El día viernes 19 de julio, amanecimos con la noticia de que miles de equipos de cómputo con Windows en Oceanía y Europa principalmente habían quedado inutilizados, debido a una falla en la última actualización automática de Crowdstrike.
Si bien la noticia tuvo gran resonancia dado el impacto que se vio en sistemas críticos, como aeropuertos y nubes de virtualización como Azure, AWS y GCP, entre otros, la afectación global no fue mayor al 1 % del total de los equipos windows del planeta.
Esto debido a que Crowdstrike es una de tantas compañías que proporcionan soluciones antivirus al público general.
Las soluciones a este fallo, implican la intervención de forma manual de cada equipo, por lo cual resolver el problema se convierte en un arduo trabajo, que solamente usuarios con cierto nivel de conocimiento informático pueden ejecutar, ya que se requiere ejecutar comandos de consola o ejecutar en modo administrador.
Ahora bien, mas allá del suceso, desde una perspectiva de la seguridad de la información, uno de los puntos más importantes a considerar, es el de las lecciones aprendidas. Esto para evitar que en un evento similar, nuestros equipos resulten afectados y por lo tanto nuestros procesos de negocio.
Así que nos enfocaremos en ellas a continuación:
1.- Configurar las actualizaciones para que solo se instalen después de una revisión por parte de los especialistas en sistemas.
Después de este penoso evento, la lección aprendida es que una actualización automática puede ser un arma de doble filo. Por lo que no debe ser mal visto que en procesos críticos, dichas actualizaciones automáticas se encuentren desactivadas. Solo hay que tener en cuenta que se debe establecer un procedimiento de revisión de actualizaciones, para que después de ser evaluadas, estas puedan ser instaladas en nuestros equipos sin tanto riesgo.
Windows maneja dos clases de actualizaciones: Existen las de Calidad, que usualmente son actualizaciones del sistema y existen también las actualizaciones de Características, que son actualizaciones de programas complementarios. Por lo que se puede seleccionar una opción mixta que se acomode a nuestra situación.
2.- Tener instalado un antivirus no es una solución infalible.
El hecho de contar con un antivirus es una protección necesaria, más está muy lejos de ser una garantía de que nuestros equipos no serán infectados. Se requiere complementarlo con políticas y procedimientos que eviten exponer nuestros sistemas a intrusiones y hackeos.
3.- Ante este tipo de eventualidades se debe buscar el asesoramiento de personal especializado. Y es que actualmente la solución más socorrida para el error de Crowdstrike es la que requiere acceder en modo seguro y eliminar un archivo dentro de una carpeta de archivos del antivirus. Esta acción puede ser muy riesgosa, ya que si se elimina algún otro archivo importante, el sistema puede quedar inutilizado permanentemente.
Sin embargo pocos han mencionado que existe una solución menos arriesgada que prácticamente cualquiera puede ejecutar sin necesidad de ser un especialista.
Desde Windows 10, existe en el menú de opciones avanzadas del modo de recuperación, una opción para desinstalar actualizaciones recientes. Esta es una solución muy sencilla y fácil de realizar.
Adjunto un enlace para quien se encuentre interesado.
En caso de que requieras asesoría sobre tus sistemas de información, en Ducitec estamos dispuestos para apoyarte y ofrecerte las estrategias adecuadas a tus necesidades.
Por Kevin Beaver (Principle Logic, LLC –SearchSecurity) Traducido por Itechver. La seguridad del usuario final implica proteger a dichos usuarios de sus […]