Internacional. Tras ocurrir el que ha sido descrito por algunos expertos como "el mayor apagón informático de la historia", analizamos las posibles incidencias que a nivel de seguridad podrían derivarse del fallo de la plataforma CrowdStrike y la caída de Microsoft.
Es que, aunque aún queda por determinarse la total magnitud de las afectaciones en todo el mundo, desde ya se prevé que el fallo global de los servicios de Microsoft implicará riesgos significativos en ámbitos como la ciberseguridad, la seguridad física y la videovigilancia, entre otros.
De hecho, el Departamento de Seguridad Nacional de los Estados Unidos ya informó que actores de amenazas se aprovechaban de este incidente para realizar phishing y otras actividades maliciosas, como lanzar sitios web falsos para capturar datos: “Permanezcan alerta y sigan únicamente instrucciones de fuentes legítimas”, se lee en un boletín emitido por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por su sigla en inglés) del Departamento.
De acuerdo con Víctor Ruiz, fundador de la compañía SILIKN, instructor certificado en ciberseguridad (CSCT) y líder del Capítulo Querétaro de la Fundación OWASP, "los ciberdelincuentes se han movido rápidamente para establecer campañas de phishing y lanzar ataques de ingeniería social, suplantando la identidad de CrowdStrike. Informan a las empresas que pueden descargar una actualización o parche de seguridad que, en realidad, contiene malware".
El experto precisó que se también se ha reportado la aparición de dominios maliciosos diseñados para aprovechar la reciente interrupción con fines de estafa, entre los cuales se han identificado los siguientes:
- crowdstrike-bsod[.]com
- crowdstrike-helpdesk[.]com
- crowdstrike0day[.]com
- crowdstrike[.]fail
- crowdstrikebluescreen[.]com
- crowdstrikebsod[.]com
- crowdstrikebug[.]com
- crowdstrikeclaim[.]com
- crowdstrikedoomsday[.]com
- crowdstrikedown[.]site
- crowdstrikefail[.]com
- crowdstrikefix[.]com
- crowdstrikefix[.]zip
- crowdstrikehealthcare[.]com
- crowdstrikeoopsie[.]com
- crowdstrikeoutage[.]info
- crowdstrikereport[.]com
- crowdstriketoken[.]com
- crowdstrikeupdate[.]com
- crowdstrikeupdate[.]com
- fix-crowdstrike-apocalypse[.]com
- fix-crowdstrike-bsod[.]com
- iscrowdstrikedown[.]com
- iscrowdstrikedown[.]com
- isitcrowdstrike[.]com
- microsoftcrowdstrike[.]com
- whatiscrowdstrike[.]com
A continuación, se detallan algunas de las otras posibles consecuencias del fallo.
Ciberseguridad
Servicios como Microsoft 365, Azure AD y otros pueden verse afectados, impidiendo el acceso a recursos críticos. La incapacidad de acceder a servicios de autenticación como Azure AD puede dejar a los usuarios sin poder autenticarse en sistemas y aplicaciones dependientes.
Riesgo de ataques
Los atacantes pueden aprovechar la confusión y la necesidad de soporte técnico para lanzar ataques de phishing y distribuir malware. Además, la inestabilidad en los servicios puede ser vista como una oportunidad para intentar ataques de fuerza bruta y otros métodos de intrusión.
Exposición de datos
La interrupción de servicios puede llevar a la pérdida de datos no respaldados adecuadamente y al acceso no autorizado debido a vulnerabilidades temporales o puertas traseras pueden ser explotadas durante los periodos de interrupción.
Integración de sistemas
Los sistemas de control de acceso que dependen de servicios de autenticación en la nube pueden fallar, impidiendo el acceso autorizado a instalaciones. La conectividad de dispositivos IoT y sistemas de alarma integrados con plataformas de Microsoft también puede puede verse comprometida.
Monitoreo y respuesta
En Centros de Operaciones de Seguridad (SOC), las herramientas y paneles de control basados en la Nube pueden ser inaccesibles, dificultando la monitorización y respuesta a incidentes. De igual forma, los sistemas de notificación que dependen de servicios en la Nube pueden no funcionar, retrasando la respuesta a incidentes.
CCTV (Circuitos Cerrados de Televisión)
La incapacidad de acceder a los servicios en la Nube puede impedir la visualización en tiempo real de las cámaras de seguridad y las grabaciones almacenadas en la Nube pueden no ser accesibles, complicando la revisión de eventos críticos.
Vigilancia Remota
Los servicios de vigilancia remota que dependen de Microsoft Azure pueden dejar de funcionar, afectando la capacidad de monitorear y proteger instalaciones. Por otra parte, una interrupción en la grabación y almacenamiento de videos puede dejar áreas sin vigilancia, aumentando el riesgo de incidentes de seguridad física.
CrowdStrike se pronuncia
La compañía de ciberseguridad ha confirmado la interrupción precisando que:
- Afecta a sistemas Windows 10 y posteriores.
- No afecta a los hosts Mac y Linux.
- Se debe a la actualización de contenido de CrowdStrike Falcon y no a una actividad cibernética maliciosa.
Además, CrowdStrike ha indicado que se ha identificado el problema, se ha aislado y se ha implementado una solución. Las organizaciones que son clientes de CrowdStrike deben consultar la guía de CrowdStrike y su portal de clientes para resolver el problema.
Medidas de mitigación
- Contingencia y recuperación: desarrollar planes de contingencia que incluyan procedimientos específicos para fallos de servicios en la Nube.
- Respaldo de datos: mantener copias de seguridad locales y redundantes de datos críticos y grabaciones de CCTV.
- Sistemas de respaldo: implementar sistemas de respaldo para autenticación y monitoreo que no dependan exclusivamente de servicios en la Nube.
- Seguridad física: utilizar soluciones de seguridad física adicionales, como guardias de seguridad, durante periodos de interrupción.
- Herramientas autónomas: utilizar herramientas de monitoreo y alerta que funcionen independientemente de los servicios en la Nube.
Además, CISA recomienda a las organizaciones que recuerden a sus empleados que eviten hacer clic en correos electrónicos de phishing o enlaces sospechosos.
