El 19 de julio de 2024, la compañía de seguridad informática CrowdStrike experimentó una falla en su programa de actualización de Falcon Sensor, lo que provocó una pantalla azul de la muerte (BSOD) en computadoras con Windows en todo el mundo. Esto afectó a empresas y agencias gubernamentales en todo el mundo, incluyendo aerolíneas, hospitales, agencias de transporte y empresas de medios de comunicación. Falcon Sensor es uno de los productos líderes en el mercado, por lo que este problema de actualización causó graves interrupciones en la operación de múltiples organizaciones con múltiples computadoras con Windows.
Este incidente fue causado por una actualización defectuosa en la plataforma Falcon de CrowdStrike, lo que provocó que los sistemas con ciertas versiones de Windows que tenían instalado este producto se bloquearan en gran escala. Muchas empresas informaron que sus computadoras con Windows se reiniciaban automáticamente y se quedaban atrapadas en un ciclo de pantalla azul de la muerte, lo que tuvo un gran impacto en la infraestructura crítica en todo el mundo. Empresas en países como Alemania, Japón, India y Estados Unidos experimentaron problemas similares. En Taiwán, muchas organizaciones públicas y privadas se vieron afectadas, y varios bancos, instituciones médicas y empresas de tecnología descubrieron que sus sistemas no funcionaban correctamente, lo que provocó interrupciones de más de una hora en algunas operaciones.
CrowdStrike actuó rápidamente al descubrir el problema y publicó un parche y una solución. La compañía declaró que esto no fue un ataque cibernético, sino que el problema se debió a una actualización de Falcon Sensor que no fue completamente verificada. CrowdStrike ha eliminado el archivo de actualización defectuoso y ha publicado un parche que los usuarios pueden descargar e instalar siguiendo los pasos proporcionados en su sitio web oficial.
Además, Microsoft ha propuesto dos formas de recuperación para aquellos afectados por el bloqueo. Una es a través de la recuperación desde WinPE, que permite una recuperación rápida y directa del sistema sin necesidad de permisos de administrador. Sin embargo, si el sistema está encriptado con BitLocker o algún otro software de terceros, se debe desbloquear antes de reparar el sistema afectado. La otra opción es la recuperación desde el modo seguro, que requiere que un usuario con permisos de administrador inicie sesión para realizar la reparación. Antes de realizar cualquier tipo de recuperación, es necesario descargar la herramienta de recuperación de Microsoft y crear un disco de arranque USB utilizando el archivo de PowerShell incluido en la herramienta.
La empresa de consultoría de tecnología de la información Gartner señaló que, incluso para aquellas empresas que no se vieron afectadas por este incidente, es importante considerar el impacto que podría tener en la seguridad y tomar medidas preventivas para evitar futuros problemas similares. Gartner también recomienda que las empresas se centren en la preparación para eventos de seguridad y establezcan medidas de respuesta en caso de que ocurra un incidente. Las acciones sugeridas por Gartner incluyen:
Acciones inmediatas (primeros 7 días):
– Notificar al equipo de gestión de crisis y solicitar su ayuda en la respuesta.
– Comunicar de manera efectiva a todas las partes interesadas a través de una comunicación de crisis.
– Verificar la fuente de información para evitar ser víctima de un ataque cibernético secundario.
– Movilizar al equipo de gestión de crisis para evitar errores por parte de los usuarios.
– Asignar un equipo de comunicación especial para coordinar con las partes interesadas internas.
– Involucrar al equipo de operaciones de seguridad para monitorear y responder a nuevas amenazas.
Acciones a medio plazo (1-2 semanas):
– Revisar junto con el equipo SOC cualquier actividad sospechosa para reducir el riesgo de ataques no