Para entender mejor lo que pasó, la respuesta ante el incidente y las consecuencias, detallamos una cronología de los eventos relacionados con la actualización fallida de CrowdStrike, la que provocó que muchos ordenadores sufrieran la temida pantalla azul de la muerte (BSOD). Analizaremos el impacto en diversas industrias y regiones, así como las medidas tomadas antes y después del incidente. Y explicaremos los ataques que aprovecharon la vulnerabilidad en los sistemas Windows afectados.
Cronología del incidente
Fase de desarrollo e implementación previos
Fase de crisis
Impacto global
Sectores afectados
Transporte Aéreo
Se cancelaron 5,078 vuelos a nivel mundial, afectando a aerolíneas como American Airlines, Delta Air Lines, United Airlines, Copa Airlines, Viva Aerobus y Vueling. Los aeropuertos en Sídney, Hong Kong, Panamá, México y España (AENA) y otros lugares enfrentaron interrupciones significativas.
Finanzas
Bancos globales como Commonwealth Bank, Capitec, y varios en Europa y Estados Unidos experimentaron interrupciones en sus servicios, afectando transacciones y accesos a cuentas. En concreto en España, bancos como BBVA, Santander y Unicaja también experimentaron interrupciones significativas en sus servicios.
Gobierno
Diversos organismos gubernamentales en EE.UU., Canadá y Europa reportaron fallos en sus sistemas. El sistema de transporte público de Washington, D.C., y la Autoridad de Transporte Metropolitano de Nueva York también se vieron afectados.
Salud
Numerosos hospitales en América del Norte y Europa suspendieron cirugías y visitas no urgentes debido a la falta de acceso a los registros de los pacientes. El NHS en Reino Unido y otros sistemas de salud experimentaron interrupciones.
Medios y Comunicaciones
Estaciones de televisión como Sky News y CBC enfrentaron interrupciones en sus transmisiones. Vodafone y otras compañías de telecomunicaciones también reportaron problemas.
Otras industrias
Gasolineras como Repsol en España, Woolworths supermercado en Australia, la compañía de ferrocarriles danesa DSB tuvieron igualmente problemas para prestar sus servicios.
Repercusiones financieras
Respuesta y recuperación
Medidas inmediatas y mejora de resiliencia
CrowdStrike lanzó una serie de actualizaciones y soluciones temporales para mitigar los problemas. Se mejoró la supervisión del rendimiento del sensor y del sistema, y se proporcionaron instrucciones detalladas a los clientes para solucionar los problemas.
CrowdStrike publicó un informe detallando las medidas para evitar futuros incidentes, incluyendo:
- Pruebas de contenido de respuesta rápida: implementación de pruebas más rigurosas como pruebas de estrés, fuzzing e inyección de fallos.
- Validación adicional: añadir comprobaciones adicionales al Validador de contenido.
- Manejo de errores mejorado: mejorar el manejo de errores en el Intérprete de contenido.
- Implementación escalonada: estrategia de implementación gradual para las actualizaciones de contenido.
Microsoft culpa a la UE
Microsoft culpó a la Unión Europea por el fallo informático, argumentando que un acuerdo con la Comisión Europea en 2009 les impidió realizar cambios necesarios en la seguridad del sistema, específicamente bloqueos en el acceso al kernel del sistema. Según Microsoft, este acuerdo forzó a permitir la instalación de múltiples proveedores de seguridad, contribuyendo al fallo masivo.
Ataques posteriores al incidente
Se ha demostrado que en los centros de datos que utilizan sistemas operativos Windows y no están alojados en la nube, es imprescindible disponer de sistemas remotos de control KVM sobre IP. Esto permite gestionar y monitorizar los servidores de manera remota accediendo a funciones de la BIO, facilitando la administración remota y reduciendo la necesidad de intervención física, lo cual es crucial para mantener la operatividad y la seguridad de la infraestructura.
Ante este tipo de situaciones se pone de manifiesto la importancia de contar con un proveedor de ciberseguridad confiable. Estos problemas no son un hecho aislado; a lo largo de la historia, hemos visto cómo fallos similares pueden provocar graves interrupciones en múltiples sectores y regiones, afectando desde el transporte aéreo hasta la salud y las finanzas. Estos precedentes refuerzan la idea de que tales eventos no solo han ocurrido, sino que pueden volver a ocurrir si no se toman las precauciones adecuadas.
