Microsoft Downtime: El Riesgo de los Servicios en la Nube (Error de CrowdStrike y Ataque DDoS a Microsoft Julio 2024)

Julio 2024 fue un mes tumultuoso en la industria del software. Mientras los argumentos de venta de Microsoft resuenan más fuerte que nunca, la empresa enfrentó críticas significativas debido al tiempo de inactividad de varios sistemas cruciales. Este mes se produjeron varios incidentes en Microsoft con consecuencias de gran alcance. En este artículo, profundizamos en los dos principales incidentes: la actualización de CrowdStrike y el ataque DDoS a Microsoft 365 y Azure.

Actualización Errónea de CrowdStrike

En julio 2024, se produjo una interrupción a gran escala debido a una actualización de software defectuosa del sensor Falcon de CrowdStrike. Esta actualización, lanzada el 19 de julio, introdujo un error crítico en forma de una verificación nula faltante en el código. Esto causó que el sistema intentara acceder a una dirección de memoria no válida, lo que llevó a la famosa "Pantalla Azul de la Muerte" (BSOD) en millones de dispositivos Microsoft Windows en todo el mundo. La comunidad global vio esto como un escándalo, ya que dicha actualización debería haberse probado mucho mejor antes de su implementación.

Impacto de la Actualización Errónea de CrowdStrike

Interrupción Global

La interrupción tuvo un impacto global, causando interrupciones críticas en operaciones comerciales, servicios de salud, aerolíneas e incluso bolsas de valores. Aproximadamente 85 millones de dispositivos se vieron afectados por la actualización. El momento del despliegue a las 04:09 UTC aseguró que la interrupción afectara a las empresas durante sus horas de trabajo en Oceanía y Asia y temprano en la mañana en Europa y América.

Daños Financieros

Un especialista en seguros contra interrupciones en la nube estimó que las 500 empresas más grandes de Estados Unidos sufrieron casi 54 mil millones de dólares en pérdidas, de los cuales solo entre 540 millones y 108 mil millones de dólares estaban asegurados. Estas 500 empresas estadounidenses representan solo una pequeña fracción del número total de empresas afectadas, ilustrando el significativo impacto financiero de la interrupción en las empresas de todo el mundo.

Consecuencias Específicas para Sectores

  • Aviación: A nivel mundial, se cancelaron 5,078 vuelos, representando el 46% de los vuelos programados para ese día. Las aerolíneas australianas como Qantas, Virgin Australia y Jetstar se vieron gravemente afectadas, así como los aeropuertos de ciudades como Sídney, Melbourne y Brisbane.
  • Salud y Operaciones Comerciales: Los sistemas críticos en hospitales y otras instalaciones de salud se vieron interrumpidos, afectando gravemente la prestación de servicios. Las empresas experimentaron problemas con su infraestructura informática, lo que resultó en una productividad reducida y desafíos operativos.

Intentos de Recuperación para la Actualización de CrowdStrike

  • CrowdStrike: CrowdStrike reconoció el problema y emitió una declaración pública junto con una solución alternativa. Aconsejaron a los usuarios afectados que eliminaran manualmente ciertos archivos desde el modo seguro o el entorno de recuperación de Windows.
  • Microsoft: Microsoft colaboró con CrowdStrike y desarrolladores externos para acelerar una solución. Proporcionaron orientación técnica y soporte para ayudar a los usuarios a restaurar de manera segura sus sistemas. Esto incluía reiniciar las máquinas virtuales afectadas hasta 15 veces y restaurar una copia de seguridad anterior al 18 de julio.

Ambas recomendaciones eran laboriosas e irrealistas para grandes empresas.


Ataque DDoS a Microsoft 365 y Azure

El 30 de julio de 2024, Microsoft fue golpeado por un ataque de denegación de servicio distribuido (DDoS) a gran escala, lo que resultó en interrupciones de varios servicios de Microsoft 365 y Azure en todo el mundo. El ataque duró aproximadamente nueve horas y causó interrupciones significativas en los servicios de Microsoft Entra, Microsoft Purview, Azure App Services, Application Insights, Azure IoT Central y el portal de Azure.

Detalles del Ataque DDoS

Vector de Ataque

El ataque DDoS apuntó a la capa de aplicación (Capa 7) del modelo OSI, lo que significa que el ataque se dirigió específicamente a interrumpir los servicios de aplicaciones web de Microsoft. Los atacantes utilizaron varias técnicas como inundaciones HTTP(S), bypass de caché y ataques Slowloris para abrumar los servidores e interrumpir el funcionamiento normal.

Atacantes

Microsoft identificó al actor de la amenaza como Storm-1359, un grupo sospechoso de ser pro-ruso y posiblemente vinculado al grupo hacktivista Anonymous Sudan. Este grupo ha realizado previamente ataques contra organizaciones en Suecia, los Países Bajos, Australia y Alemania. Sus ataques utilizan una colección de botnets, infraestructura en la nube alquilada y proxies abiertos para ejecutar los ataques.

Impacto del Ataque DDoS a Microsoft 365 y Azure

Interrupción Global

El ataque tuvo un impacto global, con usuarios de todo el mundo informando problemas para acceder a sus servicios de Microsoft 365 y Azure. Los servicios afectados incluían aplicaciones comerciales críticas como Intune, Power BI y Power Platform, lo que resultó en interrupciones operativas generalizadas para las empresas que dependen de estos servicios.

Respuesta de Microsoft

La respuesta inicial de Microsoft al ataque pareció agravar el impacto en lugar de mitigarlo. Un error en la implementación de sus mecanismos de protección DDoS hizo que las defensas amplificaran el ataque. Esto llevó a interrupciones adicionales y retrasos. Microsoft finalmente realizó cambios en la configuración de la red y conmutaciones por error a rutas de red alternativas para aliviar la situación. Más adelante en este artículo, leerá más sobre cómo mejorar la seguridad de su empresa.

Intentos de Recuperación para el Ataque DDoS

Soluciones Técnicas

Para prevenir futuras interrupciones, Microsoft ajustó la configuración de su firewall de aplicaciones web de Azure (WAF). También aconsejaron a los clientes que implementaran restricciones geográficas para limitar el tráfico entrante y minimizar el impacto de futuros ataques. Además, Microsoft confirmó que no había evidencia de que se accediera o comprometieran datos de clientes durante estos ataques.

Perspectivas y Mejoras

Microsoft anunció que en un plazo de 72 horas se publicaría un informe preliminar del incidente (Preliminary Post-Incident Review PIR) y un informe final del incidente en un plazo de dos semanas. Estos informes contendrán más detalles y lecciones aprendidas de las interrupciones de esta semana. Microsoft continúa evaluando y mejorando sus mecanismos de seguridad para reducir el impacto de tales ataques en el futuro.

Conclusión sobre los Ataques DDoS

El ataque DDoS a Microsoft 365 y Azure en julio de 2024 subraya la amenaza de los ataques cibernéticos a los principales proveedores de servicios en la nube. El incidente destaca la importancia de las medidas de seguridad y las estrategias de respuesta rápida y efectiva para minimizar el impacto de tales ataques. La experiencia de Microsoft muestra que incluso las empresas tecnológicas más grandes son vulnerables y deben trabajar continuamente para fortalecer sus defensas contra amenazas cibernéticas cada vez más sofisticadas. ¿Ha perdido la confianza en las garantías de seguridad de Microsoft, como muchos otros? Recomendamos continuar con el software on-premise para garantizar la seguridad de su empresa y todos sus datos. Explore nuestra gama de licencias on-premise, como Windows Server 2022, SQL Server 2022 y Office 2021.


¿Qué Puede Hacer Contra Estas Amenazas y Inseguridades en Línea? Tome el Control

A la luz de los recientes incidentes con CrowdStrike y el ataque DDoS a Microsoft 365 y Azure, hay una creciente discusión sobre los beneficios del software on-premise frente a las soluciones basadas en la nube. Aquí hay algunas razones por las que las empresas podrían considerar tomar el control eligiendo el software on-premise:

  1. Gestionabilidad y Control
    • Con el software on-premise, las empresas tienen un control total sobre su entorno de TI. Esto significa que no dependen de proveedores externos para actualizaciones, parches de seguridad o corrección de errores. En el caso del error de CrowdStrike de julio de 2024, las empresas afectadas necesitaron acceso físico a sus máquinas durante días para corregir manualmente el error. Este tipo de dependencia puede evitarse con soluciones on-premise donde los equipos de TI pueden intervenir directamente y responder a los problemas más rápidamente.
  2. Seguridad y Protección de Datos
    • El ataque DDoS a Microsoft 365 y Azure demostró cuán vulnerables pueden ser los servicios basados en la nube a los ataques cibernéticos. Los sistemas on-premise pueden diseñarse con protocolos de seguridad específicos adaptados a las necesidades únicas de una empresa. Además, los datos sensibles pueden almacenarse internamente, lo que reduce el riesgo de fugas de datos por amenazas externas.
  3. Confiabilidad y Disponibilidad
    • Si bien los proveedores de la nube suelen garantizar una alta disponibilidad, incidentes como el ataque DDoS pueden causar interrupciones prolongadas, lo que resulta en pérdida de productividad e ingresos. Los sistemas on-premise pueden diseñarse y mantenerse de manera redundante para garantizar la continuidad del negocio incluso durante interrupciones de internet o ataques externos.
  4. Personalización y Flexibilidad
    • El software on-premise ofrece a las empresas la flexibilidad de personalizar su infraestructura de TI según las necesidades específicas del negocio. Las soluciones en la nube suelen estar estandarizadas y pueden imponer limitaciones a la personalización. Las empresas pueden optimizar sus sistemas on-premise para un mejor rendimiento e integración con las aplicaciones y procesos existentes.
  5. Gestión de Costos a Largo Plazo
    • Si bien las soluciones en la nube suelen parecer atractivas debido a los costos iniciales más bajos, las tarifas de suscripción recurrentes y los costos adicionales por ancho de banda, almacenamiento y seguridad pueden acumularse. Las soluciones on-premise requieren una inversión inicial más alta, pero pueden ser más rentables a largo plazo, especialmente para grandes empresas con necesidades significativas de TI.

Conclusión

La certeza del software on-premise y la elección de su propia seguridad hacen de Windows Server 2022 y SQL Server 2022 la solución para evitar la fallida seguridad en la nube. Muchas empresas están descubriendo las desventajas de las soluciones en la nube y encuentran difícil volver al software on-premise. Esto es hecho astutamente por Microsoft, ya que se benefician más de las suscripciones mensuales de Azure, Microsoft 365 y otros modelos de pago por uso/suscripción. Si aún desea experimentar con soluciones en la nube, le recomendamos encarecidamente considerar una estrategia de salida de la nube a prueba de fallos por adelantado, para no ser sorprendido si decide cambiar a on-premise.