«Por fin he entendido lo que significa ‘upward compatible’ (compatible hacia arriba). Significa que mantenemos todos nuestros viejos errores» – Dennie van Tassel
Hace unas semanas, Microsoft, o Falcon (el software agente de CrowdStrike) provocó el bloqueo de 8,5 millones de equipos con windows, la mayoría en la nube de Azure. El fallo, es un fallo de principiante al cargar un archivo de firmas de seguridad (un antivirus de toda la vida), incompatible con Windows. El resto ya lo saben: puertos, aeropuertos, hospitales y otros muchos servicios colapsados.
La solución fácil, pero que requiere que mis compañeros de profesión vayan uno a uno eliminando un archivo de una carpeta específica.
El problema se originó a partir de una actualización de configuración de sensor de rutina enviada a los sistemas Windows el 19 de julio de 2024, lo que causó un error lógico, lo que provocó que los sistemas informáticos críticos de todo el mundo experimentaran errores de pantalla azul.
“Si bien el porcentaje era pequeño, los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por parte de empresas que ejecutan muchos servicios críticos,” declaró Microsoft.
Aunque CrowdStrike ha lanzado una actualización para resolver el problema del software , no todas las máquinas pueden recibir automáticamente esta solución. Algunos administradores de TI han descubierto que reiniciar PC varias veces puede aplicar la actualización necesaria, pero para otros, la única solución ha sido arrancar manualmente en Modo seguro y eliminar el problemático archivo de actualización de CrowdStrike.
Microsoft ha sacado a toda prisa una Herramienta de recuperación para el fallo deCrowdStrike que tiene como objetivo ayudar a los administradores de TI a reparar las máquinas Windows afectadas por la actualización defectuosa del agente Falcon de CrowdStrike.
![[Img #5743]](https://elnuevodigitalmurcia.es/upload/images/07_2024/7312_aquilino.jpg)
Para utilizar la herramienta, los usuarios deben tener un cliente Windows de 64 bits con al menos 8GB de espacio libre y privilegios administrativos para crear la unidad USB de arranque.
La herramienta de recuperación de Microsoft simplifica este proceso iniciando en el entorno de Windows PE a través de USB, accediendo al disco de la máquina afectada y eliminando automáticamente el problemático archivo CrowdStrike. Este método elimina la necesidad de arrancar en Modo seguro o tener derechos de administrador en la máquina, ya que la herramienta accede al disco sin arrancar en la copia local de Windows. Si el disco está protegido por el cifrado BitLocker, la herramienta solicitará la clave de recuperación de BitLocker antes de proceder a corregir la actualización de CrowdStrike.
Además, Microsoft ha proporcionado instrucciones de recuperación separadas para Windows Virtual Machines que se ejecutan en Azure y ha publicado pasos de recuperación para todos los dispositivos Windows 10 y Windows 11 en su sitio de soporte.
La extrema debilidad del mundo digital
Muchos de mis clientes se pasaron a la nube, pero algunos de ellos se bajaron o fueron a entornos híbridos. Las empresas que fabrican, o que tienen sistemas críticos no se pueden permitir que se produzcan accidentes por la indisponibilidad de la nube.
Los incidentes en Azure (Microsoft), Google o Amazon Web Services son muy numerosos en los últimos meses.
Ataque de Midnight Blizzard: El grupo ruso APT Midnight Blizzard explotó una cuenta no utilizada para acceder al entorno de Office 365 de Microsoft, apuntando a correos electrónicos de ejecutivos clave y personal de ciberseguridad para recopilar información sobre las actividades de la empresa (Public Cloud Security Breaches).
Incidente de FTX: Durante los procedimientos de bancarrota del intercambio de criptomonedas FTX, se reveló que más de $400 millones en criptomonedas fueron transferidos desde las billeteras de FTX debido a malas prácticas de seguridad en la nube. Este incidente destacó las vulnerabilidades en su infraestructura de nube durante las transiciones de liderazgo (Public Cloud Security Breaches).
Brecha en Football Australia: Football Australia expuso inadvertidamente una clave de acceso de AWS en su sitio web, otorgando acceso a 126 buckets de S3 que contenían información sensible. Este incidente subrayó los riesgos de incrustar credenciales sensibles en sitios web públicos (Public Cloud Security Breaches).
First Republic Bank: Un ingeniero de la nube despedido en First Republic Bank accedió a los entornos de AWS y GitHub del banco después de su terminación, causando daños. Este incidente enfatiza la importancia de revocar rápidamente el acceso para ex empleados (Public Cloud Security Breaches).
Compromiso de MFA en Retool: Un ataque de ingeniería social llevó al compromiso de los tokens MFA de un ingeniero en Retool, permitiendo a los atacantes tomar el control de las cuentas de algunos clientes. Este incidente muestra cómo la ingeniería social puede eludir incluso medidas de autenticación fuertes (Public Cloud Security Breaches).
Incidente en Sumo Logic: Sumo Logic recomendó a sus clientes rotar sus credenciales tras un incidente de seguridad, reflejando las amenazas continuas a la seguridad en la nube y la necesidad de prácticas regulares de gestión de credenciales.
Brechas en LastPass: LastPass experimentó una serie de brechas que culminaron en el robo de las bóvedas de contraseñas de los clientes. Esta brecha fue notable por apuntar a la red doméstica de un empleado específico para capturar credenciales privilegiadas en la nube.
La nube no hace sino replicar los problemas de los sistemas onpremise. El volumen de sistemas que incluyen hacen que un simple problema de seguridad se amplifique a una buena parte de la economía mundial.
El problema de la Concentración
La concentración hace que sólo cinco proveedores copan el 75% de los servicios de nube. Además, desde el punto de vista estratégico estamos en manos de tres compañías americanas, cuya tarjeta de seguridad no es precisamente la seguridad:
Amazon Web Services (AWS): AWS sigue siendo el líder del mercado, con una cuota del 31% en el primer trimestre de 2024, aunque ha disminuido ligeramente desde el 32% en el mismo período del año anterior. AWS ha mostrado un crecimiento del 17% año tras año (Statista) (Canalys).
Microsoft Azure: Microsoft Azure ocupa el segundo lugar con una cuota del 25%. Azure ha experimentado un crecimiento significativo del 31% año tras año, acercándose más a AWS.
Google Cloud: Google Cloud está en tercer lugar con una cuota del 11%. Google ha mantenido su cuota de mercado estable, con un crecimiento del 28% año tras año.
Alibaba Cloud: Alibaba Cloud tiene una cuota del 4%, que ha disminuido desde el 5% en 2022 y el 6% en 2021. A pesar de ser el proveedor de nube más grande de China, su cuota de mercado global ha estado disminuyendo (CRN).
Salesforce: Salesforce ha logrado una cuota del 3%, superando a IBM, que ha visto su cuota disminuir al 2%.
Proveedores locales
Hay una variedad de proveedores de servicios de nube españoles, que tampoco pueden presumir del todo:
Internxt: Es una empresa que ofrece almacenamiento en la nube con un fuerte enfoque en la privacidad y seguridad de los datos. Ofrecen cifrado de extremo a extremo y tienen varias opciones de almacenamiento que van desde 200 GB hasta 10 TB (Techopedia).
Nextcloud: Ofrece una plataforma de colaboración y almacenamiento en la nube que se centra en la soberanía de datos y el cumplimiento con el GDPR. Trabajan con grandes empresas como Deutsche Telekom y IONOS para proporcionar soluciones empresariales de alta seguridad (Nextcloud).
1&1 IONOS: Aunque es una empresa de origen alemán, IONOS tiene una fuerte presencia en España y ofrece una amplia gama de servicios en la nube que incluyen desde alojamiento web hasta soluciones IaaS. Uno de los mayores spamers europeos.
OVHcloud: Este proveedor francés también tiene una presencia significativa en España. Ofrecen servicios de infraestructura en la nube con un fuerte enfoque en la seguridad y la soberanía de datos. Este proveedor tuvo hace unos años un incendio y se perdieron miles de servicios de pequeñas empresas.
Arsys: Una de las empresas líderes en España que ofrece servicios de hosting, dominios y soluciones en la nube tanto para particulares como para empresas. Ofrecen servicios de nube pública, privada e híbrida (Datacenter Dynamics).
Gigas: Empresa española especializada en soluciones de cloud computing, incluyendo infraestructura como servicio (IaaS) y servicios de plataforma como servicio (PaaS). Ofrecen servicios de nube pública, privada y soluciones de disaster recovery.
Telefónica Tech: Parte del Grupo Telefónica, ofrece soluciones de nube pública, privada e híbrida, además de servicios de ciberseguridad y big data. Es uno de los principales proveedores de servicios tecnológicos en España y Latinoamérica (MuyCanal).
Raiola Networks: Empresa española que ofrece servicios de hosting, VPS, servidores dedicados y soluciones en la nube. Son conocidos por un buen soporte al cliente y servicios gestionados de alta calidad.
La nube es una solución interesante para algunos servicios pero los críticos requieren de infraestructura híbrida o equipos locales para evitar incidentes que supongan la interrupción del servicio.
Enlaces adicionales de CrowdStrike y otros proveedores de tecnología (cortesía de Ciber Security Hub):
- Pasos de solución para hosts individuales
- Pasos de solución para la nube pública o un entorno similar, incluido el virtual
- Documentación específica de AWS
- Entornos de Azure – CrowdStrike Falcon agent guidance de Microsoft
- Clave de Recuperación de Acceso de Usuario en el Portal Workspace ONE
- Gestión de cifrado de Windows a través de Tanium
- Recuperación de Bitlocker a través de Citrix
- Guía de remediación de la tecnología Intel vPro®
- CrowdStrike y Rubrik Customer Content Update Recovery Para Hosts de Windows
- Herramienta de recuperación para ayudar con el problema de CrowdStrike que afecta los endpoints de Windows