A pesar de que CrowdStrike ya ha informado que el problema ha sido identificado y aislado, y se ha implementado una solución, los dispositivos afectados por el “pantallazo azul” deberán recibir una actualización adicional para estabilizarse. El pantallazo azul es un problema, conocido como BSOD (Blue Screen Of Death), que detiene por completo el funcionamiento del sistema y requiere un reinicio.
Cada cliente de CrowdStrike es una gran corporación, lo que dificulta estimar la cantidad de computadoras individuales afectadas por el incidente del 19 de julio. Es probable que la solución deba aplicarse a cada dispositivo afectado de manera individual, lo que representa un gran desafío para los departamentos de tecnología en todo el mundo.
Al respecto, Víctor Ruiz, fundador de SILIKN, opinó que la solución no es sencilla. Aunque CrowdStrike ha revertido el cambio, esto no soluciona el problema en los equipos afectados. No es posible resolverlo de manera remota; la única opción es eliminar manualmente el archivo causante de los bloqueos en cada equipo, uno por uno. Este proceso es lento, costoso y complicado, especialmente porque los equipos corporativos suelen estar cifrados, lo que dificulta aún más la resolución.
El asunto crítico es que cada minuto de inactividad se traduce en enormes pérdidas económicas: aerolíneas paralizadas, bancos fuera de servicio, hospitales sin atención, estaciones de televisión detenidas y supermercados cerrados, entre otros.
En este contexto, ya comienzan a surgir verdaderos ciberataques. Tras el incidente, los ciberdelincuentes se han movido rápidamente para establecer campañas de phishing y lanzar ataques de ingeniería social, suplantando la identidad de CrowdStrike.
Informan a las empresas que pueden descargar una actualización o parche de seguridad que, en realidad, contiene malware. Estas acciones pueden resultar en el robo de información, acceso no autorizado a las empresas, instalación de ransomware y otros tipos de ataques.
Por ejemplo, se ha reportado la aparición de dominios maliciosos diseñados para aprovechar la reciente interrupción de CrowdStrike con fines de estafa:
crowdstrike-bsod[.]com
crowdstrike-helpdesk[.]com
crowdstrike0day[.]com
crowdstrike[.]fail
crowdstrikebluescreen[.]com
crowdstrikebsod[.]com
crowdstrikebug[.]com
crowdstrikeclaim[.]com
crowdstrikedoomsday[.]com
crowdstrikedown[.]site
crowdstrikefail[.]com
crowdstrikefix[.]com
crowdstrikefix[.]zip
crowdstrikehealthcare[.]com
crowdstrikeoopsie[.]com
crowdstrikeoutage[.]info
crowdstrikereport[.]com
crowdstriketoken[.]com
crowdstrikeupdate[.]com
crowdstrikeupdate[.]com
fix-crowdstrike-apocalypse[.]
fix-crowdstrike-bsod[.]com
iscrowdstrikedown[.]com
iscrowdstrikedown[.]com
isitcrowdstrike[.]com
microsoftcrowdstrike[.]com
whatiscrowdstrike[.]com
También se ha detectado que ciberdelincuentes están buscando en foros clandestinos malware que pueda aprovechar el incidente de CrowdStrike, con solicitudes como: “Conozco una empresa que utiliza CrowdStrike y quiero probar la eficacia de los sensores. ¿Alguien sabe de algún malware disponible o a la venta que pueda eludir los sensores de la máquina, incluso para realizar un movimiento lateral a otra máquina sin el sensor?” Según un análisis de la unidad de investigación de SILIKN, un bypass (una técnica utilizada para evadir las medidas de seguridad y obtener acceso no autorizado o realizar acciones maliciosas) se está cotizando a un precio inicial de 10 mil dólares.
Finalmente, Víctor Ruíz dijo que es crucial prestar atención a las comunicaciones oficiales de CrowdStrike, estar alerta ante posibles correos falsos que suplantan la identidad de la empresa, revisar y actualizar los procedimientos de seguridad, implementar controles de calidad más rigurosos para las actualizaciones, tener planes de contingencia para mitigar el impacto de fallos tecnológicos, mantener una comunicación clara con los clientes y fomentar la capacitación continua del personal en la gestión de crisis tecnológicas.
