa de ciberseguridad que proporciona software para proteger cargas de trabajo en la nube y seguridad de terminales, lamentablemente a finales de la semana pasada lanzó una actualización que contenía un fallo y provocó que los equipos con sistema operativo Windows dejaran de funcionar, mientras que otros con Linux o Mac OS no tuvieron problemas.
- José Ramírez, director de ventas regionales para América de Stellar Cyber, detalló que muchas empresas suelen tener procesos para probar actualizaciones antes de instalarlas, lamentablemente dicha medida no suele utilizarse cuando se trata de software de ciberseguridad y de ahí el caos visto hace pocos días.
La recomendación es primero instalar las actualizaciones en un ambiente de pruebas y, tras revisar que todo está bien, mandarlo al ambiente productivo. Sin embargo, en temas de ciberseguridad, regularmente dejamos que pase en automático”, relató al platicar con Excélsior.
Para Amit Yoran, presidente y director general de Tenable, esta caída sin precedentes evidencia cuán dependientes son los sistemas críticos de que el software opere todo el tiempo como debe.
Por lo mismo, coincidió en que este incidente hará que los directores de tecnologías de información y los profesionales de seguridad dejen de aplicar actualizaciones automáticas de proveedores a ciegas.
Los días de la autoactualización se han sometido a un escrutinio masivo”, confió Yoran en un blog.
Ramírez consideró que la industria tiene varias opciones para implementar, por ejemplo, podrían buscar tecnología que no dependa tanto de las actualizaciones o destinar recursos y personal para contar con ambientes de prueba.
Tomás Vera, director de Zenta Group, comentó que este incidente es un llamado de atención para que las compañías se aseguren de que sus mecanismos de recuperación de desastres sean los adecuados. “No creo que este incidente vaya a ser el último, ni el más grande, tenemos que estar preparados para este tipo de contingencia, lo peor es pensar que no va a ocurrir”./Agencias-PUNTOporPUNTO
Recibe nuestro boletín informativo, suscríbete usando el formulario
